Introduction
Ce document décrit comment configurer une bêta appliance de sécurité du courrier électronique de Cisco (ESA) afin de recevoir le trafic ESA de production par l'intermédiaire d'un filtre de message.
Conditions préalables
Exigences
Aucune spécification déterminée n'est requise pour ce document.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Configurez la bêta appliance
Configuration d'auditeur pour le bêta ESA
La configuration initiale d'auditeur doit être terminée sur le bêta ESA.
- Du GUI, naviguez vers le réseau > les auditeurs.
- Cliquez sur Add l'auditeur…
- Nommez et installez un auditeur public qui s'exécute sur le port TCP 25.
- Cliquez sur Submit afin de sauvegarder les modifications à l'auditeur public.
- Répétez les mêmes étapes et ajoutez un deuxième auditeur.
- Nommez et installez un auditeur privé qui s'exécute sur le port TCP 26. (Cet auditeur est utilisé pour la messagerie sortante.) Vous pouvez utiliser le port 25 s'il y a une interface supplémentaire disponible et configurée pour votre environnement. Le bêta environnement hébergé par CES a réservé le port 587 pour sortant.
- Soumettez pour sauvegarder des modifications à l'auditeur.
- La validation pour épargner toute change en la configuration.
Groupe d'expéditeur pour le bêta ESA
Pour le trafic transmis par relais ou les messages sortants, ajoutez dans l'adresse IP appropriée pour le bêta ESA afin de recevoir et des messages de relais de la production ESA.
- Du GUI, naviguez pour envoyer par mail des stratégies > la vue d'ensemble de CHAPEAU.
- Sélectionnez le groupe convenablement Désigné d'expéditeur de relais. (Ceci est habituellement nommé RELAIS, ou RELAYLIST.)
- Cliquez sur Add l'expéditeur…
- Pour l'expéditeur, utilisez l'adresse IP de la production ESA.
- Écrivez tous les commentaires administratifs, comme nécessaire.
- Soumettez pour sauvegarder des modifications au groupe d'expéditeur de relais.
- La validation pour épargner toute change en la configuration.
Artères de Protocole SMTP (Simple Mail Transfer Protocol) pour le bêta ESA
Les modifications d'artère de SMTP qui doivent être apportées sur le bêta ESA sont comme suit :
- Du GUI, naviguez vers le réseau > les artères de SMTP.
- S'il y a les artères en cours de SMTP, vous pouvez devoir sélectionner ceux et l'effacement avant que vous poursuiviez. (Assurez pour passer en revue le le bêta guide d'installation de laboratoire.)
- Cliquez sur Add l'artère…
- Placez le domaine de réception comme cisco.com et la destination comme USEDNS.
- Cliquez sur Submit.
- Répétez les mêmes étapes et ajoutez dans une deuxième artère de SMTP.
- Placez recevoir le domaine pour ironport.com et la destination comme USEDNS.
- Cliquez sur Submit.
- En conclusion, sélectionnez tous autres domaines de recevoir le domaine.
- Placez la destination comme /dev/null. (Ceci empêche conduire la messagerie de la bêta appliance pour tous les domaines non configurés.)
- Cliquez sur Submit.
- La validation pour épargner toute change en la configuration.
À ce moment, les artères de SMTP sur la bêta appliance est suivant les indications de l'image :

Remarque: Ajoutez les artères appropriées pour fournir des emails pour examiner des utilisateurs pour des domaines comme nécessaires.
Relais entrant pour le bêta ESA
La configuration entrante de relais permet au bêta pour récupérer le beyone de score SBRS qui de la production ESA.
La plupart des configurations fonctionneront avec un saut.
- Le GUI, naviguent vers le relais entrant de réseau.
- Cliquez sur le « enable » le tournant blanc en couleurs.
- Cliquez sur Add le relais.
- Le « nom » choisissent un nom.
- Valeur de « adresse IP » de la production ESA livrant au bêta ESA. L'adresse Internet partielle est acceptable si les plusieurs hôtes livrent.
- « Saut : » 1
- Soumettez et commettez les modifications
Relais entrant : État handicapé.
Relais entrant : État activé, blanc coloré.
Relais entrant : Modèle témoin
Relais entrant : La vue récapitulative après soumettent.
Entrée de journal de messagerie témoin :
Lun les informations 2019 du 8 avril 12:48:28 : MID 2422822 IncomingRelay(PROD_hc2881-52) : L'en-tête a reçu trouvé, IP 54.240.35.22 étant utilisé, pays Etats-Unis SBRS 3.5
Les en-têtes de log d'enable pour capturer le verdict de Spam dans la messagerie se connecte
- Webui > abonnements d'administration système > de log > paramètres généraux (bas) > en-têtes > (ajoutez) X-IronPort-Anti-Spam-résultat
En-têtes de Spam de log pour envoyer par mail des logs
FIN DE BÊTA CONFIGURATION LATÉRALE.
Configurez l'appliance de production
Attention : Vous êtes sur le point d'apporter des modifications à une production ESA. Assurez-vous que vous sauvegarde la configuration en cours.
- Du GUI, naviguez vers l'administration système > le fichier de configuration.
- De la section de configuration en cours, sélectionnez une des options de sauvegarder la configuration en cours comme fichier :
- Fichier téléchargé à l'ordinateur local à visualiser ou sauvegarder.
- Fichier d'email à : < your_email_address@domain.com >
- Cliquez sur Submit.
Artères de SMTP pour la production ESA
Des artères de SMTP doivent être ajoutées afin de permettre BCC pour tous les emails d'arrivée et sortants de la production ESA au bêta ESA. Pour cet exemple, inbound.beta.com et outbound.beta.com sont utilisés.
- Du GUI, naviguez vers le réseau > les artères de SMTP.
- Cliquez sur Add l'artère…
- Placez recevoir le domaine comme inbound.beta.com avec la destination comme adresse IP de l'auditeur public de bêtas appareils créé plus tôt, avec le port réglé à 25.
- Cliquez sur Submit pour sauvegarder des modifications à cette nouvelle artère de SMTP.
- Répétez les mêmes étapes, ajoutez l'artère…
- Placez le domaine de réception comme outbound.beta.com, les destinations hosts comme adresse IP de l'auditeur privé de bêtas appareils créé plus tôt, et le port à 26.
- Soumettez pour sauvegarder les modifications à cette nouvelle artère de SMTP.
- La validation pour épargner toute change en la configuration.
À ce moment, artères de SMTP sur la production ESA suivant les indications de l'image :

Création de profil de rebond
Un profil de rebond de combinaison et le profil de contrôle de destination protégeront le flux de courrier de production contre des complications associées avec des retards ou des manques de fournir des messages aux bêtas hôtes. Cette configuration s'appliquera seulement aux bêtas messages.
- Du GUI, naviguez vers des profils de réseau > de rebond > ajoutent le profil de rebond.
- Nombre maximal de relances : 15
- Temps maximum dans la file d'attente : 130
- Heure initiale d'attendre par message : 60
- Heure maximum d'attendre par message : 60
- Envoyez les avis de non-livraison durs : NON
- Envoyez à retard les messages d'avertissement : NON
- Signature principale de domaine d'utilisation pour des messages de rebond et de retard : NON
- Soumettez pour sauvegarder les modifications à ce nouveau profil de rebond.
- La sauvegarde toute de Committo change en la configuration.
Création de profil de rebond
Remarque: Les valeurs numérotées ci-dessus sont configurées très agressivement pour empêcher des sauvegardes de file d'attente de la livraison en cas d'une interruption de la livraison aux bêtas hôtes. Les valeurs peuvent être modifiées à la préférence. Les configurations de notification sont intentionnellement placées à NON pour empêcher toutes les notifications d'utilisateur d'être livrée des filtres BCC.
La destination contrôle la création de profil
- Du GUI, naviguez pour envoyer par mail des stratégies > des contrôles de destination > ajoutent la destination.
- Destination : inbound.beta.com
- Vérification de rebond : > exécutez l'étiquetage d'adresse : AUCUN > ou par défaut (NON)
- Profil de rebond : BETA_BOUNCE
- Les autres valeurs peuvent être configurées ont basé sur la préférence de l'administrateur.
- Soumettez pour sauvegarder les modifications à ce nouveau profil de contrôle de destination.
- Répétez les étapes 2 - 6 utilisant la destination : outbound.beta.com
- Soumettez pour sauvegarder les modifications à ce nouveau profil de contrôle de destination.
- La validation pour épargner toute change en la configuration.
Ajoutez les profils de contrôle de destination.
Vue récapitulative de nouveaux profils de contrôle de destination.
Construction de filtre de message pour la production ESA
Du CLI sur la production ESA, construisez un filtre de message qui peut des emails BCC à l'auditeur approprié sur le bêta ESA.
- Naviguez vers des filtres > NOUVEAU.
- Copiez et collez cet exemple de filtre de message et apportez les modifications là où appropriées :
bcc-EFT: if sendergroup == "RELAY" {
bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "outbound.beta.com");
log-entry("<=====BCC COPY TO BETA ESA=====>");
} else {
bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "inbound.beta.com");
log-entry("<=====BCC COPY TO BETA ESA=====>");
}
.
- Retournez jusqu'à ce que vous soyez de nouveau à la demande principale CLI.
- La validation pour épargner toute change en la configuration.
Remarque: Limitez le trafic copié dans le filtre de message basé sur le sendergroup, le recv-auditeur, messagerie-de, ou toutes autres règles et syntaxe disponibles. Consultez le guide utilisateur ESA pour des règles de filtrage de message complet et des règles de filtrage récapitulatives.
Création de profil de rebond
La destination contrôle la création de profil
Vérifiez
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
À ce moment, la bêta appliance reçoit le trafic d'email de l'appliance de production. Afin de vérifier du CLI sur la bêta appliance, exécutez les mail_logs de queue :
Wed Mar 23 17:28:43 2016 Info: New SMTP ICID 2 interface Management (172.18.250.222) address 172.18.250.224 reverse dns host dhcp-172-18-250-224.cisco.com verified yes
Wed Mar 23 17:28:43 2016 Info: ICID 2 RELAY SG RELAY match 172.18.250.1/24 SBRS not enabled
Wed Mar 23 17:28:43 2016 Info: Start MID 2 ICID 2
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 From: <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 RID 0 To: <robsherw@ironport.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 Message-ID '<a033ed$2@9.9.5-038.local>'
Wed Mar 23 17:28:43 2016 Info: MID 2 Subject 'TEST 2'
Wed Mar 23 17:28:43 2016 Info: MID 2 ready 320 bytes from <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 matched all recipients for per-recipient policy DEFAULT in the outbound table
Wed Mar 23 17:28:43 2016 Info: MID 2 queued for delivery
Wed Mar 23 17:28:43 2016 Info: New SMTP DCID 3 interface 172.18.250.222 address 173.37.93.161 port 25
Wed Mar 23 17:28:43 2016 Info: Delivery start DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: Message done DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: MID 2 RID [0] Response '2.0.0 u2NHSipG018673 Message accepted for delivery'
Wed Mar 23 17:28:44 2016 Info: Message finished MID 2 done
Wed Mar 23 17:28:48 2016 Info: ICID 2 close
Wed Mar 23 17:28:49 2016 Info: DCID 3 close
La transmission de SMTP établit sur 172.18.250.222 (bêta appliance). L'adresse dont le trafic est envoyé est de est 172.18.250.224 (appliance de production).
Le groupe d'expéditeur qui reçoit la transmission est RELAIS, le trafic transmis par relais du réseau 172.18.250.1/24.
Le repos est la transmission du message du TEST 2.
Sur l'appliance de production, vérifiez et exécutez les mail_logs de queue. Le MID traité sur la production afficherait :
Wed Mar 23 14:50:10 2016 Info: MID 242 was generated based on MID 241 by bcc filter 'bcc-EFT'
Ce serait un éclatement défini du message électronique comme reçu et BCC'd plus d'à la bêta appliance et examinerait l'utilisateur comme prévu pour la réception.
Dépanner
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Additional Information
Un filtre satisfait peut être considéré comme afin d'aider à différencier la production contre le bêta trafic d'email pour des utilisateurs de test.
- Du GUI sur le bêta ESA, naviguez pour envoyer par mail des stratégies > les filtres satisfaits entrants ou pour envoyer par mail des stratégies > les filtres satisfaits sortants.
- Construisez un filtre satisfait de base afin d'exécuter une action d'en-tête d'Add/Edit.
- Cliquez sur Submit afin de sauvegarder des modifications au filtre satisfait construit.
- Les stratégies de messagerie > des stratégies de messagerie entrante ou des stratégies de messagerie > des stratégies de mail sortant, enable et ajoutent le nouveau filtre satisfait au nom de stratégie.
- Cliquez sur Submit afin de sauvegarder le filtre satisfait à cette stratégie.
- Cliquez sur la validation afin de sauvegarder toutes les modifications à la configuration.
À ce moment, le filtre satisfait sur le bêta ESA est suivant les indications des images :

Maintenant, quand un message électronique est reçu sur le bêta ESA vous pouvez voir ceci dans le champ objet de l'email une fois traité suivant les indications de l'image :
