Introduction
Ce document explique pourquoi les messages correspondent aux conditions de filtre Message ou Contenu lorsqu'une « erreur d'analyse des messages » se produit sur l'appliance de sécurisation de la messagerie Cisco (ESA) et l'appliance de sécurisation de la messagerie cloud (CES).
Problème
Les messages sont envoyés à l'ESA/CES pour être filtrés, les journaux de messagerie ou le suivi des messages affichent les résultats d'une « erreur d'analyse des messages » suivie d'une correspondance positive avec le filtre de messages/contenu qui effectuait l'analyse.
Exemples d'erreurs trouvées dans le suivi des messages/journaux de messagerie :
Tue Sep 9 13:37:35 2014 Warning: MID 15180223, message scanning error: Size Limit Exceeded
Tue Sep 9 14:27:31 2015 Warning: MID 15180325, message scanning error: Scan Depth Exceeded
Solution
Lorsqu'une pièce jointe dépasse un seuil configuré, une erreur d'analyse des messages est consignée. Si l'ESA/CES suppose que les correspondances de pièces jointes sont activées, il déclenche la correspondance de filtre et l'action configurée.
Remarque : l'analyse des pièces jointes sur ESA/CES comporte différents seuils définis dans la configuration scanconfig de l'interface de ligne de commande ou dans les paramètres de comportement d'analyse de l'interface utilisateur graphique.
Sur l'interface de ligne de commande, la fonctionnalité peut être activée ou désactivée dans la commande scanconfig :
myesa.loca> scanconfig
There are currently 5 attachment type mappings configured to be SKIPPED.
Choose the operation you want to perform:
- NEW - Add a new entry.
- DELETE - Remove an entry.
- SETUP - Configure scanning behavior.
- IMPORT - Load mappings from a file.
- EXPORT - Save mappings to a file.
- PRINT - Display the list.
- CLEAR - Remove all entries.
- SMIME - Configure S/MIME unpacking.
[]> setup
1. Scan only attachments with MIME types or fingerprints in the list.
2. Skip attachments with MIME types or fingerprints in the list.
Choose one:
[2]>
Enter the maximum depth of attachment recursion to scan:
[5]>
Enter the maximum size of attachment to scan:
[2621440]>
Do you want to scan attachment metadata? [Y]>
Enter the attachment scanning timeout (in seconds):
[1]>
If a message has attachments that were not scanned for any reason (e.g. because
of size, depth limits, or scanning timeout), assume the attachment matches the
search pattern? [Y]>
Assurez-vous que toutes les modifications sont validées en entrant la commande commit.
Sur la GUI :
- Accédez à Services de sécurité, puis Comportement d'analyse
- Cliquez sur Edit the Global Settings
- Désactiver/Activer Supposer que la pièce jointe correspond au modèle si elle n'a pas été analysée pour une raison quelconque.
Pour plus d'informations sur scanconfig , reportez-vous au Guide de l'utilisateur avancé d'AsyncOS sur le Portail d'assistance Cisco.
Informations connexes