Prueba de reescritura de URL del filtro de brotes

Opciones de descarga

  • PDF     (319.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (246.4 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (271.5 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:19 de noviembre de 2020
ID del documento:213465

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo probar la opción de modificación de mensajes de filtros de brote de virus (OF) para la reescritura de URL. 

Antecedentes

Si el nivel de amenaza del mensaje excede el umbral de modificación del mensaje, la función Filtros de brote de virus reescribe todas las URL del mensaje para redirigir al usuario a la página de inicio del proxy de seguridad web de Cisco si hacen clic en cualquiera de ellas.  AsyncOS reescribe todas las URL dentro de un mensaje excepto las que apuntan a dominios omitidos.

Las siguientes opciones están disponibles para la reescritura de URL:

  • Habilitar sólo para mensajes sin firmar. Esta opción permite a AsyncOS reescribir URL en mensajes no firmados que cumplen o exceden el umbral de modificación del mensaje, pero no mensajes firmados. Cisco recomienda utilizar esta configuración para la reescritura de URL.

    Nota: El dispositivo Email Security puede reescribir las URL en un mensaje firmado por DKIM/DomainKeys e invalidar la firma del mensaje si un servidor o dispositivo de su red que no sea el dispositivo Email Security es responsable de verificar la firma DomainKeys/DKIM. El dispositivo considera un mensaje firmado si está cifrado mediante S/MIME o si contiene una firma S/MIME.

     

  • El dispositivo Email Security puede reescribir las URL en un mensaje firmado por DKIM/DomainKeys e invalidar la firma del mensaje si un servidor o dispositivo de su red que no sea el dispositivo Email Security es responsable de verificar la firma DomainKeys/DKIM.

    El dispositivo considera un mensaje firmado si está cifrado mediante S/MIME o si contiene una firma S/MIME.

  • Habilitar para todos los mensajes. Esta opción permite a AsyncOS reescribir URL en todos los mensajes que cumplen o exceden el umbral de modificación del mensaje, incluidos los firmados. Si AsyncOS modifica un mensaje firmado, la firma se vuelve inválida.
  • Inhabilitar. Esta opción inhabilita la reescritura de URL para los filtros de brote de virus.

Puede modificar una política para excluir de la modificación las direcciones URL de ciertos dominios. Para omitir dominios, introduzca la dirección IPv4, la dirección IPv6, el intervalo CIDR, el nombre de host, el nombre de host parcial o el dominio en el campo Omitir escaneo de dominios. Separe varias entradas utilizando comas.

La función Omitir escaneo de dominio es similar, pero independiente, a la lista de permitidos global utilizada por el filtrado de URL. Para obtener más información sobre esa lista de permitidos, consulte "Creación de listas blancas para el filtrado de URL" en la Guía del usuario de ESA.

Prueba de reescritura de URL del filtro de brotes

Hay dos opciones para probar el uso de ESA. 

Prueba de la primera parte

Incluya una URL maliciosa en el cuerpo del correo electrónico.  URL de prueba segura que se puede utilizar:

http://malware.testing.google.test/testing/malware/

Cuando se envía, el ejemplo de registros de correo debe contener similar a lo siguiente:

Tue Jul  3 09:31:38 2018 Info: MID 185843 Outbreak Filters: verdict positive
Tue Jul  3 09:31:38 2018 Info: MID 185843 Threat Level=5 Category=Malware Type=Malware
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten to MID 185844 by url-threat-protection filter 'Threat Protection'
Tue Jul  3 09:31:38 2018 Info: Message finished MID 185843 done
Tue Jul  3 09:31:38 2018 Info: MID 185844 Virus Threat Level=5
Tue Jul  3 09:31:38 2018 Warning: MID 185844 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul  3 09:31:38 2018 Info: MID 185844 rewritten to MID 185845 by add-heading filter 'Heading Stamping'
Tue Jul  3 09:31:38 2018 Info: Message finished MID 185844 done
Tue Jul  3 09:31:38 2018 Info: Message finished MID 185846 done
Tue Jul  3 09:31:38 2018 Info: MID 185845 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Malware: Malware)
Tue Jul  3 09:31:38 2018 Info: MID 185845 queued for delivery

Tenga en cuenta que los registros de correo nos muestran "URL reescrita", indicando que OF ha reescrito esta URL a través del proxy de seguridad web de Cisco.  Además, tenga en cuenta que el mensaje puede estar en la cuarentena de brotes, como se muestra aquí en nuestro ejemplo.

El resultado final tendrá el cuerpo del correo electrónico entregado que muestra lo siguiente:

Cuando el usuario final recibe el correo electrónico, hace clic en la URL reescrita, se redirige al proxy de seguridad web de Cisco y consulte:

Nota: "No se puede generar la vista previa del sitio" se mostrará en función del HTML/codificación de la URL o el sitio web original.  Un sitio web con CSS, paneles HTML o representación compleja no podrá generar una vista previa del sitio.

Prueba de la segunda parte

La segunda opción es incluir datos con el cuerpo del correo electrónico o el archivo adjunto para tener el activador OF. 

Hay dos opciones para tener éxito:

  1. Cree un archivo (el archivo de texto simple lo hará) con el nombre "hello.voftest" entre el tamaño de 25000 y 30000 bytes, y adjunte ese archivo al correo electrónico de prueba. Esto activará las reglas de conexión de virus.
  2. Coloque el siguiente texto de cadena de prueba de 72 bytes GTUBE ("Prueba genérica de correo electrónico masivo no solicitado") en el cuerpo de un correo electrónico:
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTPHISH-STANDARD-ANTI-PHISH-TEST-EMAIL*C.34X

Esto activará las reglas OF y phish.  El ejemplo de registros de correo debe contener algo similar a lo siguiente:

Tue Jul  3 09:44:12 2018 Info: MID 185880 Outbreak Filters: verdict positive
Tue Jul  3 09:44:12 2018 Info: MID 185880 Threat Level=5 Category=Phish Type=Phish
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten to MID 185881 by url-threat-protection filter 'Threat Protection'
Tue Jul  3 09:44:12 2018 Info: Message finished MID 185880 done
Tue Jul  3 09:44:12 2018 Info: MID 185881 Virus Threat Level=5
Tue Jul  3 09:44:12 2018 Warning: MID 185881 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul  3 09:44:12 2018 Info: MID 185881 rewritten to MID 185882 by add-heading filter 'Heading Stamping'
Tue Jul  3 09:44:12 2018 Info: Message finished MID 185881 done
Tue Jul  3 09:44:13 2018 Info: MID 185882 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Phish: Phish)
Tue Jul  3 09:44:13 2018 Info: MID 185882 queued for delivery

Tenga en cuenta que los registros de correo nos muestran "URL reescrita", indicando que OF ha reescrito esta URL a través del proxy de seguridad web de Cisco.  Además, tenga en cuenta que el mensaje puede estar en la cuarentena de brotes, como se muestra aquí en nuestro ejemplo.

El resultado final tendrá el cuerpo del correo electrónico entregado que muestra lo siguiente:

 Cuando el usuario final recibe el correo electrónico, hace clic en la URL reescrita, se redirige al proxy de seguridad web de Cisco y consulte:

Nota: "No se puede generar la vista previa del sitio" se mostrará en función del HTML/codificación de la URL o el sitio web original.  Un sitio web con CSS, paneles HTML o representación compleja no podrá generar una vista previa del sitio.

Información Relacionada

Uso: x-anuncio = brote
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Robert Sherwin
    Cisco Email Security TME

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos