Introducción
Este documento describe por qué los mensajes coinciden con las condiciones del filtro de mensajes o contenido cuando se produce un "error de análisis de mensajes" en el dispositivo Cisco Email Security Appliance (ESA) y el dispositivo Cloud Email Security (CES).
Problema
Los mensajes se envían al ESA/CES para su filtrado, los mail_logs o el rastreo de mensajes muestran los resultados de un "error de escaneo de mensajes" seguido de una coincidencia positiva con el filtro de mensajes/contenido que estaba llevando a cabo el escaneo.
Errores de ejemplo encontrados en mail_logs/rastreo de mensajes:
Tue Sep 9 13:37:35 2014 Warning: MID 15180223, message scanning error: Size Limit Exceeded
Tue Sep 9 14:27:31 2015 Warning: MID 15180325, message scanning error: Scan Depth Exceeded
Solución
Cuando un archivo adjunto de correo electrónico supera un umbral configurado, se registra un error de análisis de mensajes. Si el ESA/CES ha asumido que las coincidencias de adjuntos están habilitadas, activará la coincidencia de filtro y la acción según lo configurado.
Nota: La exploración de adjuntos en el ESA/CES tiene diferentes umbrales que se definen dentro de la configuración scanconfig en la CLI o la configuración de comportamiento de exploración en la GUI.
En la CLI, la función se puede habilitar o inhabilitar en el comando scanconfig:
myesa.loca> scanconfig
There are currently 5 attachment type mappings configured to be SKIPPED.
Choose the operation you want to perform:
- NEW - Add a new entry.
- DELETE - Remove an entry.
- SETUP - Configure scanning behavior.
- IMPORT - Load mappings from a file.
- EXPORT - Save mappings to a file.
- PRINT - Display the list.
- CLEAR - Remove all entries.
- SMIME - Configure S/MIME unpacking.
[]> setup
1. Scan only attachments with MIME types or fingerprints in the list.
2. Skip attachments with MIME types or fingerprints in the list.
Choose one:
[2]>
Enter the maximum depth of attachment recursion to scan:
[5]>
Enter the maximum size of attachment to scan:
[2621440]>
Do you want to scan attachment metadata? [Y]>
Enter the attachment scanning timeout (in seconds):
[1]>
If a message has attachments that were not scanned for any reason (e.g. because
of size, depth limits, or scanning timeout), assume the attachment matches the
search pattern? [Y]>
Asegúrese de que todos los cambios se registren ingresando el comando commit.
En la GUI:
- Navegue hasta Servicios de seguridad y luego Comportamiento del escaneo
- Haga clic en Editar la configuración global
- Desactivar/Activar Suponer que el adjunto coincide con el patrón si no se analiza por cualquier motivo.

Para obtener más información sobre scanconfig , consulte la guía avanzada del usuario de AsyncOS en la Portal de soporte de Cisco.
Información Relacionada