Prácticas recomendadas de configuración para CES ESA

Introducción

Este documento proporciona un resumen de las recomendaciones para los administradores que utilizan Cisco Cloud Email Security (CES) para configurar su Cisco Email Security Appliance (ESA).  Cisco proporciona a todos los clientes de CES un dispositivo de administración de seguridad (SMA) en su instancia de CES.  Para fines de administración centralizada, partes de la configuración y prácticas recomendadas dirigen a los administradores a utilizar las cuarentenas, que se encuentran en el SMA.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Administración de ESA, administración tanto de CLI como de GUI
• Administración de SMA, administración a nivel de GUI
• Los clientes de CES pueden solicitar acceso CLI a sus instancias de CES mediante las siguientes instrucciones: Acceso CLI del cliente CES

Componentes Utilizados

La información de este documento se basa en las prácticas recomendadas y las recomendaciones para los clientes y administradores de CES.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Productos Relacionados

Este documento también puede utilizarse con estas versiones de software y hardware:

• Hardware y dispositivos virtuales (no CES) ESA in situ que ejecutan cualquier versión de AsyncOS para Email Security
• Hardware y dispositivos virtuales (no CES) SMA in situ que ejecutan cualquier versión de AsyncOS para la gestión de la seguridad

Cuarentenas de políticas

Las cuarentenas se configuran y mantienen en el SMA para los clientes de CES.  Inicie sesión en el SMA y vea las cuarentenas y cree previamente las cuarentenas siguientes, según sea necesario:

• ACCOUNT_TAKEOVER
• ANTI_SPOOF
• BLOCK_ATTACHMENTS
• LISTA DE BLOQUEO
• DKIM_FAIL
• DMARC_QUARANTINE
• DMARC_REJECT
• CORREO ELECTRÓNICO FORGADO
• INAPROPRIATE_CONTENT
• MACRO
• OPEN_RELAY
• SDR_DATA
• SPF_HARDFAIL
• SPF_SOFTFAIL
• TG_OUTBOUND_MALWARE
• URL_MALICIOUS

Prácticas recomendadas de configuración para CES ESA

Advertencia: Cualquier cambio en las configuraciones basado en las prácticas recomendadas como se proporciona en este documento debe revisarse y entenderse antes de registrar los cambios de configuración en un entorno de producción.  Consulte a su ingeniero de sistemas o equipo de cuentas de CES antes de realizar cambios en la configuración que no comprenda al 100% o con los que no se sienta cómodo al administrar.

Configuración Básica 

Tabla de acceso de destinatarios (RAT)

Los mensajes aceptados para dominios se configuran en Tabla de Acceso de Destinatarios.  Revise Políticas de correo > Tabla de acceso de destinatario (RAT) para agregar y administrar dominios según sea necesario.

Rutas SMTP

Si el destino de la ruta SMTP está alojado en Office 365, vea Office365 Throttling CES New Instance con "4.7.500 Server busy. Intente nuevamente más tarde.

Servicios de seguridad

IronPort Anti-Spam (IPAS)

• Habilitado y configurado Siempre escanear 1M y Nunca analizar 2M

Filtrado de URL

• Habilitar la categorización de URL y los filtros de reputación
• (Opcional) Cree y configure una lista de permisos de URL denominada "bypass_urls"
• Habilitar seguimiento de interacción web

Detección de graymail

• Activar y configurar Siempre escanear 1M y Nunca analizar 2M
• Tiempo de espera para escanear un solo mensaje: 60 segundos

Filtros de brote

• Habilitar reglas adaptables
• Tamaño máximo de mensaje para escanear: 2 millones
• Habilitar seguimiento de interacción web

Protección frente a malware avanzado > Reputación y análisis de archivos

• Habilitar Reputación de archivos
• Habilitar análisis de archivos
• Revisar y habilitar tipos de archivo adicionales después de habilitar la función

Rastreo de mensajes

• Activar registro de conexión rechazada (si es necesario) 

Servicios adicionales para revisar y considerar:

LDAP

• Si utiliza LDAP, recomiende utilizar LDAP con SSL habilitado

SPF

• Clientes de CES, se publica una macro para todos los hosts CES por el nombre de host de asignación para facilitar la adición de todos los hosts.
• Coloque la siguiente macro antes de ~all o -all dentro del registro actual DNS TXT (SPF), si existe: 

exists:%{i}.spf.<allocation>.iphmx.com

Nota: Asegúrese de que el registro SPF finaliza con ~all o -all. Colocar esta parte del registro SPF en cualquier otro lugar puede causar errores en la entrega de correo. Valide siempre antes de realizar cambios. 

• Valide los registros SPF de los dominios del cliente antes y después de cualquier cambio.
  • Herramienta de ejemplo: 
    • https://www.kitterman.com/spf/validate.html?
  • Si desea validar previamente un cambio SPF propuesto:
    • https://app.dmarcanalyzer.com/dns/spf
      1. Haga clic en 'Prevalidar una actualización de registro SPF'
      2. Introducir dominio
      3. Pegue en el registro SPF TXT y haga clic en 'Validar SPF'
• Desglose de los elementos básicos de un registro SPF:

[v=spf1]Esto identifica el registro TXT como un registro SPF.
[exist]¿Existe el registro?
[%{i}]Expresión de macro que se reemplaza por la IP de conexión.
[-all]Fail: Permitir sólo correo que coincida con uno de los parámetros (IPv4, MX, etc.) del registro

[~all] SoftFail: Permitir correo si coincide o no con los parámetros del registro

Más ejemplos de SPF:

• Si recibe en CES y envía correo saliente desde otros servidores de correo, un buen comienzo sería el siguiente ejemplo. Puede utilizar el mecanismo "a:" para especificar los hosts de correo.  

v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all 

• Si sólo envía correo saliente a través de CES, podría utilizar:

v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all 

• En este ejemplo, se utiliza el mecanismo "ip4:" o "ip6:" para especificar una dirección IP o un rango de direcciones IP.

v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all

Administración del sistema

Usuarios (Administración del sistema > Usuarios)

• Recuerde revisar y establecer las políticas de contraseña asociadas a 'Configuración de cuenta de usuario local y frase de paso'
• Si es posible, configure y habilite el protocolo ligero de acceso a directorios (LDAP) para la autenticación (Administración del sistema > LDAP)

Registro (Administración del sistema > Suscripciones de registro)

• Si no está configurado, cree y habilite:
  • Registros del historial de configuración
  • Registros de filtrado de URL o registros de clientes de reputación de URL
• Para la configuración global, edite la configuración y los encabezados de registro: A, Desde, Responder a, Remitente

Cambios de nivel CLI

Filtrado de URL de seguridad web

• Por favor, asegúrese de leer nuestro ESA Habilitación de Filtrado de URL y Prácticas Recomendadas.
• Sólo CLI, ejecute el comando websecurityadvancedconfig y configure lo siguiente:

> websecurityadvancedconfig

Enter URL lookup timeout (includes any DNS lookup time) in seconds:
[5]>

Enter the URL cache size (no. of URLs):
[810000]>

Do you want to disable DNS lookups? [N]>

Enter the maximum number of URLs that can be scanned in a message body:
[100]> 400

Enter the maximum number of URLs that can be scanned in the attachments in a message:
[25]> 400

Enter the Web security service hostname:
[v2.sds.cisco.com]>

Enter the threshold value for outstanding requests:
[50]> 5

Do you want to verify server certificate? [Y]>

Do you want to enable URL filtering for shortened URLs? [Y]>

Enter the default time-to-live value (seconds):
[30]> 600

Do you want to rewrite both the URL text and the href in the message? Y indicates that the full rewritten URL will appear in the email body. N indicates that the rewritten URL will only be visible in the href for HTML messages. [N]>

Do you want to include additional headers? [N]>

Enter the default debug log level for RPC server:
[Info]>

Enter the default debug log level for URL cache:
[Info]>

Enter the default debug log level for HTTP client:
[Info]>

  

  

Nota: A partir de AsyncOS 13.5, el filtrado de URL se gestionará desde Cloud URL Analysis (CUA).  El comando websecurityadvancedconfig será diferente y reducirá algunas opciones de configuración. 

  

  

> websecurityadvancedconfig

Enter URL lookup timeout in seconds:
[15]>

Enter the maximum number of URLs that can be scanned in a message body:
[100]> 400

Enter the maximum number of URLs that can be scanned in the attachments in a message:
[25]> 400

Do you want to rewrite both the URL text and the href in the message? Y indicates that the full rewritten URL will appear in the email body. N indicates that the rewritten URL will only be visible in the href for HTML messages. [N]>

Do you want to include additional headers? [N]>

Registro de URL

• Por favor, asegúrese de leer nuestro ESA Habilitación de Filtrado de URL y Prácticas Recomendadas.
• Sólo CLI, ejecute el comando outbreakconfig y configure la siguiente sección como se muestra, si aún no está habilitado:

Logging of URLs is currently disabled.

Do you wish to enable logging of URL's? [N]> y

Logging of URLs has been enabled.

Filtro Anti-Spoof

• Por favor, asegúrese de leer nuestra Guía de Prácticas Recomendadas para Anti-Spoofing.

Filtro de marca de encabezado

• Sólo CLI, escriba y habilite el siguiente filtro de mensaje:

addHeaders:  if (sendergroup != "RELAYLIST")
{
     insert-header("X-IronPort-RemoteIP", "$RemoteIP");
     insert-header("X-IronPort-MID", "$MID");
     insert-header("X-IronPort-Reputation", "$Reputation");
     insert-header("X-IronPort-Listener", "$RecvListener");
     insert-header("X-IronPort-SenderGroup", "$Group");
     insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}

  

  

Tabla de acceso de host

Grupos de remitentes adicionales

• Guía del Usuario ESA: Creación de un Grupo de Remitentes para el Manejo de Mensajes
  • BYPASS_SBRS: coloque un valor superior para los orígenes que omiten la reputación
  • MY_TRUSTED_SPOOF_HOSTS - Parte del filtro de suplantación
  • TLS_REQUIRED - Para conexiones obligadas a TLS

En el grupo de remitentes SUSPECTLIST predefinido

• Guía del usuario ESA: Verificación de remitente: Host
  • habilitar "Puntuaciones SBRS en ninguna"
  • (Opcional) active "La conexión de la búsqueda del registro PTR del host falla debido a una falla temporal de DNS"

Ejemplo de HAT agresivo

• POLÍTICA BLOCKLIST_REFUSE [-10.0 a -9.0]: BLOCKED_REFUSE
• POLÍTICA BLOCKLIST_REJECT [-9.0 a -2.0]: BLOCKED_REJECT
• SUSPECTLIST [-2.0 a 0.0 y puntuaciones SBRS de POLÍTICA "Ninguno"]: DESCARTADO
• POLÍTICA ACCEPTLIST [0.0 a 10.0]: ACEPTADO

  

  

Nota: Los ejemplos de HAT anteriores muestran políticas de flujo de correo configuradas adicionalmente.  Para obtener información completa sobre MFP, consulte la guía del usuario de la versión adecuada de AsyncOS para Email Security que se ejecuta en su ESA.  Ejemplo, AsyncOS 10.0: Tabla de acceso de host (HAT), grupos de remitentes y políticas de flujo de correo

  

  

Ejemplo de HAT:

  

  

Política de flujo de correo (Parámetros de política predeterminados)

Parámetros de política predeterminados

Configuración de seguridad

• Establecer seguridad de la capa de transporte (TLS) como preferido
• Habilitar marco de políticas de remitente (SPF)
• Habilitar correo identificado con claves de dominio (DKIM)
• Habilitar verificación, notificación y conformidad de mensajes basada en dominio (DMARC) y enviar informes de comentarios agregados

  

  

Nota: DMARC requiere ajustes adicionales para la configuración.  Para obtener información completa sobre DMARC, consulte la guía del usuario de la versión adecuada de AsyncOS para Email Security que se ejecuta en su ESA.  Ejemplo, AsyncOS 10.0: Verificación de DMARC

  

  

Políticas de correo entrante

La política predeterminada debe configurarse de forma similar a la siguiente:

Anti-Spam

• Habilitado, con los umbrales restantes en los umbrales predeterminados.  (La modificación de la puntuación podría dar lugar a un aumento de falsos positivos.)

Antivirus

• Escaneo de mensajes:
  • Buscar sólo virus
  • Casilla de verificación asegurar que "Incluir un encabezado X" esté activada
  • Mensajes no escaneables, Mensajes infectados por virus: establezca "Archivar mensaje original" en No

AMP

• Acciones no escaneables sobre errores de mensajes: utilice Avanzado y Agregar Encabezado del Cliente al Mensaje: "X-TG-MSGERROR", valor: "verdadero"
• Acciones no escaneables en el límite de velocidad: utilice Avanzado y Agregar Encabezado del Cliente al Mensaje: "X-TG-RATELIMIT", valor: "verdadero"
• Mensajes con Análisis de Archivos Pendientes: Usar acción aplicada al mensaje como "cuarentena"

Graymail

• Análisis habilitado para cada veredicto, prefijar asunto y entregar
• Para la acción en correo masivo, utilice Avanzado y Agregar encabezado personalizado "X-BulkMail", valor = "Verdadero"

Filtros de contenido

• Habilitado y utilizando URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, EJECUTIVE_SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_LIMIT

Filtros de brote

• El nivel de amenaza predeterminado es 3. Ajuste según sus requisitos de seguridad
  • Si el nivel de amenaza de un mensaje es igual o superior a este umbral, el mensaje se enviará a la cuarentena de brotes. (1=amenaza más baja, 5=amenaza más alta)
• Habilitar modificación de mensaje
• URL Rewrite set para "Habilitar para todos los mensajes"
• Cambiar asunto antes de: [Posible $threat_category Fraud]

  

  

Política de correo ALLOW_SPOOF

La política de correo ALLOW_SPOOF se configura con todos los servicios predeterminados habilitados y los filtros de contenido habilitados para URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, SDR o los filtros de contenido de su elección y configuración.

ALLOWLIST Mail Policy

La política de correo ALLOWLIST se configura con antispam y graymail inhabilitados, y los filtros de contenido habilitados para URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, SPOOF EJECUTIVA, DOMAIN_SPOOF, SDR, TG_RATE_LIMIT, o filtros de contenido de su elección y configuración.

Política de correo de la LISTA DE BLOQUKLIST

La política de correo de BLOCKLIST se configura con todos los servicios desactivados, excepto la protección frente a malware avanzado, y se vincula a un filtro de contenido con la acción de QUARANTINE. 

  

  

Políticas de correo saliente

La política predeterminada debe configurarse de forma similar a la siguiente:

Anti-Spam

• Inhabilitado

Antivirus

• Escaneo de mensajes:
  • Buscar sólo virus
  • desactive la casilla de verificación "Incluir un encabezado X"
• Para todos los mensajes: Avanzado > Otras notificaciones, active "Otros" e incluya la dirección de correo electrónico de contacto admin/SOC

Protección frente a malware avanzado

• Habilitar sólo Reputación de archivos
• Acciones no escaneables en el límite de velocidad: utilice Avanzado y Agregar Encabezado del Cliente al Mensaje: "X-TG-RATELIMIT", valor: "verdadero"
• Mensajes con archivos adjuntos de malware: utilice Avanzado y Agregar Encabezado del Cliente al Mensaje: "X-TG-OUTBOUND", valor: "MALWARE DETECTADO"

Graymail

• Inhabilitado

Filtros de contenido

• Habilitado y utilizando TG_OUTBOUND_MALICIOUS, Strip_Secret_Header, EXTERNAL_SENDER_REMOVE, ACCOUNT_TAKEOVER o filtros de contenido de su elección y configuración

Filtros de brote

• Inhabilitado

DLP

• Habilite, en función de la licencia de DLP y la configuración de DLP.  (Esto no se tratará en este documento.)

    

Otros parámetros

Diccionarios (Políticas de correo > Diccionarios)

• Habilitar y revisar el diccionario de contenido sexual
• Crear el diccionario Executive_FED para la detección de correo electrónico falsificado, incluir todos los nombres de ejecutivos
• Cree diccionarios o diccionarios adicionales para palabras clave restringidas u otras palabras clave según lo considere necesario para las políticas, el entorno y el control de seguridad

Controles de destino (Políticas de correo > Controles de destino)

• Para el dominio predeterminado, habilite TLS estableciendo en Preferred
• Es posible que desee agregar destinos para dominios de correo web y establecer umbrales más bajos
• Consulte nuestra guía Rate Limit Your Own Outbound Mail with Destination Control Settings para obtener más información.

  

  

Filtros de contenido

  

  

Nota: Para obtener información completa sobre los filtros de contenido, consulte la guía del usuario de la versión adecuada de AsyncOS para Email Security que se ejecuta en su ESA.  Ejemplo, AsyncOS 10.0: Filtros de contenido  

  

  

Se han sugerido los siguientes filtros de contenido en la sección Políticas de correo entrante y Políticas de correo saliente.  Revise y añada si ha seguido las instrucciones de esta guía.

Filtros de contenido entrante

URL_QUARANTINE_MALICIOUS

Condición: Reputación de URL; url-reputación(-10.00, -6.00 , "bypass_urls", 1, 1)

Acción: Cuarentena: cuarentena("URL_MALICIOUS")

  

URL_REWRITE_SUSPICIOUS

Condición: Reputación de URL; url-reputación(-5.90, -5.60 , "bypass_urls", 0, 1)

Acción: Reputación de URL; url-reputación-proxy-redirect(-5.90, -5.60",0)

  

URL_INAPROPRIATE

Condición: Categoría de URL; categoría de URL (['Adulto', 'Contenido de abuso infantil', 'Extremo', 'Discurso de odio', 'Actividades ilegales', 'Descargas ilegales', 'Drogas ilegales', 'Pornografía', 'Evitación de filtros'], "bypass_urls", 1, 1)

Acción: Cuarentena; duplicar-cuarentena("INAPPROPRIATE_CONTENT")

  

DKIM_FAILURE

Condición: Autenticación DKIM; dkim-authentication == "hardfail"

Acción: Cuarentena; cuarentena duplicada("DKIM_FAIL")

  

SPF_HARDFAIL

Condición: Verificación SPF; spf-status == "fail"

Acción: Cuarentena; cuarentena duplicada("SPF_HARDFAIL")

  

EJECUTIVE_SPOOF

Condición: Detección de correo electrónico falsificada; detección de correo electrónico falsificado("Executive_FED", 90, "")

Condición: Otro encabezado; encabezado("X-IronPort-SenderGroup") != "(?i)allowspoof"

* establecer regla de aplicación: Sólo si todas las condiciones coinciden

Acción: Agregar/Editar encabezado; editar-encabezado-texto("Asunto", "(.*)", "[EXTERNO]\\1")

Acción: Cuarentena; duplicar-cuarentena("FORGED_EMAIL")

  

DOMAIN_SPOOF

Condición: Otro encabezado; header("X-Spoof")

Acción: Cuarentena; cuarentena duplicada("ANTI_SPOOF")

  

SDR

Condición: Reputación de dominio; sdr-reputación (['horrible'], "")

Condición: Reputación de dominio; edad-sdr ("días", <, 5, "")

* establecer regla de aplicación: Si una o más condiciones coinciden

Acción: Cuarentena; cuarentena duplicada("SDR_DATA")

  

TG_RATE_LIMIT

Condición: Otro encabezado; encabezado("X-TG-RATELIMIT")

Acción: Agregar entrada de registro; entrada de registro("X-TG-RATELIMIT: $filenames")

  

BLOCKLIST_QUARANTINE

Condición: (Ninguno)

Acción: Cuarentena; cuarentena("BLOCKLIST")

  

  

  

  

Filtros de contenido saliente

  

TG_OUTBOUND_MALICIOUS

Condición: Otro encabezado; encabezado("X-TG-OUTBOUND") == "MALWARE"

Acción: Cuarentena; cuarentena("TG_OUTBOUND_MALWARE")

  

Strip_Secret_Header

Condición: Otro encabezado; encabezado("PLACEHOLDER") == "PLACEHOLDER"

Acción: Encabezado de tira; encabezado de tira("X-IronPort-Tenant")

  

EXTERNAL_SENDER_REMOVE

Condición: (Ninguno)

Acción: Agregar/Editar encabezado; editar-encabezado-texto("Asunto", "\\[EXTERNO\\]\\s?", "")

  

ACCOUNT_TAKEOVER

Condición: Otro encabezado; encabezado("X-AMP-Result") == "(?i)malicioso"

Condición: Reputación de URL; url-reputación(-10.00, -6.00 , "", 1, 1)

*Establecer regla de aplicación: Si una o más condiciones coinciden

Acción: Notificar;notificar ("myit@mycompany.com", "POSIBLE CONTRATACIÓN DE CUENTA", "", "ADVERTENCIA_DE_CUENTA")

Acción: duplique-quarantine("ACCOUNT_TAKEOVER")

  

  

  

Para los clientes de CES, tenemos filtros de contenido de ejemplo incluidos en la configuración de prácticas recomendadas precargada.  Revise los filtros "SAMPLE_" para obtener más información sobre las condiciones y acciones asociadas que pueden resultar beneficiosas para su configuración.

  

  

Cisco Live

Cisco Live acoge muchas sesiones globalmente y ofrece sesiones en persona y sesiones técnicas que tratan las prácticas recomendadas de Cisco Email Security.  Para las sesiones anteriores y el acceso, visite ciscolive.com:

• Cisco Email Security: Mejores prácticas y ajuste fino - BRKSEC-2131

• DMARCate Your Email Perimeter (Desvío de mensajes de correo electrónico) - BRKSEC-2131
• Corregir correo electrónico - Solución de problemas avanzada de Cisco Email Security - BRKSEC-3265
• Integración de API para Cisco Email Security: DEVNET-2326
• Protección de los servicios de buzón de correo SaaS con Cloud Email Security de Cisco - BRKSEC-1025
• Seguridad del correo electrónico: Mejores prácticas y ajuste fino - TECSEC-2345
• 250 no está bien: continúe con la función de defensa con Cisco Email Security - TECSEC-2345
• Protección de dominios de Cisco y protección avanzada contra phishing de Cisco: Saque el máximo partido a la siguiente capa de seguridad para el correo electrónico - BRKSEC-1243
• SPF no es un acrónimo de "Spoof"! Aprovechemos al máximo la próxima capa de seguridad para el correo electrónico. - DGTL-BRKSEC-2327

  

  

Información Relacionada

• Acuerdo de licencia de usuario final de CES
• Términos de la oferta de nube de Cisco > CES, CRES, DMP, APP y CMD
• Términos de la nube universal de Cisco
• Soporte y descargas de Cisco
• [EXTERNO] OpenSPF: Información básica y avanzada de SPF
• [EXTERNO] Autenticación con SPF: -all o ~all