Verifica della riscrittura dell'URL del filtro epidemie

Opzioni per il download

  • PDF     (287.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (247.0 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (272.1 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:19 novembre 2020
ID documento:213465

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come verificare l'opzione di modifica dei messaggi dei filtri epidemie (OF) per la riscrittura degli URL. 

Premesse

Se il livello di rischio del messaggio supera la soglia di modifica del messaggio, la funzione Filtri epidemie riscrive tutti gli URL nel messaggio per reindirizzare l'utente alla pagina iniziale del proxy di Cisco Web Security, se fa clic su uno di essi.  AsyncOS riscrive tutti gli URL all'interno di un messaggio ad eccezione di quelli che puntano ai domini ignorati.

Per la riscrittura degli URL sono disponibili le opzioni seguenti:

  • Attiva solo per i messaggi non firmati. Questa opzione consente ad AsyncOS di riscrivere gli URL nei messaggi non firmati che soddisfano o superano la soglia di modifica dei messaggi, ma non firmati. Cisco consiglia di utilizzare questa impostazione per la riscrittura dell'URL.

    Nota: È possibile che gli URL di un messaggio firmato da DomainKeys/DKIM vengano riscritti e la firma del messaggio venga invalidata se la verifica della firma di DomainKeys/DKIM è effettuata da un server o da un accessorio della rete diverso da Email Security Appliance. L'accessorio considera un messaggio firmato se è crittografato tramite S/MIME o se contiene una firma S/MIME.

     

  • È possibile che gli URL di un messaggio firmato da DomainKeys/DKIM vengano riscritti e la firma del messaggio venga invalidata se la verifica della firma di DomainKeys/DKIM è effettuata da un server o da un accessorio della rete diverso da Email Security Appliance.

    L'accessorio considera un messaggio firmato se è crittografato tramite S/MIME o se contiene una firma S/MIME.

  • Attiva per tutti i messaggi. Questa opzione consente ad AsyncOS di riscrivere gli URL in tutti i messaggi che soddisfano o superano la soglia di modifica dei messaggi, inclusi quelli firmati. Se AsyncOS modifica un messaggio firmato, la firma non sarà più valida.
  • Disattiva. Questa opzione disabilita la riscrittura degli URL per i filtri epidemie.

È possibile modificare un criterio per escludere dalla modifica gli URL di determinati domini. Per ignorare i domini, immettere l'indirizzo IPv4, l'indirizzo IPv6, l'intervallo CIDR, il nome host, il nome host parziale o il dominio nel campo Ignora analisi dominio. Separare più voci utilizzando le virgole.

La funzione Ignora analisi dominio è simile all'elenco indirizzi globale utilizzato dal filtro URL, ma indipendente da esso. Per ulteriori informazioni su tale elenco, vedere "Creating Whitelists for URL Filtering" nel manuale ESA User Guide.

Verifica della riscrittura dell'URL del filtro epidemie

Ci sono due opzioni per testare OF sull'ESA. 

Prova della prima parte

Includere un URL dannoso nel corpo dell'e-mail.  URL di test sicuro utilizzabile:

http://malware.testing.google.test/testing/malware/

Quando vengono inviati, i log di esempio di posta devono contenere:

Tue Jul  3 09:31:38 2018 Info: MID 185843 Outbreak Filters: verdict positive
Tue Jul  3 09:31:38 2018 Info: MID 185843 Threat Level=5 Category=Malware Type=Malware
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten to MID 185844 by url-threat-protection filter 'Threat Protection'
Tue Jul  3 09:31:38 2018 Info: Message finished MID 185843 done
Tue Jul  3 09:31:38 2018 Info: MID 185844 Virus Threat Level=5
Tue Jul  3 09:31:38 2018 Warning: MID 185844 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul  3 09:31:38 2018 Info: MID 185844 rewritten to MID 185845 by add-heading filter 'Heading Stamping'
Tue Jul  3 09:31:38 2018 Info: Message finished MID 185844 done
Tue Jul  3 09:31:38 2018 Info: Message finished MID 185846 done
Tue Jul  3 09:31:38 2018 Info: MID 185845 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Malware: Malware)
Tue Jul  3 09:31:38 2018 Info: MID 185845 queued for delivery

I log di posta indicano che l'URL è stato riscritto da OF tramite il proxy Cisco Web Security.  Tenere inoltre presente che il messaggio potrebbe essere nella quarantena per l'epidemia, come illustrato nell'esempio.

Il corpo dell'e-mail consegnato al risultato finale mostrerà quanto segue:

Quando l'utente finale riceve l'e-mail, fa clic sull'URL riscritto e viene reindirizzato al proxy Cisco Web Security che visualizza:

Nota: Viene visualizzato il messaggio "Unable to generate site preview" (Impossibile generare l'anteprima del sito) in base alla codifica/HTML dell'URL o del sito Web originale.  Un sito Web con fogli di stile CSS, riquadri HTML o rendering complesso non sarà in grado di generare un'anteprima del sito.

Prova della parte seconda

La seconda opzione consiste nell'includere i dati con-nel corpo o nell'allegato dell'e-mail in modo da avere il trigger OF. 

Per avere successo, è necessario procedere in due modi:

  1. Creare un file (il file di testo semplice funzionerà) con il nome "hello.voftest" di dimensioni comprese tra 25000 e 30000 byte e allegare il file al messaggio di prova. Verranno attivate le regole di collegamento dei virus.
  2. Inserire il seguente testo di stringa di test GTUBE ("Generic Test for Unsolicited Bulk Email") da 72 byte nel corpo di un messaggio di posta elettronica:
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTPHISH-STANDARD-ANTI-PHISH-TEST-EMAIL*C.34X

In questo modo verranno attivate le regole di codifica e di phishing.  L'esempio dei log di posta deve contenere:

Tue Jul  3 09:44:12 2018 Info: MID 185880 Outbreak Filters: verdict positive
Tue Jul  3 09:44:12 2018 Info: MID 185880 Threat Level=5 Category=Phish Type=Phish
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten to MID 185881 by url-threat-protection filter 'Threat Protection'
Tue Jul  3 09:44:12 2018 Info: Message finished MID 185880 done
Tue Jul  3 09:44:12 2018 Info: MID 185881 Virus Threat Level=5
Tue Jul  3 09:44:12 2018 Warning: MID 185881 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul  3 09:44:12 2018 Info: MID 185881 rewritten to MID 185882 by add-heading filter 'Heading Stamping'
Tue Jul  3 09:44:12 2018 Info: Message finished MID 185881 done
Tue Jul  3 09:44:13 2018 Info: MID 185882 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Phish: Phish)
Tue Jul  3 09:44:13 2018 Info: MID 185882 queued for delivery

I log di posta indicano che l'URL è stato riscritto da OF tramite il proxy Cisco Web Security.  Tenere inoltre presente che il messaggio potrebbe essere nella quarantena per l'epidemia, come illustrato nell'esempio.

Il corpo dell'e-mail consegnato al risultato finale mostrerà quanto segue:

 Quando l'utente finale riceve l'e-mail, fa clic sull'URL riscritto e viene reindirizzato al proxy Cisco Web Security che visualizza:

Nota: Viene visualizzato il messaggio "Unable to generate site preview" (Impossibile generare l'anteprima del sito) in base alla codifica/HTML dell'URL o del sito Web originale.  Un sito Web con fogli di stile CSS, riquadri HTML o rendering complesso non sarà in grado di generare un'anteprima del sito.

Informazioni correlate

Utilizzo: x-advertising = epidemie
TAC Authored

Contributo dei tecnici Cisco

  • Robert Sherwin
    Cisco Email Security TME

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti