¿Tiene una cuenta?
Para la documentación de este producto, se ha apuntado a utilizar un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad étnica, orientación sexual, nivel socio-económico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento proporciona un resumen de las recomendaciones para los administradores que utilizan Cisco Cloud Email Security (CES) para configurar su Cisco Email Security Appliance (ESA). Cisco proporciona a todos los clientes de CES un dispositivo de administración de seguridad (SMA) en su instancia de CES. Para fines de administración centralizada, partes de la configuración y prácticas recomendadas dirigen a los administradores a utilizar las cuarentenas, que se encuentran en el SMA.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información de este documento se basa en las prácticas recomendadas y las recomendaciones para los clientes y administradores de CES.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Este documento también puede utilizarse con estas versiones de software y hardware:
Las cuarentenas se configuran y mantienen en el SMA para los clientes de CES. Inicie sesión en el SMA y vea las cuarentenas y cree previamente las cuarentenas siguientes, según sea necesario:
Advertencia: Cualquier cambio en las configuraciones basado en las prácticas recomendadas como se proporciona en este documento debe revisarse y entenderse antes de registrar los cambios de configuración en un entorno de producción. Consulte a su ingeniero de sistemas o equipo de cuentas de CES antes de realizar cambios en la configuración que no comprenda al 100% o con los que no se sienta cómodo al administrar.
Tabla de acceso de destinatarios (RAT)
Los mensajes aceptados para dominios se configuran en Tabla de Acceso de Destinatarios. Revise Políticas de correo > Tabla de acceso de destinatario (RAT) para agregar y administrar dominios según sea necesario.
Rutas SMTP
Si el destino de la ruta SMTP está alojado en Office 365, vea Office365 Throttling CES New Instance con "4.7.500 Server busy. Intente nuevamente más tarde.
IronPort Anti-Spam (IPAS)
Filtrado de URL
Detección de graymail
Filtros de brote
Protección frente a malware avanzado > Reputación y análisis de archivos
Rastreo de mensajes
Servicios adicionales para revisar y considerar:
LDAP
SPF
exists:%{i}.spf.<allocation>.iphmx.com
Nota: Asegúrese de que el registro SPF finaliza con ~all o -all. Colocar esta parte del registro SPF en cualquier otro lugar puede causar errores en la entrega de correo. Valide siempre antes de realizar cambios.
[v=spf1]Esto identifica el registro TXT como un registro SPF.
[exist]¿Existe el registro?
[%{i}]Expresión de macro que se reemplaza por la IP de conexión.
[-all]Fail: Permitir sólo correo que coincida con uno de los parámetros (IPv4, MX, etc.) del registro
[~all] SoftFail: Permitir correo si coincide o no con los parámetros del registro
Más ejemplos de SPF:
v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all
v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all
v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all
Usuarios (Administración del sistema > Usuarios)
Registro (Administración del sistema > Suscripciones de registro)
Filtrado de URL de seguridad web
> websecurityadvancedconfig
Enter URL lookup timeout (includes any DNS lookup time) in seconds:
[5]>
Enter the URL cache size (no. of URLs):
[810000]>
Do you want to disable DNS lookups? [N]>
Enter the maximum number of URLs that can be scanned in a message body:
[100]> 400
Enter the maximum number of URLs that can be scanned in the attachments in a message:
[25]> 400
Enter the Web security service hostname:
[v2.sds.cisco.com]>
Enter the threshold value for outstanding requests:
[50]> 5
Do you want to verify server certificate? [Y]>
Do you want to enable URL filtering for shortened URLs? [Y]>
Enter the default time-to-live value (seconds):
[30]> 600
Do you want to rewrite both the URL text and the href in the message? Y indicates that the full rewritten URL will appear in the email body. N indicates that the rewritten URL will only be visible in the href for HTML messages. [N]>
Do you want to include additional headers? [N]>
Enter the default debug log level for RPC server:
[Info]>
Enter the default debug log level for URL cache:
[Info]>
Enter the default debug log level for HTTP client:
[Info]>
Nota: A partir de AsyncOS 13.5, el filtrado de URL se gestionará desde Cloud URL Analysis (CUA). El comando websecurityadvancedconfig será diferente y reducirá algunas opciones de configuración.
> websecurityadvancedconfig
Enter URL lookup timeout in seconds:
[15]>
Enter the maximum number of URLs that can be scanned in a message body:
[100]> 400
Enter the maximum number of URLs that can be scanned in the attachments in a message:
[25]> 400
Do you want to rewrite both the URL text and the href in the message? Y indicates that the full rewritten URL will appear in the email body. N indicates that the rewritten URL will only be visible in the href for HTML messages. [N]>
Do you want to include additional headers? [N]>
Registro de URL
Logging of URLs is currently disabled.
Do you wish to enable logging of URL's? [N]> y
Logging of URLs has been enabled.
Filtro Anti-Spoof
Filtro de marca de encabezado
addHeaders: if (sendergroup != "RELAYLIST")
{
insert-header("X-IronPort-RemoteIP", "$RemoteIP");
insert-header("X-IronPort-MID", "$MID");
insert-header("X-IronPort-Reputation", "$Reputation");
insert-header("X-IronPort-Listener", "$RecvListener");
insert-header("X-IronPort-SenderGroup", "$Group");
insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}
Grupos de remitentes adicionales
En el grupo de remitentes SUSPECTLIST predefinido
Ejemplo de HAT agresivo
Nota: Los ejemplos de HAT anteriores muestran políticas de flujo de correo configuradas adicionalmente. Para obtener información completa sobre MFP, consulte la guía del usuario de la versión adecuada de AsyncOS para Email Security que se ejecuta en su ESA. Ejemplo, AsyncOS 10.0: Tabla de acceso de host (HAT), grupos de remitentes y políticas de flujo de correo
Ejemplo de HAT:
Parámetros de política predeterminados
Configuración de seguridad
Nota: DMARC requiere ajustes adicionales para la configuración. Para obtener información completa sobre DMARC, consulte la guía del usuario de la versión adecuada de AsyncOS para Email Security que se ejecuta en su ESA. Ejemplo, AsyncOS 10.0: Verificación de DMARC
La política predeterminada debe configurarse de forma similar a la siguiente:
Anti-Spam
Antivirus
AMP
Graymail
Filtros de contenido
Filtros de brote
Política de correo ALLOW_SPOOF
La política de correo ALLOW_SPOOF se configura con todos los servicios predeterminados habilitados y los filtros de contenido habilitados para URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, SDR o los filtros de contenido de su elección y configuración.
ALLOWLIST Mail Policy
La política de correo ALLOWLIST se configura con antispam y graymail inhabilitados, y los filtros de contenido habilitados para URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, SPOOF EJECUTIVA, DOMAIN_SPOOF, SDR, TG_RATE_LIMIT, o filtros de contenido de su elección y configuración.
Política de correo de la LISTA DE BLOQUKLIST
La política de correo de BLOCKLIST se configura con todos los servicios desactivados, excepto la protección frente a malware avanzado, y se vincula a un filtro de contenido con la acción de QUARANTINE.
La política predeterminada debe configurarse de forma similar a la siguiente:
Anti-Spam
Antivirus
Protección frente a malware avanzado
Graymail
Filtros de contenido
Filtros de brote
DLP
Nota: Para obtener información completa sobre los filtros de contenido, consulte la guía del usuario de la versión adecuada de AsyncOS para Email Security que se ejecuta en su ESA. Ejemplo, AsyncOS 10.0: Filtros de contenido
Se han sugerido los siguientes filtros de contenido en la sección Políticas de correo entrante y Políticas de correo saliente. Revise y añada si ha seguido las instrucciones de esta guía.
URL_QUARANTINE_MALICIOUS
Condición: Reputación de URL; url-reputación(-10.00, -6.00 , "bypass_urls", 1, 1)
Acción: Cuarentena: cuarentena("URL_MALICIOUS")
URL_REWRITE_SUSPICIOUS
Condición: Reputación de URL; url-reputación(-5.90, -5.60 , "bypass_urls", 0, 1)
Acción: Reputación de URL; url-reputación-proxy-redirect(-5.90, -5.60",0)
URL_INAPROPRIATE
Condición: Categoría de URL; categoría de URL (['Adulto', 'Contenido de abuso infantil', 'Extremo', 'Discurso de odio', 'Actividades ilegales', 'Descargas ilegales', 'Drogas ilegales', 'Pornografía', 'Evitación de filtros'], "bypass_urls", 1, 1)
Acción: Cuarentena; duplicar-cuarentena("INAPPROPRIATE_CONTENT")
DKIM_FAILURE
Condición: Autenticación DKIM; dkim-authentication == "hardfail"
Acción: Cuarentena; cuarentena duplicada("DKIM_FAIL")
SPF_HARDFAIL
Condición: Verificación SPF; spf-status == "fail"
Acción: Cuarentena; cuarentena duplicada("SPF_HARDFAIL")
EJECUTIVE_SPOOF
Condición: Detección de correo electrónico falsificada; detección de correo electrónico falsificado("Executive_FED", 90, "")
Condición: Otro encabezado; encabezado("X-IronPort-SenderGroup") != "(?i)allowspoof"
* establecer regla de aplicación: Sólo si todas las condiciones coinciden
Acción: Agregar/Editar encabezado; editar-encabezado-texto("Asunto", "(.*)", "[EXTERNO]\\1")
Acción: Cuarentena; duplicar-cuarentena("FORGED_EMAIL")
DOMAIN_SPOOF
Condición: Otro encabezado; header("X-Spoof")
Acción: Cuarentena; cuarentena duplicada("ANTI_SPOOF")
SDR
Condición: Reputación de dominio; sdr-reputación (['horrible'], "")
Condición: Reputación de dominio; edad-sdr ("días", <, 5, "")
* establecer regla de aplicación: Si una o más condiciones coinciden
Acción: Cuarentena; cuarentena duplicada("SDR_DATA")
TG_RATE_LIMIT
Condición: Otro encabezado; encabezado("X-TG-RATELIMIT")
Acción: Agregar entrada de registro; entrada de registro("X-TG-RATELIMIT: $filenames")
BLOCKLIST_QUARANTINE
Condición: (Ninguno)
Acción: Cuarentena; cuarentena("BLOCKLIST")
TG_OUTBOUND_MALICIOUS
Condición: Otro encabezado; encabezado("X-TG-OUTBOUND") == "MALWARE"
Acción: Cuarentena; cuarentena("TG_OUTBOUND_MALWARE")
Strip_Secret_Header
Condición: Otro encabezado; encabezado("PLACEHOLDER") == "PLACEHOLDER"
Acción: Encabezado de tira; encabezado de tira("X-IronPort-Tenant")
EXTERNAL_SENDER_REMOVE
Condición: (Ninguno)
Acción: Agregar/Editar encabezado; editar-encabezado-texto("Asunto", "\\[EXTERNO\\]\\s?", "")
ACCOUNT_TAKEOVER
Condición: Otro encabezado; encabezado("X-AMP-Result") == "(?i)malicioso"
Condición: Reputación de URL; url-reputación(-10.00, -6.00 , "", 1, 1)
*Establecer regla de aplicación: Si una o más condiciones coinciden
Acción: Notificar;notificar ("myit@mycompany.com", "POSIBLE CONTRATACIÓN DE CUENTA", "", "ADVERTENCIA_DE_CUENTA")
Acción: duplique-quarantine("ACCOUNT_TAKEOVER")
Para los clientes de CES, tenemos filtros de contenido de ejemplo incluidos en la configuración de prácticas recomendadas precargada. Revise los filtros "SAMPLE_" para obtener más información sobre las condiciones y acciones asociadas que pueden resultar beneficiosas para su configuración.
Cisco Live acoge muchas sesiones globalmente y ofrece sesiones en persona y sesiones técnicas que tratan las prácticas recomendadas de Cisco Email Security. Para las sesiones anteriores y el acceso, visite ciscolive.com:
Cisco Email Security: Mejores prácticas y ajuste fino - BRKSEC-2131