Безопасность : устройства безопасности электронной почты Cisco ESA

Как я передаю пример сообщения, чтобы гарантировать, что мой Антивирусный механизм работает на мой Cisco Email Security Appliance (ESA)?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Содержание

Введение

Этот документ описывает, как передать пример сообщения для тестирования Антивирусного механизма, являющегося рабочим правильно в Cisco Email Security Appliance (ESA).

Внесенный Штефаном Фибрандтом и Сэндипом Минхасом, специалистами службы технической поддержки Cisco.

Решение

Путем передачи типового поддельного вируса обмениваются сообщениями через ESA, мы можем вызвать сканер Sophos или McAfee Anti-Virus. Во-первых, необходимо установить политику входящей почты и настроить антивирусные параметры настройки, чтобы отбросить или изолировать зараженные сообщения. Можно изолировать зараженные сообщения для этого определенного теста. Мы будем использовать тестовый вирус под названием "EICAR", найденный в www.eicar.org.

Теперь можно инициировать сеанс Telnet к серверу ESA в порту 25 и скопировать и вставить придерживающуюся тестовую строку EICAR в Блоке данных SMTP converstation.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE
!$H+H*

Вот пример о том, как сделать тест:

220 example.com ESMTP
ehlo example.com
250-example.com
250-8BITMIME
250 SIZE 104857600
mail from:jms@example.com
250 sender <jms@example.com> ok
rcpt to:jms@example.com
250 recipient <jms@example.com> ok
data
354 go ahead
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
.
250 ok: Message 25 accepted
quit
221 example.com

На CLI ESA выследите почтовые журналы в то же время, вы передаете тестовое сообщение путем ввода 'хвоста mail_logs'.

Wed Jun 15 04:07:57 2005 Info: Start MID 25 ICID 14
Wed Jun 15 04:07:57 2005 Info: MID 25 ICID 14 From: <jms@example.com>
Wed Jun 15 04:08:02 2005 Info: MID 25 ICID 14 RID 0 To: <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 25 Message-ID '<45rovb$p@example.com>'
Wed Jun 15 04:08:19 2005 Info: MID 25 ready 70 bytes from <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 25 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Wed Jun 15 04:08:19 2005 Info: MID 25 Brightmail negative
Wed Jun 15 04:08:19 2005 Info: MID 25 antivirus positive 'EICAR-AV-Test'
Wed Jun 15 04:08:19 2005 Info: Start MID 26 ICID 0
Wed Jun 15 04:08:19 2005 Info: MID 26 ICID 0 From: <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 26 ICID 0 RID 0 To: <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 25 rewritten to 26 by antivirus
Wed Jun 15 04:08:19 2005 Info: Message finished MID 25 done
Wed Jun 15 04:08:19 2005 Info: MID 26 quarantined to "Virus" (a/v verdict:VIRAL)
Wed Jun 15 04:08:21 2005 Info: ICID 14 close

На этой тестовой системе изолируются Позитивные сигналы AV, и она похожа, что сообщение было изолировано успешно. Если Антивирусный механизм будет не в состоянии поймать в ловушку сообщение как вирусное, то необходимо будет сделать придерживающееся:

  1. Установите внешнего почтового клиента, настроенного для передачи почты к ESA.
  2. Создайте тестовый файл с тестовой строкой EICAR, расположенной сначала в этот тестовый файл.
  3. Составьте тестовое сообщение от этого почтового клиента и включайте тестовый файл EICAR как "присоединение".

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.