Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment contrôler la mystification d'email sur l'appliance de sécurité du courrier électronique de Cisco (ESA) et comment créer des exceptions pour les utilisateurs permis pour envoyer les emails charriés.
Votre ESA devrait être traitement entrant et mails sortants, et devrait employer une configuration standard de RELAYLIST pour signaler des messages comme sortant.
Les informations dans ce document sont basées sur l'ESA avec n'importe quelle version d'AsyncOS. Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Les éléments spécifiques utilisés incluent :
Note: Si le groupe d'expéditeur s'appelle quelque chose différente que MY_TRUSTED_SPOOF_HOSTS ou RELAYLIST, vous devrez modifier le filtre avec le nom de groupe correspondant d'expéditeur. En outre, si vous avez de plusieurs auditeurs, vous pouvez également avoir plus d'un MY_TRUSTED_SPOOF_HOSTS.
La mystification est activée par défaut sur Cisco ESA. Il y a plusieurs, des motifs valables pour permettre à d'autres domaines pour envoyer en fonction votre nom. Un exemple classique, administrateur ESA peut vouloir à contrôler les emails charriés en mettant en quarantaine les messages charriés avant qu'ils soient fournis.
Pour prendre une mesure spécifique telle que la quarantaine sur l'email charrié, vous devez d'abord détecter l'email charrié.
La mystification d'email est le contrefaçon d'une en-tête d'email de sorte que le message semble avoir provenu de quelqu'un ou quelque part autre que la source réelle. La mystification d'email est une tactique utilisée dans le phishing et des campagnes de Spam parce que les gens sont pour ouvrir un email quand ils le pensent a été envoyées par une source légitime.
Vous voudrez filtrer tous les messages qui ont un expéditeur d'enveloppe (Messagerie-de) et « amical » (de) de l'en-tête qui contiennent un de vos propres domaines entrants dans l'adresse e-mail.
En mettant en application le filtre de message fourni dans cet article, des messages charriés sont étiquetés avec une en-tête, et le filtre satisfait est utilisé pour agir sur l'en-tête. Pour ajouter une exception, ajoutez simplement l'IP d'expéditeur à MY_TRUSTED_SPOOF_HOSTS.
Créez un Sendergroup
Exemple :
Créez un dictionnaire
Créez un dictionnaire pour tous les domaines que vous voulez pour désactiver la mystification pour sur l'ESA :
Exemple :
Ensuite, vous devrez créer un filtre de message afin d'accroître le dictionnaire juste créé, « VALID_INTERNAL_DOMAINS » :
mark_spoofed_messages:
if(
(mail-from-dictionary-match("VALID_INTERNAL_DOMAINS", 1))
OR (header-dictionary-match("VALID_INTERNAL_DOMAINS","From", 1)))
AND ((sendergroup != "RELAYLIST")
AND (sendergroup != "MY_TRUSTED_SPOOF_HOSTS")
)
{
insert-header("X-Spoof", "");
}
Note: La caractéristique en double de message affichée ici gardera une copie du message, et continue à envoyer le premier message au destinataire.
En conclusion, vous devrez ajouter des charrier-exceptions (des adresses IP ou des adresses Internet) au sendergroup MY_TRUSTED_SPOOF_HOSTS.
Exemple :
Envoyez un message-test spécifiant un de vos domaines comme expéditeur d'enveloppe. Validez le filtre fonctionne comme prévu en exécutant une piste de message sur ce message. Le résultat prévu est que le message obtiendra mis en quarantaine parce que nous n'avons créé aucune exception pourtant pour ces expéditeurs qui sont permis pour charrier.
Thu Apr 23 07:09:53 2015 Info: MID 102 ICID 9 RID 0 To: <test_user@domain.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 Subject 'test1'
Thu Apr 23 07:10:07 2015 Info: MID 102 ready 177 bytes from <user_1@example.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:10:11 2015 Info: MID 102 interim verdict using engine: CASE spam negative
Thu Apr 23 07:10:11 2015 Info: MID 102 using engine: CASE spam negative
Thu Apr 23 07:10:11 2015 Info: MID 102 interim AV verdict using Sophos CLEAN
Thu Apr 23 07:10:11 2015 Info: MID 102 antivirus negative
Thu Apr 23 07:10:12 2015 Info: MID 102 quarantined to "Policy" (message filter:quarantine_spoofed_messages)
Thu Apr 23 07:10:12 2015 Info: Message finished MID 102 done
Les expéditeurs de « Charrier-exception » sont des adresses IP dans vos groupes d'expéditeur référencés dans le filtre ci-dessus.
RELAYLIST est mis en référence parce qu'il est utilisé par l'ESA pour envoyer la messagerie sortante. Les messages envoyé par RELAYLIST sont messagerie en général sortante, et pas comprenant ceci créeraient des faux positifs, ou des messages sortants mis en quarantaine par le filtre ci-dessus.
Exemple de cheminement de message d'une adresse IP de « Charrier-exception » qui a été ajoutée à MY_TRUSTED_SPOOF_HOSTS. L'action prévue est livrent et pas mettent en quarantaine. (On permet à cet IP pour charrier).
Thu Apr 23 07:25:57 2015 Info: Start MID 108 ICID 11
Thu Apr 23 07:25:57 2015 Info: MID 108 ICID 11 From: <user_1@example.com>
Thu Apr 23 07:26:02 2015 Info: MID 108 ICID 11 RID 0 To: <test_user@domain.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 Subject 'test2'
Thu Apr 23 07:26:10 2015 Info: MID 108 ready 163 bytes from <user_1@example.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:26:10 2015 Info: MID 108 interim AV verdict using Sophos CLEAN
Thu Apr 23 07:26:10 2015 Info: MID 108 antivirus negative
Thu Apr 23 07:26:10 2015 Info: MID 108 queued for delivery
Thu Apr 23 07:26:10 2015 Info: Delivery start DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: Message done DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: MID 108 RID [0] Response '2.0.0 t58EVG9N031598 Message accepted for delivery'
Thu Apr 23 07:26:11 2015 Info: Message finished MID 108 done