はじめに
このドキュメントでは、Cisco Secure Email GatewayおよびクラウドゲートウェイでURLフィルタリングを設定する方法と、URLフィルタリングの使用に関するベストプラクティスについて説明します。
背景説明
URLフィルタリングは、AsyncOS 11.1 for Email Securityで最初に導入されました。このリリースでは、Cisco Secure Emailの設定で、メッセージ添付ファイル内のURLをスキャンし、そのようなメッセージに対して設定されたアクションを実行できるようになりました。メッセージフィルタとコンテンツフィルタは、URLレピュテーションとURLカテゴリを使用して、メッセージと添付ファイルのURLを確認します。詳細については、ユーザガイドまたはオンラインヘルプの「メッセージフィルタを使用した電子メールポリシーの適用」、「コンテンツフィルタ」、および「信頼できない、または望ましくないURLからの保護」の各章を参照してください。
信頼できないリンクや望ましくないリンクに対する制御と保護は、アンチスパム、アウトブレイク、コンテンツ、およびメッセージフィルタリングプロセスの作業キューに組み込まれます。次のコントロールがあります。
- メッセージや添付ファイルの信頼できないURLからの保護の効果を高めます。
- また、URLフィルタリングはアウトブレイクフィルタに組み込まれています。この強化された保護は、Cisco Webセキュリティアプライアンス(WSA)を導入済みの組織であっても、またはWebベースの脅威からの同様の保護を導入済みの組織であっても適用できます。これは、侵入時点で脅威をブロックするためです。
- コンテンツまたはメッセージフィルタを使用して、メッセージ内のURLのWebベースのレピュテーションスコア(WBRS)に基づいてアクションを実行することもできます。たとえば、ニュートラルまたは未知のレピュテーションを含むURLを書き換えてCisco Webセキュリティプロキシにリダイレクトし、安全性のクリック時の評価を行うことができます。
- スパムの特定の改善
- このアプライアンスは、メッセージ内のリンクのレピュテーションとカテゴリ、およびその他のスパム識別アルゴリズムを使用して、スパムを識別します。たとえば、メッセージ内のリンクがマーケティングWebサイトに属している場合、そのメッセージはマーケティングメッセージである可能性が高くなります。
- 企業のアクセプタブルユースポリシーの適用をサポート
- URLのカテゴリ(アダルトコンテンツや違法行為など)は、コンテンツおよびメッセージフィルタと共に使用して、許容される企業使用ポリシーを適用できます。
- 保護用に書き換えられたメッセージ内のURLを最も頻繁にクリックした組織内のユーザー、および最も一般的にクリックされたリンクを特定できます。
注:AsyncOS 11.1 for Email Securityリリースでは、URLフィルタリングによって短縮されたURLのサポートが導入されました。CLIコマンド「websecurityadvancedconfig」を使用すると、短縮形サービスを表示して設定できます。この設定オプションは、AsyncOS 13.5 for Email Securityで更新されました。このリリースにアップグレードすると、短縮されたすべてのURLが展開されます。短縮されたURLの拡張を無効にするオプションはありません。このため、URL防御に最新の保護を提供するには、Eメールセキュリティ用のAsyncOS 13.5以降を推奨します。ユーザガイドまたはオンラインヘルプの「悪意のあるURLまたは望ましくないURLからの保護」の章と、AsyncOS for Cisco EメールセキュリティアプライアンスのCLIリファレンスガイドを参照してください。
注:このドキュメントでは、AsyncOS 14.2 for Email Securityを例とスクリーンショットに使用しています。
注:Cisco Secure Emailでは、docs.ces.cisco.comで詳細なURL防御ガイドも提供しています。
前提条件
Cisco Secure Email GatewayまたはクラウドゲートウェイでURLフィルタリングを設定する場合は、必要な機能に応じて他の機能も設定する必要があります。URLフィルタリングとともに有効になる一般的な機能を次に示します。
- スパムに対する保護を強化するには、該当するメールポリシーに従ってアンチスパムスキャン機能をグローバルに有効にする必要があります。アンチスパムは、Cisco IronPort Anti-Spam(IPAS)またはCisco Intelligent Multi-Scan(IMS)機能のいずれかとみなされます。
- マルウェアに対する保護を強化するには、アウトブレイクフィルタまたはVirus Outbreak Filters(VOF)機能を該当するメールポリシーごとにグローバルに有効にする必要があります。
- URLレピュテーションに基づくアクションの場合、またはメッセージフィルタとコンテンツフィルタを使用してアクセプタブルユースポリシー(AUP)を適用する場合は、VOFをグローバルに有効にする必要があります。
URL フィルタリングの有効化
まず、Cisco Secure Email GatewayまたはクラウドゲートウェイでURLフィルタリングを実装する機能を有効にする必要があります。URLフィルタリングは、管理者がGUIまたはCLIから有効にできます。
URLフィルタリングを有効にするには、GUIからSecurity Services > URL Filteringに移動し、Enableをクリックします。
次に、Enable URL Category and Reputation Filtersをクリックします。この例には、URL検索タイムアウト、スキャンされるURLの最大数に関するベストプラクティス値が含まれており、URLをログに記録するオプションを有効にします。
注:この時点で、設定に対する変更をコミットしていることを確認してください。
URLフィルタリングアクションの作成
URLフィルタリングだけを有効にすると、メッセージ内のURLや添付ファイルを含むメッセージに対してアクションは実行されません。
受信および送信メールポリシーのメッセージと添付ファイルに含まれるURLが評価されます。URLに対して有効な文字列はすべて、次のコンポーネントを含む文字列を含むように評価されます。
- HTTP、HTTPS、またはWWW
- ドメインまたはIPアドレス
- ポート番号の前にコロン(:)を付ける
- 大文字または小文字
注:URLログエントリは、ほとんどのURLのmail_logsから確認できます。URLがmail_logsに記録されていない場合は、メッセージID(MID)のメッセージトラッキングを確認してください。メッセージトラッキングには、「URLの詳細」のタブが含まれています。
システムがURLを評価してメッセージがスパムであるかどうかを判断する際、負荷管理に必要な場合は、発信メッセージよりも着信メッセージを優先してスクリーニングします。
メッセージに対するアクションは、メッセージ本文のURLレピュテーションまたはURLカテゴリ、または添付ファイルを含むメッセージに基づいて実行できます。
たとえば、AdultカテゴリのURLを含むすべてのメッセージに対してDrop (Final Action)アクションを適用する場合は、Adultカテゴリを選択した状態でURL Categoryタイプの条件を追加します。
カテゴリを指定しない場合、選択したアクションはすべてのメッセージに適用されます。
Trusted、Proferred、Neutral、Suspected、およびUntrustedのURLレピュテーションスコア範囲は事前に定義されており、編集できません。カスタム範囲を指定できます。レピュテーションスコアがまだ決定されていないURLには「Unknown」を使用します。
URLをすばやくスキャンしてアクションを実行するには、コンテンツフィルタを作成して、メッセージに有効なURLが含まれている場合にそのアクションが適用されるようにします。GUIから、Mail Policies > Incoming Content Filters > Add Filterの順に移動します。
URLに関連するアクションは次のとおりです。
- URLの定義
- URLはクリックできないように変更されますが、メッセージの受信者は目的のURLを読み取ることができます(元のURLに余分な文字が挿入されます)。
- Ciscoセキュリティプロキシにリダイレクトする
- クリックすると、追加の検証のためにCisco Security Proxyを通過するURLが書き換えられます。Cisco Security Proxyの判定に基づいて、ユーザがサイトにアクセスできない可能性があります。
- URLをテキストメッセージで置き換える
- このオプションを使用すると、管理者はメッセージ内のURLを書き換えて、リモートブラウザの隔離のために外部に送信できます。
信頼できないURL
Untrusted(信頼できない):非常に悪い、悪意がある、または望ましくないURLの動作。これは最も安全な推奨ブロックリストのしきい値ですが、URLの脅威レベルが低いためにブロックされないメッセージが存在する可能性があります。セキュリティよりも配信を優先
推奨処置:ブロックします。(管理者はメッセージ全体を隔離または削除できます)。
次の例は、信頼できないURLを検出するためのURLフィルタリングのコンテンツフィルタのコンテキストを示しています。
このコンテンツフィルタを設定すると、Cisco Secure Emailは信頼できないレピュテーション(-10.00 ~ -6.00)を持つURLをスキャンし、そのメッセージを検疫URL_UNTRUSTEDに入れます。mail_logsの例を次に示します。
Tue Jul 5 15:01:25 2022 Info: ICID 5 ACCEPT SG MY_TRUSTED_HOSTS match 127.0.0.1 SBRS None country United States
Tue Jul 5 15:01:25 2022 Info: ICID 5 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Tue Jul 5 15:01:25 2022 Info: Start MID 3 ICID 5
Tue Jul 5 15:01:25 2022 Info: MID 3 ICID 5 From: <test@test.com>
Tue Jul 5 15:01:25 2022 Info: MID 3 SDR: Domains for which SDR is requested: reverse DNS host: example.com, helo: ip-127-0-0-1.internal, env-from: test.com, header-from: Not Present, reply-to: Not Present
Tue Jul 5 15:01:25 2022 Info: MID 3 SDR: Consolidated Sender Threat Level: Neutral, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: 30 days (or greater) for domain: test.com
Tue Jul 5 15:01:25 2022 Info: MID 3 ICID 5 RID 0 To: <end_user>
Tue Jul 5 15:01:25 2022 Info: MID 3 Message-ID '<20220705145935.1835303@ip-127-0-0-1.internal>'
Tue Jul 5 15:01:25 2022 Info: MID 3 Subject "test is sent you a URL => 15504c0618"
Tue Jul 5 15:01:25 2022 Info: MID 3 SDR: Domains for which SDR is requested: reverse DNS host:ip-127-0-0-1.internal, helo:ip-127-0-0-1.internal, env-from: test.com, header-from: test.com, reply-to: Not Present
Tue Jul 5 15:01:25 2022 Info: MID 3 SDR: Consolidated Sender Threat Level: Neutral, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: 30 days (or greater) for domain: test.com
Tue Jul 5 15:01:25 2022 Info: MID 3 SDR: Tracker Header : 62c45245_jTikQ2lV2NYfmrGzMwQMBd68fxqFFueNmElwb5kQOt89QH1tn2s+wyqFO0Bg6qJenrPTndlyp+zb0xjKxrK3Cw==
Tue Jul 5 15:01:25 2022 Info: MID 3 ready 3123 bytes from <test@test.com>
Tue Jul 5 15:01:25 2022 Info: MID 3 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Jul 5 15:01:25 2022 Info: ICID 5 close
Tue Jul 5 15:01:25 2022 Info: MID 3 URL https://www.ihaveabadreputation.com/ has reputation -9.5 matched Condition: URL Reputation Rule
Tue Jul 5 15:01:25 2022 Info: MID 3 quarantined to "Policy" (content filter:URL_QUARANTINE_UNTRUSTED)
Tue Jul 5 15:01:25 2022 Info: Message finished MID 3 done
URL ihaveabadreputation.comはUNTRUSTEDと見なされ、-9.5で採点されます。URLフィルタリングによって信頼できないURLが検出され、URL_UNTRUSTEDに対して検疫されました。
前述のmail_logsの例では、URLフィルタリングのコンテンツフィルタのみが着信メールポリシーに対して有効になっている場合の例を示しています。同じメールポリシーでスパム対策などの追加サービスが有効になっている場合、他のサービスは、それらのサービスとそのルールからURLが検出されたかどうかを示します。同じURLの例では、着信メールポリシーに対してCisco Anti-Spam Engine(CASE)が有効になっており、メッセージ本文がスキャンされてスパム陽性と判定されます。アンチスパムはメール処理パイプラインの最初のサービスであるため、これはmail_logsで最初に示されます。コンテンツフィルタは、メール処理パイプラインの後半に追加されます。
Tue Jul 5 15:19:48 2022 Info: ICID 6 ACCEPT SG MY_TRUSTED_HOSTS match 127.0.0.1 SBRS None country United States
Tue Jul 5 15:19:48 2022 Info: ICID 6 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Tue Jul 5 15:19:48 2022 Info: Start MID 4 ICID 6
Tue Jul 5 15:19:48 2022 Info: MID 4 ICID 6 From: <test@test.com>
Tue Jul 5 15:19:48 2022 Info: MID 4 SDR: Domains for which SDR is requested: reverse DNS host:ip-127-0-0-1.internal, helo:ip-127-0-0-1.internal, env-from: test.com, header-from: Not Present, reply-to: Not Present
Tue Jul 5 15:19:49 2022 Info: MID 4 SDR: Consolidated Sender Threat Level: Neutral, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: 30 days (or greater) for domain: test.com
Tue Jul 5 15:19:49 2022 Info: MID 4 ICID 6 RID 0 To: <end_user>
Tue Jul 5 15:19:49 2022 Info: MID 4 Message-ID '<20220705151759.1841272@ip-127-0-0-1.internal>'
Tue Jul 5 15:19:49 2022 Info: MID 4 Subject "test is sent you a URL => 646aca13b8"
Tue Jul 5 15:19:49 2022 Info: MID 4 SDR: Domains for which SDR is requested: reverse DNS host:ip-127-0-0-1.internal, helo:ip-127-0-0-1.internal, env-from: test.com, header-from: test.com, reply-to: Not Present
Tue Jul 5 15:19:49 2022 Info: MID 4 SDR: Consolidated Sender Threat Level: Neutral, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: 30 days (or greater) for domain: test.com
Tue Jul 5 15:19:49 2022 Info: MID 4 SDR: Tracker Header : 62c45695_mqwplhpxGDqtgUp/XTLGFKD60hwNKKsghUKAMFOYVv9l32gncZX7879qf3FGzWfP1mc6ZH3iLMpcKwCBJXhmIg==
Tue Jul 5 15:19:49 2022 Info: MID 4 ready 3157 bytes from <test@test.com>
Tue Jul 5 15:19:49 2022 Info: MID 4 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Jul 5 15:19:49 2022 Info: ICID 6 close
Tue Jul 5 15:19:49 2022 Info: MID 4 interim verdict using engine: CASE spam positive
Tue Jul 5 15:19:49 2022 Info: MID 4 using engine: CASE spam positive
Tue Jul 5 15:19:49 2022 Info: ISQ: Tagging MID 4 for quarantine
Tue Jul 5 15:19:49 2022 Info: MID 4 URL https://www.ihaveabadreputation.com/ has reputation -9.5 matched Condition: URL Reputation Rule
Tue Jul 5 15:19:49 2022 Info: MID 4 quarantined to "URL_UNTRUSTED" (content filter:URL_QUARANTINE_UNTRUSTED)
Tue Jul 5 15:19:49 2022 Info: Message finished MID 4 done
CASEルールとIPASルールに、特定の送信者、ドメイン、またはメッセージの内容と照合してURLの脅威だけを検出するルール、レピュテーション、またはスコアが含まれている場合があります。この例では、スパム検疫(ISQ)用にタグ付けされたihaveabadreputation.comと、URL_QUARANTINE_UNTRUSTEDコンテンツフィルタによるURL_UNTRUSTED検疫が確認されています。メッセージは、最初にURL_UNTRUSTED隔離に入ります。管理者によってメッセージがその隔離から解放されるか、URL_UNTRUSTED隔離の時間制限/設定基準が満たされると、メッセージは次にISQに移動されます。
管理者の設定に基づいて、コンテンツフィルタに追加の条件とアクションを設定できます。
不明なURL
Unknown:以前に評価されていないか、または脅威レベルの判定をアサートする機能が表示されていません。URLレピュテーションサービスにレピュテーションを確立するための十分なデータがありません。この判定は、URLレピュテーションポリシーでの直接のアクションには適していません。
推奨処置:後続のエンジンをスキャンして、他の悪意のある可能性のあるコンテンツを確認します。
未知のURLまたは「レピュテーションなし」は、新しいドメインを含むURLや、トラフィックがほとんどまたはまったく検出されず、評価されたレピュテーションや脅威レベルの判定を受けることができないURLである可能性があります。これらのドメインと発信元に関する詳細な情報が取得されると、これらはUntrustedに変わる可能性があります。このようなURLについては、ログに記録するコンテンツフィルタ、または不明なURLの検出を含むコンテンツフィルタを使用することをお勧めします。AsyncOS 14.2では、不明なURLがTalos Intelligence Cloud Serviceに送信され、さまざまな脅威インジケータでトリガーされる詳細なURL分析が行われます。また、不明なURLのメールログエントリは、MIDに含まれているURLの表示と、URL保護による修復の可能性を管理者に提供します。(詳細については、『Microsoft Azure (Microsoft 365) API - CiscoのCisco Secure Email Account Settingsの設定方法』を参照してください)。
次の例は、不明なURLを検出するためのURLフィルタリングのコンテンツフィルタのコンテキストを示しています。
このコンテンツフィルタを設定すると、Cisco Secure EmailはレピュテーションがUnknownのURLをスキャンし、ログ行をmail_logsに書き込みます。mail_logsの例を次に示します。
Tue Jul 5 16:51:53 2022 Info: ICID 20 ACCEPT SG MY_TRUSTED_HOSTS match 127.0.0.1 SBRS None country United States
Tue Jul 5 16:51:53 2022 Info: ICID 20 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Tue Jul 5 16:51:53 2022 Info: Start MID 16 ICID 20
Tue Jul 5 16:51:53 2022 Info: MID 16 ICID 20 From: <test@test.com>
Tue Jul 5 16:51:53 2022 Info: MID 16 SDR: Domains for which SDR is requested: reverse DNS host:ip-127-0-0-1.internal, helo:ip-127-0-0-1.internal, env-from: test.com, header-from: Not Present, reply-to: Not Present
Tue Jul 5 16:51:53 2022 Info: MID 16 SDR: Consolidated Sender Threat Level: Neutral, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: 30 days (or greater) for domain: test.com
Tue Jul 5 16:51:53 2022 Info: MID 16 ICID 20 RID 0 To: <end_user>
Tue Jul 5 16:51:53 2022 Info: MID 16 Message-ID '<20220705165003.1870404@ip-127-0-0-1.internal>'
Tue Jul 5 16:51:53 2022 Info: MID 16 Subject "test is sent you a URL => e835eadd28"
Tue Jul 5 16:51:53 2022 Info: MID 16 SDR: Domains for which SDR is requested: reverse DNS host:ip-127-0-0-1.internal, helo:ip-127-0-0-1.internal, env-from: test.com, header-from: test.com, reply-to: Not Present
Tue Jul 5 16:51:53 2022 Info: MID 16 SDR: Consolidated Sender Threat Level: Neutral, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: 30 days (or greater) for domain: test.com
Tue Jul 5 16:51:53 2022 Info: MID 16 SDR: Tracker Header : 62c46c29_vrAqZZys2Hqk+BFINVrzdNLLn81kuIf/K6o71YZLVE5c2s8v9M9pKpQZSgtz7a531Dw39F6An2x6tMSucDegqA==
Tue Jul 5 16:51:53 2022 Info: MID 16 ready 3208 bytes from <test@test.com>
Tue Jul 5 16:51:53 2022 Info: MID 16 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Jul 5 16:51:53 2022 Info: ICID 20 close
Tue Jul 5 16:51:54 2022 Info: MID 16 interim verdict using engine: CASE spam negative
Tue Jul 5 16:51:54 2022 Info: MID 16 using engine: CASE spam negative
Tue Jul 5 16:51:54 2022 Info: MID 16 URL http://mytest.example.com/test_url_2022070503 has reputation noscore matched Condition: URL Reputation Rule
Tue Jul 5 16:51:54 2022 Info: MID 16 Custom Log Entry: <<<=== LOGGING UNKNOWN URL FOR MAIL_LOGS ===>>>
Tue Jul 5 16:51:54 2022 Info: MID 16 queued for delivery
Tue Jul 5 16:51:54 2022 Info: Delivery start DCID 13 MID 16 to RID [0]
Tue Jul 5 16:51:56 2022 Info: Message done DCID 13 MID 16 to RID [0]
Tue Jul 5 16:51:56 2022 Info: MID 16 RID [0] Response '2.6.0 <20220705165003.1870404@ip-127-0-0-1.internal> [InternalId=1198295889556, Hostname=<my>.prod.outlook.com] 15585 bytes in 0.193, 78.747 KB/sec Queued mail for delivery'
Tue Jul 5 16:51:56 2022 Info: Message finished MID 16 done
Tue Jul 5 16:52:01 2022 Info: DCID 13 close
URL mytest.example.com/test_url_2022070503はレピュテーションがなく、「noscore」で表示されます。 URL_UNKNOWNコンテンツフィルタは、設定されたとおりにloglineをmail_logsに書き込みます。
Cisco Secure Email GatewayからTalos Intelligence Cloud Serviceへのポーリングサイクルの後、URLがスキャンされ、信頼できないと判断されます。これは、ECSログの「Trace」レベルで確認できます。
その後、mail_logsで修復自体が呼び出されて完了すると、次のようになります。
Tue Jul 5 16:55:42 2022 Info: Message 16 containing URL 'http://mytest.example.com/test_url_2022070503' was initiated for remediation.
Tue Jul 5 16:55:55 2022 Info: Message 16 was processed due to URL retrospection by Mailbox Remediation with 'Delete' remedial action for recipient <end_user>. Profile used to remediate: MSFT_365 Remediation status: Remediated.
管理者は、自分の裁量で不明なURLに対するアクションを検討する必要があります。フィッシング関連の電子メールおよび添付ファイルが増加している場合は、mail_logsおよびコンテンツフィルタレポートを確認してください。さらに、管理者は、クリック時の評価のためにUnknown URL(s)をCisco Security proxyサービスにリダイレクトするように設定できます。この例では、URL_UNKNOWNコンテンツフィルタ内でAdd Action > URL Reputationに移動します。
クリックすると、追加の検証のためにCisco Security Proxyを通過するURLが書き換えられます。Cisco Security Proxyの判定に基づいて、ユーザがサイトにアクセスできない可能性があります。
注:Check URLs within All (Message, Body, Subject and Attachments)オプションを有効にすると、添付ファイルを削除する唯一のオプションを使用して、添付ファイルのURLに対して実行されるアクションが自動的に有効になります。一部の管理者に対して添付ファイルを削除するオプションは推奨されません。アクションを確認し、メッセージ本文と件名を設定するオプションのみを検討してください。
更新されたコンテンツフィルタは次の例のようになります。また、「Redirect to Cisco Secure Proxy」アクションが追加されています。
問題のあるURL
Rucking:リスクを示す可能性がある、または望ましくない可能性があるURLの動作。すべての組織にとって安全ではありませんが、この判定は低く、比較的安全な偽陽性(FP)率を示しています。ブロックしない判定では、セキュリティよりも配信が優先され、リスクを伴うURLを含むメッセージが生成される可能性があります。
推奨処置:後続のエンジンでスキャンし、確認後にブロックします。
「不明なURL」で設定したとおり、管理者はCisco Security Proxyに「問題のあるURL」を送信するか、URLを完全に定義するアクションを利用することが有益であると判断できます。
ニュートラルURL
ニュートラル:正または負の動作を持たないURL。ただし、評価は完了しています。つまり、URLには現時点で既知のリスクはありません。したがって、これがレピュテーション判定の大部分です。
推奨処置:後続のエンジンをスキャンして、他の悪意のある可能性のあるコンテンツを確認します。
管理者は、負のスコアが付いたニュートラルURLを脅威として見ることができます。メッセージの数とニュートラルURLの発生回数は、お客様の裁量で評価してください。シスコのセキュリティプロキシにURLを送信するアクションを利用するために不明なURLや疑わしいURLを更新した方法と同様に、ニュートラルURL、またはニュートラルのマイナス側のサブセットを含むカスタム範囲を検討できます。次の例は、この着信コンテンツフィルタの実装によるニュートラルURLのスキャンを示しています。
メッセージ トラッキング
MIDに関連付けられたURLのメッセージトラッキングオプションを確認します。 URLがmail_logsに記録されない場合があり、メッセージ追跡の詳細で見つけることができます。例:
また、メッセージトラッキングには、URL防御とインタラクションを備えたメッセージの高度な検索オプションもあります。
未分類および誤って分類されたURLのレポート
URLは、レピュテーションまたは分類なしでレポートされることがあります。誤って分類されたURLもあります。これらのURL目撃情報を報告するには、Talos’Reputation Center SupportページにあるCisco Talos’のWeb Categorization Requestsにアクセスしてください。
URLをレポートした後は、URLのステータスを マイチケット ページを使用します。
悪意のあるURLとマーケティングメッセージがスパム対策フィルタまたはアウトブレイクフィルタで検出されない
これは、サイトのレピュテーションとカテゴリが、スパム対策フィルタやアウトブレイクフィルタが判定を行う際に使用する多くの基準の中で2つしかないために発生する可能性があります。これらのフィルタの感度を高めるには、書き換えやURLのテキストへの置き換え、検疫、またはメッセージのドロップなど、アクションを実行するために必要な閾値を低くします。
または、URLレピュテーションスコアに基づいてコンテンツフィルタまたはメッセージフィルタを作成できます。
付録
短縮されたURLに対するURLフィルタリングサポートの有効化
注:このセクションは、AsyncOS 11.1 ~ 13.0 for Email Securityにのみ適用されます。
短縮されたURLに対するURLフィルタリングサポートは、CLIでのみwebsecurityadvancedconfigコマンドを使用して実行できます。
myesa.local> websecurityadvancedconfig
...
Do you want to enable URL filtering for shortened URLs? [N]> Y
For shortened URL support to work, please ensure that ESA is able to connect to following domains:
bit.ly, tinyurl.com, ow.ly, tumblr.com, ff.im, youtu.be, tl.gd, plurk.com, url4.eu, j.mp, goo.gl, yfrog.com, fb.me, alturl.com, wp.me, chatter.com, tiny.cc, ur.ly
シスコでは、URLフィルタリング設定のベストプラクティスに従って、これを有効にすることを推奨しています。有効にすると、短縮されたURLがメッセージ内で使用されるたびにメールログに反映されます。
Mon Aug 27 14:56:49 2018 Info: MID 1810 having URL: http://bit.ly/2tztQUi has been expanded to https://www.wired.com/?p=2270330&drafts-for-friends=js-1036023628&post_type=non-editorial
この記事で説明するようにURLフィルタリングを有効にすると、mail_logsの例から、bit.lyリンクが記録され、展開先の元のリンクも記録されていることがわかります。
-
追加情報
Cisco Secure Email Gatewayに関するドキュメント
セキュアなEメールクラウドゲートウェイに関する文書
Cisco Secure Email and Web Managerに関するドキュメント
Cisco Secure製品ドキュメント