¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Mejores prácticas de la configuración para CES ESA

Opciones de descarga

  • PDF     (268.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (236.4 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (249.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:5 de septiembre de 2018
ID del documento:210890
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento proporciona a un resumen de las recomendaciones para los administradores que usan la Seguridad del correo electrónico de la nube de Cisco (CES) para configurar su dispositivo de seguridad del correo electrónico de Cisco (ESA).

    Prerrequisitos

    Requisitos

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • La administración ESA, la administración del nivel CLI y GUI

    Componentes Utilizados

    La información en este documento se basa en las mejores prácticas y las recomendaciones para los clientes y los administradores CES.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

    Productos relacionados

    Este documento también puede utilizarse con estas versiones de software y hardware:

    • Dotación física de las en-premisas ESA y dispositivos virtuales (no--CES) que funcionan con cualquier versión de AsyncOS para la Seguridad del correo electrónico

    Mejores prácticas de la configuración para CES ESA

    Advertencia: Cualquier cambio a las configuraciones basadas en las mejores prácticas como está previsto en este documento se debe revisar y entender antes de confiar sus cambios de configuración en un entorno de producción.  Consulte por favor con su ingeniero en sistemas o el equipo de cuenta CES antes de realizar los cambios de configuración con los cuales usted el 100% no entiende ni tiene comodidad al administrar.

    Configuración básica 

    Tabla receptora del acceso (RAT)

    Dominios entrantes del correo configurados en la tabla receptora del acceso

    Rutas SMTP

    Si el destino de ruta smtp es la oficina 365 recibida,

    Servicios de seguridad

    Anti-Spam de IronPort (IPAS)

    • Siempre el 1.5 MB de la exploración y nunca analiza el 2 MB

    Filtrado de URL

    • Clasificación y reputación del permiso URL
    • Seguimiento de la interacción de la red del permiso

    Detección de Graymail

    • MB de la talla 1 de los mensajes del permiso y del máximo

    Filtros del brote

    • Active las reglas adaptantes, MB máximo de la talla 1 de la exploración
    • Active el seguimiento de la interacción de la red

    Protección avanzada de Malware

    • Tipos de archivo adicionales del permiso después de activar la característica

    Seguimiento de mensajes

    • Registro rechazado permiso de la conexión (si procede) 

    LDAP 

    si usa el LDAP, recomiende usando el LDAP con el SSL activado. 

    SPF

    Proporcione a las instrucciones en agregar los host CES al expediente existente SPF del cliente. Una macro se publica para todos los host CES por el hostname de la asignación para hacerlo más fácil agregar todos los host: 

    Ponga la macro siguiente antes del ~all o - todos dentro del expediente actual de TXT/SPF si existe. 

    exists:%{i}.spf.<allocation>.iphmx.com

    Nota: Asegure a spf los extremos de registro con o el ~all o - todos. Poniendo a esta parte del expediente spf en cualquier parte puede causar los problemas de la entrega de correo de los errores. Valide siempre antes de realizar cualesquiera cambios. 

    Valide los expedientes SPF para los dominios del cliente antes y después de cualquier cambio

    herramientas del ejemplo: 

    Ruptura de los elementos básicos de un expediente SPF. 

    [v=spf1]This identifica el expediente de TXT como expediente SPF.
    El [exists] hace el expediente existe
    Expresión macra del [%{i}] que se substituye por el IP de conexión.
    Fall del [-all]Permita solamente el correo que hace juego uno de los parámetros (IPv4, MX, etc) en el expediente

    [all] SoftFail: Permita el correo independientemente de si haga juego los parámetros en el expediente

    Más ejemplos SPF

    Si usted está recibiendo en CES y está enviando el correo saliente de otros servidores del correo, un buen comienzo sería el ejemplo siguiente. Usted puede utilizar la “a: ” mecanismo para especificar los host de correo.  

    v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all

    Si usted está enviando solamente el correo saliente con CES, usted podría utilizar:

    v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all

    En este ejemplo, el mecanismo del "ip4:" o del "ip6:" se utiliza para especificar un rango de la dirección IP o de dirección IP.

    v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all

    Administración del sistema

    Usuarios

    • Fije las políticas de contraseña
    • Si Lightweight Directory Access Protocol (LDAP) posible de la palancada para la autenticación

    Suscripciones del registro

    • Registros del historial de la configuración del permiso
    • Registros del Filtrado de URL del permiso
    • Encabezado adicional del registro “de”

    Cambios de nivel CLI

    Filtrado de URL SDS de la Seguridad de la red

    • websecurityadvancedconfig
    Do you want to disable DNS lookups? [N]> y

    Enter the maximum number of URLs that should be scanned:
    [100]> 20

    Enter the threshold value for outstanding requests:
    [50]> 5

    Enter the default time-to-live value (seconds):
    [30]> 600

    Do you want to rewrite all URLs with secure proxy URLs? [Y]> n

    Registro URL

    Logging of URLs is currently disabled.

    Do you wish to enable logging of URL's? [N]> y

    Logging of URLs has been enabled.

    Filtro del Anti-spoof

    Encabezado que sella el filtro

    • escriba y active
    addHeaders:  if (sendergroup != "RELAYLIST")
    {
         insert-header("X-IronPort-RemoteIP", "$RemoteIP");
         insert-header("X-IronPort-MID", "$MID");
         insert-header("X-IronPort-Reputation", "$Reputation");
         insert-header("X-IronPort-Listener", "$RecvListener");
         insert-header("X-IronPort-SenderGroup", "$Group");
         insert-header("X-IronPort-MailFlowPolicy", "$Policy");
    }

    Tabla del acceso del host

    Grupos adicionales del remitente

    En el grupo predefinido del remitente SUSPECTLIST

    • Guía de usuario ESA: Verificación del remitente: Host
      • permiso “calificaciones SBR en ninguno”
      • Opcionalmente, el permiso “conexión de operaciones de búsqueda del expediente PTR del host falla debido al error de DNS temporal”

    Muestra agresiva del SOMBRERO

    • LISTA NEGRA [-10 a la DIRECTIVA -2]: BLOQUEADO
    • SUSPECTLIST [-2 a la DIRECTIVA -1]: HEAVYTHROTTLED
    • GRAYLIST[-1 a 2 y NINGUNO] DIRECTIVA: LIGHTTHROTTLED
    • ACCEPTLIST [2 a la DIRECTIVA 10]: VALIDADO

    Nota: Los ejemplos antedichos del SOMBRERO muestran las directivas además configuradas del flujo de correo.  Para toda la información sobre MFP, refiera por favor a la guía de usuario de la versión apropiada de AsyncOS para la Seguridad del correo electrónico que se ejecuta en su ESA.  Ejemplo, AsyncOS 10.0: Tabla del acceso del host (SOMBRERO), grupos del remitente, y directivas del flujo de correo

    Directiva del flujo de correo (parámetros de la directiva predeterminada)

    Ajustes de seguridad

    • Fije Transport Layer Security (TLS) a preferido
    • Active el Marco de políticas del remitente (el SPF)
    • Active los DomainKeys Identified Mail (el DKIM)
    • Active la autenticación del mensaje Dominio-basada, la información y la verificación de la conformidad (DMARC) y envíe los informes globales del feedback

    Nota: DMARC requiere la adaptación adicional a configurar.  Para toda la información sobre DMARC, refiera por favor a la guía de usuario de la versión apropiada de AsyncOS para la Seguridad del correo electrónico que se ejecuta en su ESA.  Ejemplo, AsyncOS 10.0: Verificación DMARC

    Directivas del correo entrante

    Umbrales del Anti-Spam

    • Los umbrales se deben dejar en los umbrales del valor por defecto.  La modificación de anotar podía dar lugar a un aumento del falso positivo.

    Antivirus

    • Exploración del mensaje: Exploración para los virus solamente
    • Los mensajes de Unscannable, virus infectaron los mensajes: fije el “mensaje original del archivo” a ningún

    AMP

    • Agregue el “AMP” para sujetar Prepend para Unscannable, neutralización “mensaje del archivo”

    Graymail

    • La exploración activada para cada veredicto, Prepend el tema y lo entrega
    • Agregue la x-encabezado para el correo electrónico a granel, encabezado = “X-BulkMail”, valor = “verdad”

    Filtros del brote

    • El nivel de la amenaza del valor por defecto es 3, ajusta por favor según sus requerimientos de seguridad
      • Si la amenaza llana para un mensaje iguala o excede este umbral, el mensaje será enviado a la cuarentena del brote. (amenaza 1=lowest, amenaza 5=highest)
    • Modificación del mensaje del permiso.  Reescritura URL para el mensaje sin signo
    • El tema del cambio prepend a:  [Possible $threat_category Fraud]

    Directiva del correo de la lista blanca

    Las directivas del correo de la lista blanca se configuran con Antispam y Graymail inhabilitó.

    Directiva del correo de la lista negra

    Las directivas del correo de la lista negra se configuran con todos los servicios inhabilitados y conectan a un filtro contento a la acción del descenso. 

    Blacklist_Drop

    Cree el filtro contento navegando a las directivas GUI > del correo > los filtros contentos entrantes

    No especifique ninguna condición y una acción de Drop()

    Conecte el filtro contento para poner la directiva del correo returing para enviar las directivas > las directivas del correo entrante > los filtros de la lista negra > del contenido

    Directivas salientes del correo

    Antivirus

    • Exploración del mensaje
      • Exploración para los virus solamente
      • el O.N.U-control incluye una X-encabezado con los resultados de la exploración sistema de pesos americano en el mensaje
    • Para todos los mensajes: Avanzado > la otra notificación, permiso “otras” e incluye la dirección de correo electrónico del contacto admin/SOC

    Cuarentenas de la directiva

    Pre-cree las cuarentenas siguientes:

    • Entrante inadecuado
    • Saliente inadecuado
    • Entrante malévolo URL
    • Saliente malévolo URL
    • Spoof sospechado
    • Malware 

    Otras configuraciones

    Diccionarios

    • Blasfemia del permiso/del estudio y diccionario sexual de los términos
    • Cree el diccionario forjado del correo electrónico con los nombres ejecutivos
    • Cree el diccionario para las palabras claves restrictas u otras

    Controles del destino

    Filtros contentos

    Nota: Para toda la información sobre los filtros contentos, refiera por favor a la guía de usuario de la versión apropiada de AsyncOS para la Seguridad del correo electrónico que se ejecuta en su ESA.  Ejemplo, AsyncOS 10.0: Filtros contentos  

    Filtro contento inadecuado

    • La blasfemia de las condiciones O sexuales diccionario hace coincidir, envía una copia a la cuarentena inadecuada

    Filtro malévolo del contenido de la reputación URL

    • Envíe una copia al URL malévolo (-10 a -6) para quarantine

    Filtro del contenido de la categoría URL con éstos seleccionados

    • Adulto, pornografía, pederastia, jugando
    • Envíe una copia a la cuarentena inadecuada

    Detección forjada del correo electrónico

    • “Executives_FED nombrado diccionario”
    • Cuarentena del umbral 90 FED() una copia

    La macro activó el filtro contento de los documentos

    • si una o más conexiones contienen una macro
    • Condición opcional - > de los SBR Untrusted extiéndase
    • Envíe una copia para quarantine

    Protección de la conexión

    • si se protegen una o más conexiones
    • Condición opcional - > de los SBR Untrusted extiéndase
    • Envíe una copia para quarantine

    Información Relacionada

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Robert Sherwin
      TAC de Cisco
    • Usman Din
      Seguridad del correo electrónico de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros