Configuration et pratiques exemplaires de filtrage d’URL pour Cisco Email Security

Introduction

Ce document décrit comment configurer le filtrage d’URL sur l’appareil Cisco Email Security Appliance (ESA) et les pratiques exemplaires pour son utilisation.

Informations générales

Le contrôle et la protection contre les liens malveillants ou indésirables sont intégrés aux processus de filtrage des messages, du contenu et du courrier indésirable, des attaques et des courriers indésirables dans la file d'attente de travail. Ces contrôles :

• Améliorez l'efficacité de la protection contre les URL malveillantes dans les messages et les pièces jointes.
• Le filtrage des URL est intégré au filtrage des attaques. Cette protection renforcée est utile même si votre entreprise dispose déjà d'un dispositif de sécurité Web Cisco ou d'une protection similaire contre les menaces Web, car elle bloque les menaces au point d'entrée.
• Vous pouvez également utiliser des filtres de contenu ou de message pour effectuer des actions en fonction du score de réputation Web (WBRS) des URL des messages. Par exemple, vous pouvez réécrire des URL ayant une réputation neutre ou inconnue pour les rediriger vers le proxy de sécurité Web Cisco pour une évaluation de leur sécurité en un clic.
• Meilleure identification du courrier indésirable
• La solution matérielle-logicielle utilise la réputation et la catégorie de liens dans les messages, en association avec d'autres algorithmes d'identification du spam, pour identifier le spam. Par exemple, si un lien d'un message appartient à un site Web marketing, le message est plus susceptible d'être un message marketing.
• Soutenir l'application des politiques d'utilisation acceptable de l'entreprise
• La catégorie d'URL (par exemple, le contenu adulte ou les activités illégales) peut être utilisée conjointement avec les filtres de contenu et de messages pour appliquer les politiques d'utilisation acceptable de l'entreprise.
• Permet d'identifier les utilisateurs de votre organisation qui ont le plus souvent cliqué sur une URL dans un message qui a été réécrit à des fins de protection, ainsi que les liens qui ont été le plus fréquemment cliqués.

Lorsque vous configurez le filtrage d'URL sur l'ESA, vous devez également configurer d'autres fonctionnalités dépendantes de la fonctionnalité souhaitée. Voici quelques fonctionnalités typiques qui sont activées parallèlement au filtrage des URL :

• Pour une protection renforcée contre le courrier indésirable, la fonctionnalité d'analyse antispam doit être activée globalement conformément à la politique de messagerie applicable. Il peut s'agir de la fonction Cisco IronPort Anti-Spam (IPAS) ou de la fonction Cisco Intelligent Multi-Scan (IMS).
• Pour une protection renforcée contre les programmes malveillants, la fonctionnalité Filtres d'attaques ou Filtres d'attaques de virus (VOF) doit être activée globalement conformément à la politique de messagerie applicable.
• Pour les actions basées sur la réputation des URL, ou afin d'appliquer des politiques d'utilisation acceptable avec l'utilisation de filtres de message et de contenu, vous devez activer VOF globalement.

Note: Depuis AsyncOS 11.1 pour la sécurité des e-mails, la prise en charge de l'analyse des URL dans les pièces jointes est désormais disponible.  Vous pouvez maintenant configurer votre appliance pour rechercher des URL dans les pièces jointes des messages et effectuer des actions configurées sur ces messages.  Vous pouvez utiliser les filtres de contenu et de catégorie d'URL pour rechercher des URL dans les pièces jointes des messages. Pour plus d'informations, consultez les chapitres “ Utilisation des filtres de messages pour appliquer les stratégies de messagerie ”, “ Filtres de contenu ” et “ Protection contre les URL malveillantes ou indésirables ” dans le guide de l'utilisateur ou dans l'aide en ligne.

Note: En outre, depuis AsyncOS 11.1 pour la sécurité de la messagerie, la prise en charge du filtrage des URL pour les URL raccourcies est désormais disponible.  Vous pouvez maintenant configurer votre appliance pour effectuer le filtrage des URL sur les URI raccourcis et récupérer l'URL réelle à partir de l'URL raccourcie. En fonction du score de réputation de l'URL d'origine, une action configurée est effectuée sur l'URL raccourcie. Pour activer le filtrage d'URL pour les URL abrégées de votre appareil, reportez-vous au chapitre “ Protecting Against Malicious ou Undesirable URLs ” du guide de l'utilisateur ou de l'aide en ligne, ainsi qu'au guide de référence CLI pour AsyncOS for Cisco Email Security Appliance.

Activer le filtrage URL

Pour mettre en oeuvre le filtrage des URL sur l'ESA, vous devez d'abord activer la fonctionnalité.  Le filtrage des URL peut être activé à partir de l'interface utilisateur graphique ou de l'interface de ligne de commande par l'administrateur ESA.

Pour activer le filtrage des URL à l'aide de l'interface utilisateur graphique, accédez à Services de sécurité > Filtrage des URL > Activer :

À partir de l'interface de ligne de commande, exécutez la commande websecurityconfig :

myesa.local> websecurityconfig
Enable URL Filtering? [N]> y

Note: La journalisation des URL est une sous-fonctionnalité du VOF avec-in. Il s'agit d'une fonctionnalité CLI uniquement qui doit être activée comme indiqué ici, à l'aide de outbreakconfig :

myesa.local> outbreakconfig

Outbreak Filters: Enabled

Choose the operation you want to perform:
- SETUP - Change Outbreak Filters settings.
- CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
- CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
[]> setup

Outbreak Filters: Enabled
Would you like to use Outbreak Filters? [Y]> 

Outbreak Filters enabled.

Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or
 back down below), meaning that new messages of certain types could be quarantined
 or will no longer be quarantined, respectively.

...

Logging of URLs is currently disabled.

Do you wish to enable logging of URL's? [N]> y

Logging of URLs has been enabled.

The Outbreak Filters feature is now globally enabled on the system. You must use the
 'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable
 Outbreak Filters for the desired Incoming and Outgoing Mail Policies.

Note: Assurez-vous de valider toutes les modifications et toutes de votre configuration avant de continuer à partir de l'interface utilisateur graphique ou de l'interface de ligne de commande de votre ESA.

Activer la prise en charge du filtrage des URL pour les URL raccourcies

L'activation de la prise en charge du filtrage des URL pour les URL abrégées peut être effectuée uniquement par l'interface de ligne de commande, à l'aide de websecurityadvancedconfig :

myesa.local> websecurityadvancedconfig

...

Do you want to enable URL filtering for shortened URLs? [N]> Y

For shortened URL support to work, please ensure that ESA is able to connect to following domains:
bit.ly, tinyurl.com, ow.ly, tumblr.com, ff.im, youtu.be, tl.gd, plurk.com, url4.eu, j.mp, goo.gl, yfrog.com, fb.me, alturl.com, wp.me, chatter.com, tiny.cc, ur.ly

Cisco recommande d'activer cette option pour les meilleures pratiques de configuration du filtrage des URL.  Une fois activés, les journaux de messagerie reflètent chaque fois qu'une URL raccourcie est utilisée avec le message :

Mon Aug 27 14:56:49 2018 Info: MID 1810 having URL: http://bit.ly/2tztQUi has been expanded to https://www.wired.com/?p=2270330&drafts-for-friends=js-1036023628&post_type=non-editorial

Une fois que le filtrage d'URL est activé comme décrit dans cet article, dans l'exemple des journaux de messagerie ci-dessus, nous pouvons voir le lien bit.ly enregistré ET le lien d'origine qu'il étend à également enregistré. 

Créer des actions de filtrage d'URL

Lorsque vous activez uniquement le filtrage des URL, il ne prend aucune mesure contre les messages qui peuvent contenir des URL valides et en direct.

Les URL incluses dans les messages entrants et sortants sont évaluées. Toute chaîne valide pour une URL est évaluée, pour inclure des chaînes avec ces composants :

• HTTP, HTTPS ou WWW
• Adresses de domaine ou IP
• Numéros de port précédés de deux points (:)
• Majuscules ou minuscules

Lorsque le système évalue les URL afin de déterminer si un message est du spam, si nécessaire pour la gestion de la charge, il hiérarchise et filtre les messages entrants par rapport aux messages sortants.

Vous pouvez effectuer des actions sur les messages en fonction de la réputation ou de la catégorie d'URL dans le corps du message et les pièces jointes du message. Si vous souhaitez effectuer une action autre que la modification des URL ou de leur comportement, ajoutez une condition de réputation d'URL ou de catégorie d'URL et sélectionnez les scores de réputation ou les catégories d'URL pour lesquelles vous voulez appliquer l'action.

Par exemple, si vous voulez appliquer l'action Supprimer (Action finale) à tous les messages qui incluent des URL dans la catégorie Adulte, ajoutez une condition de type Catégorie d'URL avec la catégorie Adulte sélectionnée.

Si vous ne spécifiez pas de catégorie, l'action que vous choisissez est appliquée à tous les messages.

Les plages de scores de réputation des URL propres, neutres et malveillantes sont prédéfinies et ne peuvent pas être modifiées. Cependant, vous pouvez spécifier une plage personnalisée à la place. Les points de terminaison spécifiés sont inclus dans la plage spécifiée. Par exemple, si vous créez une plage personnalisée de -8 à -10, alors -8 et -10 sont inclus dans la plage. Utilisez “ Aucune ” de score pour les URL pour lesquelles un score de réputation ne peut pas être déterminé.

Afin d'analyser rapidement les URL et d'agir, vous pouvez créer un filtre de contenu de sorte que si le message a une URL valide, alors l'action est appliquée. À partir de l'interface utilisateur graphique, accédez à Politiques de messagerie > Filtres de contenu entrant > Ajouter un filtre.

Filtres de contenu pour les URL malveillantes

Cet exemple montre comment rechercher des URL malveillantes avec l'implémentation de ce filtre de contenu entrant :

Avec ce filtre en place, le système recherche une URL avec une réputation malveillante (-10.00 à -6.00), ajoute une entrée de journal aux journaux de messagerie, utilise l'action defang afin de rendre le lien non cliquable, et place ceci dans une quarantaine de filtrage d'URL. Voici un exemple tiré des journaux de messagerie :

Wed Nov 5 21:27:18 2014 Info: Start MID 186 ICID 606
Wed Nov 5 21:27:18 2014 Info: MID 186 ICID 606 From: <bad_user@that.domain.net>
Wed Nov 5 21:27:18 2014 Info: MID 186 ICID 606 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:27:18 2014 Info: MID 186 Message-ID '<COL128-W95DE5520A96FD9D69FAC2D9D840@phx.gbl>'
Wed Nov 5 21:27:18 2014 Info: MID 186 Subject 'URL Filter test malicious'
Wed Nov 5 21:27:18 2014 Info: MID 186 ready 2230 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:27:18 2014 Info: MID 186 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:27:18 2014 Info: ICID 606 close
Wed Nov 5 21:27:19 2014 Info: MID 186 interim verdict using engine: CASE spam positive
Wed Nov 5 21:27:19 2014 Info: MID 186 using engine: CASE spam positive
Wed Nov 5 21:27:19 2014 Info: ISQ: Tagging MID 186 for quarantine
Wed Nov 5 21:27:19 2014 Info: MID 186 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:27:19 2014 Info: MID 186 antivirus negative 
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com /sdeu/cr.sedin/sdac/denc.php has reputation -6.77 matched url-reputation-rule
Wed Nov 5 21:27:19 2014 Info: MID 186 Custom Log Entry: <===> MALICIOUS URL! <===>
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com/sdeu/cr.sedin/sdac/denc.php has reputation -6.77 matched url-reputation-defang-action
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com /sdeu/cr.sedin/sdac/denc.php has reputation -6.77 matched url-reputation-defang-action
Wed Nov 5 21:27:19 2014 Info: MID 186 rewritten to MID 187 by url-reputation-defang-action filter '__MALICIOUS_URL__'
Wed Nov 5 21:27:19 2014 Info: Message finished MID 186 done
Wed Nov 5 21:27:19 2014 Info: MID 187 Outbreak Filters: verdict positive
Wed Nov 5 21:27:19 2014 Info: MID 187 Threat Level=5 Category=Phish Type=Phish
Wed Nov 5 21:27:19 2014 Info: MID 187 rewritten URL u'http:// peekquick .com/sdeu/cr.sedin/sdac/denc.php-Robert'
Wed Nov 5 21:27:19 2014 Info: MID 187 rewritten to MID 188 by url-threat-protection filter 'Threat Protection'
Wed Nov 5 21:27:19 2014 Info: Message finished MID 187 done
Wed Nov 5 21:27:19 2014 Info: MID 188 Virus Threat Level=5
Wed Nov 5 21:27:19 2014 Info: MID 188 quarantined to "Outbreak" (Outbreak rule:Phish: Phish)
Wed Nov 5 21:27:19 2014 Info: MID 188 quarantined to "URL Filtering Quarantine" (content filter:__MALICIOUS_URL__)
Wed Nov 5 21:28:20 2014 Info: SDS_CLIENT: Generated URL scanner configuration
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: URL scanner enabled=1
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: Generated URL scanner configuration
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: URL scanner enabled=1

Note: L'URL incorporée dans l'exemple précédent comporte des espaces supplémentaires dans le corps de l'URL, de sorte qu'elle ne renvoie aucune analyse Web ou détection de proxy.

Cette URL pour peekquick.com est MALICIEUSE et notée à un -6.77. Une entrée est effectuée dans les journaux de messagerie, où vous pouvez voir tous les processus en action. Le filtre d'URL a détecté l'URL malveillante, l'a désactivée et mise en quarantaine. Le VOF a également obtenu une note positive en fonction de son ensemble de règles et a fourni des détails indiquant qu'il s'agissait d'un phish lié.

Si VOF n'est pas activé, le même message est traité par , mais les analyses d'URL ne sont pas appliquées sans la capacité supplémentaire de VOF à effectuer des analyses et des actions. Cependant, dans cet exemple, le corps du message est analysé par le moteur antispam Cisco (CASE) et considéré comme spam positif :

Wed Nov 5 21:40:49 2014 Info: Start MID 194 ICID 612
Wed Nov 5 21:40:49 2014 Info: MID 194 ICID 612 From: <bad_user@that.domain.net>
Wed Nov 5 21:40:49 2014 Info: MID 194 ICID 612 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:40:49 2014 Info: MID 194 Message-ID '<COL128-W145FD8B772C824CEF33F859D840@phx.gbl>'
Wed Nov 5 21:40:49 2014 Info: MID 194 Subject 'URL Filter test malicious'
Wed Nov 5 21:40:49 2014 Info: MID 194 ready 2230 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:40:49 2014 Info: MID 194 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:40:50 2014 Info: ICID 612 close
Wed Nov 5 21:40:50 2014 Info: MID 194 interim verdict using engine: CASE spam positive
Wed Nov 5 21:40:50 2014 Info: MID 194 using engine: CASE spam positive
Wed Nov 5 21:40:50 2014 Info: ISQ: Tagging MID 194 for quarantine
Wed Nov 5 21:40:50 2014 Info: MID 194 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:40:50 2014 Info: MID 194 antivirus negative 
Wed Nov 5 21:40:50 2014 Info: MID 194 queued for delivery
Wed Nov 5 21:40:52 2014 Info: RPC Delivery start RCID 20 MID 194 to local IronPort Spam Quarantine
Wed Nov 5 21:40:52 2014 Info: ISQ: Quarantined MID 194
Wed Nov 5 21:40:52 2014 Info: RPC Message done RCID 20 MID 194
Wed Nov 5 21:40:52 2014 Info: Message finished MID 194 done

Cette détection par CASE seule ne se produit pas toujours. Il peut arriver que les règles CASE et IPAS contiennent une correspondance avec un certain contenu d'expéditeur, de domaine ou de message afin de détecter cette menace seule.

Filtres de contenu pour les URL neutres

La réputation d'URL neutre signifie que les URL sont actuellement propres, mais qu'elles risquent de devenir malveillantes à l'avenir, car elles sont sujettes à des attaques. Pour de telles URL, les administrateurs peuvent créer des stratégies non bloquantes, par exemple en les redirigeant vers le proxy de sécurité Web Cisco pour une évaluation en un clic.

Note: Dans AsyncOS 9.7 pour la sécurité de la messagerie et les versions ultérieures, les URL qui étaient auparavant étiquetées “ ” suspectes sont maintenant étiquetées “ Neutres. ”  Seul l'étiquetage a changé ; la logique et le traitement sous-jacents n'ont pas changé.

Cet exemple montre comment rechercher des URL neutres avec l'implémentation de ce filtre de contenu entrant :

Avec ce filtre en place, le système recherche une URL avec une réputation neutre (-5.90 à 5.90) et ajoute une entrée de journal aux journaux de messagerie. Cet exemple montre un sujet modifié afin de préfixer "[URL NEUTRE !]". Voici un exemple tiré des journaux de messagerie :

Wed Nov 5 21:22:23 2014 Info: Start MID 185 ICID 605
Wed Nov 5 21:22:23 2014 Info: MID 185 ICID 605 From: <bad_user@that.domain.net>
Wed Nov 5 21:22:23 2014 Info: MID 185 ICID 605 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:22:23 2014 Info: MID 185 Message-ID '<D0804586.24BAE%bad_user@that.domain.net>'
Wed Nov 5 21:22:23 2014 Info: MID 185 Subject 'Middle of the road?'
Wed Nov 5 21:22:23 2014 Info: MID 185 ready 4598 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:22:23 2014 Info: MID 185 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:22:24 2014 Info: MID 185 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:22:24 2014 Info: MID 185 antivirus negative 
Wed Nov 5 21:22:24 2014 Info: MID 185 URL https:// www. udemy.com/official-udemy-instructor-course/?refcode=slfgiacoitvbfgl7tawqoxwqrdqcerbhub1flhsmfilcfku1te5xofictyrmwfcfxcvfgdkobgbcjv4bxcqbfmzcrymamwauxcuydtksayhpovebpvmdllxgxsu5vx8wzkjhiwazhg5m&utm_campaign=email&utm_source=sendgrid.com&utm_medium=email has reputation -5.08 matched url-reputation-rule
Wed Nov 5 21:22:24 2014 Info: MID 185 Custom Log Entry: <===> NEUTRAL URL! <===>
Wed Nov 5 21:22:24 2014 Info: MID 185 Outbreak Filters: verdict negative
Wed Nov 5 21:22:24 2014 Info: MID 185 queued for delivery
Wed Nov 5 21:22:24 2014 Info: New SMTP DCID 26 interface 192.168.0.199 address 192.168.0.200 port 25
Wed Nov 5 21:22:24 2014 Info: Delivery start DCID 26 MID 185 to RID [0]
Wed Nov 5 21:22:24 2014 Info: Message done DCID 26 MID 185 to RID [0] [('X-IronPort-AV', 'E=Sophos;i="5.07,323,1413259200"; \r\n d="scan\'208,217";a="185"'), ('x-ironport-av', 'E=Sophos;i="5.07,323,1413244800"; \r\n d="scan\'208,217";a="93843786"')]
Wed Nov 5 21:22:24 2014 Info: MID 185 RID [0] Response '2.0.0 Ok: queued as 0F8F9801C2'
Wed Nov 5 21:22:24 2014 Info: Message finished MID 185 done

Note: L'URL incorporée dans l'exemple précédent comporte des espaces supplémentaires dans le corps de l'URL, de sorte qu'elle ne renvoie aucune analyse Web ou détection de proxy.

Le lien Udemy dans l'exemple précédent n'apparaît pas propre et il est noté NEUTRAL à -5.08. Comme l'indique l'entrée des journaux de messagerie, ce message est autorisé à être remis à l'utilisateur final.

L'administrateur ne souhaite peut-être pas prendre comme indicateur la large gamme de valeurs neutres (-5,90 à 5,90).  Il peut être plus approprié d'avoir une plage personnalisée avec une plage plus petite pour pencher plus vers une notation neutre négative, comme de ne pas se déclencher contre toutes les URL qui tombent dans la plage neutre et éventuellement créer une action fausse négative/fausse positive.

Filtres de contenu pour les URL propres

Cet exemple montre comment rechercher des URL propres avec l'implémentation de ce filtre de contenu entrant :

Avec ce filtre en place, le système recherche une URL avec une réputation propre (6.00 à 10.00) et ajoute simplement une entrée de journal aux journaux de messagerie afin de déclencher et d'enregistrer le score de réputation Web (WBRS). Cette entrée de journal permet également d'identifier le processus déclenché. Voici un exemple tiré des journaux de messagerie :

Wed Nov 5 21:11:10 2014 Info: Start MID 182 ICID 602
Wed Nov 5 21:11:10 2014 Info: MID 182 ICID 602 From: <bad_user@that.domain.net>
Wed Nov 5 21:11:10 2014 Info: MID 182 ICID 602 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:11:10 2014 Info: MID 182 Message-ID '<D08042EA.24BA4%bad_user@that.domain.net>'
Wed Nov 5 21:11:10 2014 Info: MID 182 Subject 'Starting at the start!'
Wed Nov 5 21:11:10 2014 Info: MID 182 ready 2798 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:11:10 2014 Info: MID 182 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:11:11 2014 Info: MID 182 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:11:11 2014 Info: MID 182 antivirus negative 
Wed Nov 5 21:11:11 2014 Info: MID 182 URL http:// www .yahoo.com has reputation 8.39 matched url-reputation-rule
Wed Nov 5 21:11:11 2014 Info: MID 182 Custom Log Entry: <===> CLEAN URL! <===>
Wed Nov 5 21:11:11 2014 Info: MID 182 Outbreak Filters: verdict negative
Wed Nov 5 21:11:11 2014 Info: MID 182 queued for delivery
Wed Nov 5 21:11:11 2014 Info: New SMTP DCID 23 interface 192.168.0.199 address 192.168.0.200 port 25
Wed Nov 5 21:11:11 2014 Info: Delivery start DCID 23 MID 182 to RID [0]
Wed Nov 5 21:11:11 2014 Info: Message done DCID 23 MID 182 to RID [0] [('X-IronPort-AV', 'E=Sophos;i="5.07,323,1413259200"; \r\n d="scan\'208,217";a="182"'), ('x-ironport-av', 'E=Sophos;i="5.07,323,1413244800"; \r\n d="scan\'208,217";a="93839309"')]
Wed Nov 5 21:11:11 2014 Info: MID 182 RID [0] Response '2.0.0 Ok: queued as 7BAF5801C2'
Wed Nov 5 21:11:11 2014 Info: Message finished MID 182 done
Wed Nov 5 21:11:16 2014 Info: ICID 602 close
Wed Nov 5 21:11:16 2014 Info: DCID 23 close

Note: L'URL incorporée dans l'exemple précédent comporte des espaces supplémentaires dans le corps de l'URL, de sorte qu'elle ne renvoie aucune analyse Web ou détection de proxy.

Comme le montre l'exemple, Yahoo.com est considéré PROPRE et donne un score de 8,39, est noté dans les journaux de messagerie et est livré à l'utilisateur final.

Filtres de contenu pour les URL sans score

“ Aucune ” de score n'est donnée pour les URL lorsqu'un score de réputation ne peut pas être déterminé.  Il peut s'agir d'URL qui contiennent de nouveaux domaines ou d'URL qui n'ont vu que peu ou pas de trafic et ne peuvent pas avoir de score actuel.

Les administrateurs peuvent vouloir gérer les URL sans score à leur propre discrétion.  Si le nombre d'e-mails et de pièces jointes liés à Phish augmente, veuillez consulter le score d'URL associé.  Les administrateurs peuvent souhaiter qu'aucune URL de score ne soit redirigée vers le service proxy Cisco Cloud Web Security pour l'évaluation en un clic.

Signaler les URL non catégorisées et mal classées

Parfois, une URL n'est pas encore classée, ou elle peut être mal classée. Afin de signaler les URL qui ont été mal classées et les URL qui ne sont pas classées mais devraient l'être, visitez la page Demandes de catégorisation d'URL Cisco.

Vous pouvez également vérifier l'état des URL envoyées. Pour ce faire, cliquez sur l'onglet État de cette page dans l'onglet URL envoyées.

Les URL malveillantes et les messages marketing ne sont pas interceptés par des filtres anti-spam ou contre les attaques

Cela peut se produire parce que la réputation et la catégorie du site Web ne sont que deux critères parmi beaucoup d'autres que les filtres anti-spam et anti-attaques utilisent afin de déterminer leurs verdicts. Afin d'augmenter la sensibilité de ces filtres, diminuez les seuils requis pour agir, comme la réécriture ou le remplacement d'URL par du texte, ou la mise en quarantaine ou la suppression de messages.

Vous pouvez également créer des filtres de contenu ou de message en fonction du score de réputation de l'URL.

Informations connexes

• Cisco Email Security Appliance - Guides de l'utilisateur final
• Support et documentation techniques - Cisco Systems