Einleitung
In diesem Dokument wird erläutert, warum Nachrichten mit den Bedingungen für den Nachrichten- oder Inhaltsfilter übereinstimmen, wenn auf der Cisco E-Mail-Security-Appliance (ESA) und der Cloud E-Mail Security-Appliance (CES) ein "Scan-Fehler für Nachrichten" auftritt.
Problem
Nachrichten werden zur Filterung an die ESA/CES gesendet, die mail_logs oder Message Tracking zeigt die Ergebnisse von "Message Scan Error" gefolgt von einer positiven Übereinstimmung mit dem Nachrichten-/Content-Filter, der den Scan durchgeführt hat.
Beispielfehler bei der Nachverfolgung von mail_logs/messages:
Tue Sep 9 13:37:35 2014 Warning: MID 15180223, message scanning error: Size Limit Exceeded
Tue Sep 9 14:27:31 2015 Warning: MID 15180325, message scanning error: Scan Depth Exceeded
Lösung
Wenn ein E-Mail-Anhang einen konfigurierten Grenzwert überschreitet, wird ein Fehler beim Scannen der Nachricht protokolliert. Wenn die ESA/CES davon ausgeht, dass die Übereinstimmungen der Anhänge aktiviert sind, löst dies die Filterübereinstimmung und die Aktion gemäß der Konfiguration aus.
Hinweis: Für das Scannen von Anhängen auf der ESA/CES gelten unterschiedliche Grenzwerte, die in der Konfiguration scanconfig der CLI oder in den Einstellungen für das Scanverhalten der GUI definiert sind.
In der CLI kann die Funktion im Befehl scanconfig aktiviert oder deaktiviert werden:
myesa.loca> scanconfig
There are currently 5 attachment type mappings configured to be SKIPPED.
Choose the operation you want to perform:
- NEW - Add a new entry.
- DELETE - Remove an entry.
- SETUP - Configure scanning behavior.
- IMPORT - Load mappings from a file.
- EXPORT - Save mappings to a file.
- PRINT - Display the list.
- CLEAR - Remove all entries.
- SMIME - Configure S/MIME unpacking.
[]> setup
1. Scan only attachments with MIME types or fingerprints in the list.
2. Skip attachments with MIME types or fingerprints in the list.
Choose one:
[2]>
Enter the maximum depth of attachment recursion to scan:
[5]>
Enter the maximum size of attachment to scan:
[2621440]>
Do you want to scan attachment metadata? [Y]>
Enter the attachment scanning timeout (in seconds):
[1]>
If a message has attachments that were not scanned for any reason (e.g. because
of size, depth limits, or scanning timeout), assume the attachment matches the
search pattern? [Y]>
Stellen Sie sicher, dass alle Änderungen übernommen werden, indem Sie den Befehl commit eingeben.
Über GUI:
- Navigieren Sie zu Sicherheitsdienste und dann zu Suchverhalten.
- Klicken Sie auf Globale Einstellungen bearbeiten.
- Deaktivieren/Aktivieren Annehmen, dass Anlagen mit Mustern übereinstimmen, wenn sie nicht aus irgendeinem Grund gescannt werden.
Weitere Informationen über die scanconfig finden Sie im AsyncOS Advanced User Guide auf der Cisco Support-Portal.
Zugehörige Informationen