URLの無効化およびセキュアEメールゲートウェイでのリダイレクトアクションについて
内容
はじめに
このドキュメントでは、URLフィルタで使用されるdefangアクションとredirectアクションの違い、およびhref属性とテキストに使用可能な書き換えオプションを使用する方法について説明します。
前提条件
要件
URLレピュテーションに基づいてアクションを実行したり、メッセージフィルタやコンテンツフィルタでアクセプタブルユースポリシー(AUP)を適用するには、アウトブレイクフィルタ機能をグローバルに有効にする必要があります。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- CiscoセキュアEメールゲートウェイ
- アウトブレイク フィルタ
- コンテンツおよびメッセージフィルタ
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
URLフィルタリング機能の1つは、メッセージフィルタやコンテンツフィルタを使用して、URLレピュテーションまたはカテゴリに基づいてアクションを実行することです。URLスキャン結果(URL関連条件)に基づいて、URLに対して使用可能な3つのアクションのいずれかを適用できます。
- URLの無効化
- 「Ciscoセキュリティプロキシ」にリダイレクトします
- URLをテキストメッセージで置き換える
このドキュメントでは、Defang URLオプションとRedirect URLオプションの間の動作について説明します。また、アウトブレイクフィルタの非ウイルス脅威検出のURL書き換え機能について簡単に説明します。
メッセージサンプル
すべてのテストで使用されるサンプルメッセージは、MIME multipart/alternativeタイプのメッセージであり、text/plain部分とtext/html部分の両方が含まれます。これらの部分は通常、電子メールソフトウェアによって自動的に生成され、HTMLおよび非HTML受信者用にフォーマットされた同じ種類のコンテンツが含まれています。このため、text/plainおよびtext/htmlのコンテンツは手動で編集されました。
Content-Type: multipart/alternative;
boundary="===============7781793576330041025=="
MIME-Version: 1.0
From: admin@example.com
Date: Mon, 04 Jul 2022 14:38:52 +0200
To: admin@cisco.com
Subject: Test URLs
--===============7781793576330041025==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
This is text part of the message
Link1: http://malware.testing.google.test/testing/malware/ and some text
Link2: http://cisco.com and some text
--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
This is an HTML part of the message
Link1: http://malware.testing.google.test/testing/malware/ and some text
Link2: CLICK ME some text
Link3: http://malware.testing.google.test/testing/malware/ and some text
Link4: http://cisco.com and some text
--===============7781793576330041025==--パートI:デファン
コンフィギュレーション
最初の部分では、設定で次を使用します。
- デフォルトのアンチスパム(AS)/アンチウイルス(AV)/高度なマルウェア防御(AMP)設定とアウトブレイクフィルタ(OF)を無効にしたメールポリシー
- 受信コンテンツフィルタ: URL_SCOREコンテンツフィルタが有効
コンテンツフィルタは、URLレピュテーション条件を使用して、スコアが–6.00 ~ -10.00の悪意のあるURLを照合します。アクションとして、コンテンツフィルタ名が記録され、デフォルトアクションurl-reputation-defangが実行されます。
無効化アクション
defangアクションとは何かを明確にすることが重要です。ユーザガイドには説明があります。クリックできないようにURLを最適化してください。メッセージの受信者は、引き続きURLを表示およびコピーできます。
シナリオA
|
アウトブレイクフィルタの非ウイルス性の脅威検出 |
いいえ |
|
コンテンツフィルタ操作 |
無効化 |
|
websecurityadvancedconfig hrefおよびテキストの書き換えが有効です |
いいえ |
このシナリオでは、デフォルト設定で設定されたデファンアクションの結果について説明します。デフォルト設定では、HTMLタグだけが削除されるとURLが書き換えられます。次のURLを含むHTML段落を参照してください。
Link1: http://malware.testing.google.test/testing/malware/ and some text
Link2: CLICK ME some text
Link3: http://malware.testing.google.test/testing/malware/ and some text
最初の2つの段落では、URLは適切なHTMLのAタグで表されます。<A>要素には、タグ自体に含まれ、リンク先を示すhref=属性が含まれています。タグ要素内のコンテンツは、リンク先を示すこともできます。このリンクの「text form」には、URLを含めることができます。最初のLink1は、要素のhref属性とテキスト部分の両方に同じURLリンクを含めます。これらのURLは異なる場合があることに注意してください。2番目のLink2には、適切なURLがhref属性内にのみ含まれます。最後の段落にはA要素は含まれません。
メッセージがURL_SCOREフィルタに一致すると、悪意のあるURLがデフラグされます。OUTBREAKCONFIGコマンドでURLロギングを有効にすると、mail_logsでスコアとURLを確認できます。
Mon Jul 4 14:46:43 2022 Info: MID 139502 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Cond tion: URL Reputation Rule
Mon Jul 4 14:46:43 2022 Info: MID 139502 Custom Log Entry: URL_SCORE
Mon Jul 4 14:46:43 2022 Info: MID 139502 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Acti n: URL defanged
Mon Jul 4 14:46:43 2022 Info: MID 139502 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Acti n: URL defanged
Mon Jul 4 14:46:43 2022 Info: MID 139502 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Acti n: URL defanged
Mon Jul 4 14:46:43 2022 Info: MID 139502 rewritten to MID 139503 by url-reputation-defang-action filter 'URL_SCORE'この結果、次のメッセージが書き換えられます。
--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
This is an HTML part of the message
Link1: http://malware.testing.google.test/testing/malware/ and some text
Link2: CLICK ME some text
Link3: http://malware.testing.google.test/testing/malware/ and some text
Link4: http://cisco.com and some text
--===============7781793576330041025==--MIMEメッセージのtext/html部分に対して実行されたdefangアクションの結果、Aタグが削除され、タグの内容は変更されません。最初の2つの段落では、HTMLコードが削除され、要素のテキスト部分が残された場所で、両方のリンクがデフラグされました。最初の段落のURLアドレスは、HTML要素のテキスト部分のアドレスです。最初の段落のURLアドレスは、defangアクションを実行した後も表示されますが、HTMLのAタグがない場合は、要素をクリックできないことに注意してください。3番目のパラグラフは、URLアドレスがAタグの間に配置されず、リンクと見なされないのでデファインドされません。おそらく、2つの理由から望ましい動作ではありません。まず、ユーザはリンクを簡単に表示およびコピーし、ブラウザで実行できます。2つ目の理由は、一部の電子メールソフトウェアがテキスト内の有効な形式のURLを検出し、それをクリック可能なリンクにする傾向があるためです。
MIMEメッセージのテキスト/プレーン部分を見てみましょう。text/plain部分には、テキスト形式で2つのURLが含まれます。text/plainは、HTMLコードを理解しないMUAによって表示されます。最近のほとんどの電子メールクライアントでは、意図的に電子メールクライアントを設定しない限り、メッセージのテキストやプレーン部分は表示されません。通常は、メッセージのソースコード、つまりメッセージの生のEML形式を確認して、MIME部分を調べる必要があります。
このリストには、ソースメッセージのテキストまたはプレーン部分からのURLが表示されます。
Link1: http://malware.testing.google.test/testing/malware/ and some text
Link2: http://cisco.com and some textこの2つのリンクのうち1つが悪意のあるスコアを獲得し、無効化されました。デフォルトでは、MIMEタイプのtext/plain部分に対して実行されるdefangアクションは、text/html部分とは異なる結果になります。ブロックされた単語の間にあり、角カッコで囲まれたすべてのドットの間にあります。
--===============7781793576330041025==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
This is text part of the message
Link1: BLOCKEDmalware[.]testing[.]google[.]test/testing/malware/BLOCKED and some text
Link2: http://cisco.com and some text
--===============7781793576330041025==まとめ:
- TEXT/PLAIN部分に対して実行を無効化すると、URLがBLOCKEDブロックに書き換えられます。
- TEXT/HTML部分に対して実行されるデフラグは、Aタグ間のテキストをタッチせずにAタグが削除されたときに、HTML AタグからURLを書き換えます。これはURLアドレスにすることもできます
シナリオB
|
アウトブレイクフィルタの非ウイルス性の脅威検出 |
いいえ |
|
コンテンツフィルタ操作 |
無効化 |
|
websecurityadvancedconfig hrefおよびテキストの書き換えが有効です |
Yes |
このシナリオでは、いずれかのwebsecurityadvancedconfigオプションを使用した後にdefangsアクションの動作がどのように変わるかについて説明します。websecurityadvancedconfigは、URLスキャン固有の設定を調整できるマシンレベル固有のCLIコマンドです。この設定の1つを使用して、defangアクションのデフォルトの動作を変更できます。
> websecurityadvancedconfig
Enter URL lookup timeout in seconds:
[15]>
Enter the maximum number of URLs that can be scanned in a message body:
[100]>
Enter the maximum number of URLs that can be scanned in the attachments in a message:
[25]>
Do you want to rewrite both the URL text and the href in the message? Y indicates that the full rewritten URL will appear in the email body. N indicates that the rewritten URL will only be visible in the href for HTML messages. [N]> Y
... 4番目の質問では、 Do you want to rewrite both the URL text and the href in the message? ..「Y」という回答は、メッセージのHTMLベースのMIME部分の場合、A-tag要素のhref属性で見つかったかどうかにかかわらず一致するすべてのURL文字列が、書き換えられる要素のテキスト部分または外部であることを示しています。このシナリオでは、同じメッセージが再送信されますが、結果はわずかに異なります。
もう一度text/html MIMEパートコードをURLで確認し、Eメールゲートウェイで処理されるHTMLコードと比較します。
Link1: http://malware.testing.google.test/testing/malware/ and some text
Link2: CLICK ME some text
Link3: http://malware.testing.google.test/testing/malware/ and some text
Link4: http://cisco.com and some text
hrefおよびテキスト書き換えオプションを有効にすると、URLアドレスがhref属性の一部であるか、A-tag HTML要素のテキストの一部であるか、またはHTMLドキュメントの別の部分で見つかるかにかかわらず、フィルタURLに一致するものがすべてデフラグされます。
--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
This is an HTML part of the message
Link1: BLOCKEDmalware[.]testing[.]google[.]test/testing/malware/BLOCKED and some text
Link2: CLICK ME some text
Link3: BLOCKEDmalware[.]testing[.]google[.]test/testing/malware/BLOCKED and some text
Link4: http://cisco.com and some text
--===============7781793576330041025==--A-tag要素がURL形式に一致する場合、リンクのテキスト部分の書き換えと一緒に取り除かれると、デファインドされたURLが書き換えられます。書き換えられたテキスト部分は、MIMEメッセージのテキスト/プレーン部分と同じ方法で行われます。項目はBLOCKEDワードの間に配置され、すべてのドットは角カッコの間に配置されます。これにより、ユーザはURLをコピーして貼り付けることがなくなり、一部の電子メールソフトウェアクライアントではテキストがクリック可能になります。
まとめ:
- TEXT/PLAIN部分に対して実行を無効化すると、URLがBLOCKEDブロックに書き換えられます。
- TEXT/HTML部分に対する実行の無効化は、Aタグが削除されたときにHTML AタグからURLを書き換えます
- TEXT/HTML部分に対して実行された無効化は、BLOCKEDブロックに一致するすべてのURL文字列を書き換えます
パートII:リダイレクト
コンフィギュレーション
2番目のパートでは、設定で次の情報を使用します。
- デフォルトのAS/AV/AMP設定でOFが無効なメールポリシー
- 受信コンテンツフィルタ: URL_SCOREコンテンツフィルタが有効
コンテンツフィルタは、URLレピュテーション条件を使用して、スコアが–6.00 ~ -10.00の悪意のあるURLを照合します。アクションとして、コンテンツフィルタ名が記録され、「redirect action」が実行されます。
リダイレクトアクション
「Cisco Security Proxyサービスによるクリック時評価」にリダイレクトすると、メッセージの受信者がリンクをクリックして、クラウド内のCisco Webセキュリティプロキシにリダイレクトされ、サイトが悪意のあるサイトとして識別された場合にアクセスをブロックします。
シナリオC
|
アウトブレイクフィルタの非ウイルス性の脅威検出 |
いいえ |
|
コンテンツフィルタ操作 |
リダイレクト(Redirect) |
|
websecurityadvancedconfig hrefおよびテキストの書き換えが有効です |
いいえ |
このシナリオは、最初の部分のシナリオAと動作が非常によく似ていますが、コンテンツフィルタアクションでURLをデフラグする代わりにリダイレクトするという違いがあります。websecurityadvancedconfig設定がデフォルト設定に復元されます。つまり、「"Do you want to rewrite both the URL text and the href in the message? ..」が「N」に設定されています。
電子メールゲートウェイは、各URLを検出して評価します。悪意のあるスコアによってURL_SCOREコンテンツフィルタルールがトリガーされ、アクションが実行されます url-reputation-proxy-redirect-action
Tue Jul 5 12:42:19 2022 Info: MID 139508 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Condition: URL Reputation Rule
Tue Jul 5 12:42:19 2022 Info: MID 139508 Custom Log Entry: URL_SCORE
Tue Jul 5 12:42:19 2022 Info: MID 139508 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL redirected to Cisco Security proxy
Tue Jul 5 12:42:19 2022 Info: MID 139508 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL redirected to Cisco Security proxy
Tue Jul 5 12:42:19 2022 Info: MID 139508 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL redirected to Cisco Security proxy
Tue Jul 5 12:42:19 2022 Info: MID 139508 rewritten to MID 139509 by url-reputation-proxy-redirect-action filter 'URL SCORE'メッセージのHTML部分でURLがどのように書き換えられているかを見てみましょう。シナリオAと同様に、A-tag要素のhref属性で見つかったURLのみが書き換えられ、A-tag要素のテキスト部分で見つかったURLアドレスはスキップされます。defangアクションではA-tag要素全体が削除されますが、redirectアクションではhref属性のURLが書き換えられます。
--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
This is an HTML part of the message
Link1: http://malware.testing.google.test/testing/malware/ and some text
Link2: CLICK ME some text
Link3: http://malware.testing.google.test/testing/malware/ and some text
Link4: http://cisco.com and some text
--===============7781793576330041025==--その結果、電子メールクライアントには2つのアクティブリンク(Link1とLink2)が表示され、どちらもCisco Web Security Proxyサービスをポイントしていますが、電子メールクライアントに表示されるメッセージには、デフォルトでは書き換えられないAタグのテキスト部分が表示されます。この状況を改善するには、メッセージのテキスト/html部分を表示するWebメールクライアントからの出力を調べてください。
MIME部分のテキスト/プレーン部分では、スコアに一致するすべてのURL文字列が書き換えられるため、リダイレクトがわかりやすくなります。
--===============7781793576330041025==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
This is text part of the message
Link1: http://secure-web.cisco.com/1duptzzum1fIIuAgDNq__M_hrANfOQZ4xulDjL8yqeTmpwbHlPo0722VEIVeKfsJWwF00kULmjFQancMMnrp6xEpTmKeEFYnhD0hR1uTwyP2TC-b74OjVOznKsikLcNmdC4pIBtIolsZ7O7Mml0C4HECgyxBRf_bxYMAPQDNVSZ0w3UPNf-m807RwtsPfi_-EyXHQb3pTzMpyFbQ86lVlfDq96VcNM9qiDzG1TgFwej4J_-QM-72i3qCp9eYFDXR1COY4T9bkDVO_oxZh56Z53w/http%3A%2F%2Fmalware.testing.google.test%2Ftesting%2Fmalware%2F and some text
Link2: http://cisco.com and some text
--===============7781793576330041025==
まとめ:
- TEXT/PLAIN部分で実行されるリダイレクトにより、Cisco Web Secureプロキシサービスと一致するURL文字列が書き換えられます
- TEXT/HTML部分で実行されたリダイレクトは、Cisco Web Secureプロキシサービスを使用してHTML A-tag href属性からURLを書き換えますが、一致するその他すべてのURL文字列は変更されません
シナリオD
|
アウトブレイクフィルタの非ウイルス性の脅威検出 |
いいえ |
|
コンテンツフィルタ操作 |
リダイレクト(Redirect) |
|
websecurityadvancedconfig hrefおよびテキストの書き換えが有効です |
Yes |
このシナリオは、パート1のシナリオBに似ています。メッセージのHTML部分で一致するすべてのURL文字列を書き換えることが可能です。これは、websecurityadvancedconfigコマンドを使用して「"Do you want to rewrite both the URL text and the href in the message? ..」の質問に対して「Y」と答えたときに実行されます。
--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
This is an HTML part of the message
Link2: CLICK ME some text
Link3: http://secure-web.cisco.com/1duptzzum1fIIuAgDNq__M_hrANfOQZ4xulDjL8yqeTmpwbHlPo0722VEIVeKfsJWwF00kULmjFQancMMnrp6xEpTmKeEFYnhD0hR1uTwyP2TC-b74OjVOznKsikLcNmdC4pIBtIolsZ7O7Mml0C4HECgyxBRf_bxYMAPQDNVSZ0w3UPNf-m807RwtsPfi_-EyXHQb3pTzMpyFbQ86lVlfDq96VcNM9qiDzG1TgFwej4J_-QM-72i3qCp9eYFDXR1COY4T9bkDVO_oxZh56Z53w/http%3A%2F%2Fmalware.testing.google.test%2Ftesting%2Fmalware%2F and some text
Link4: http://cisco.com and some text
--===============7781793576330041025==--hrefおよびテキストの書き換えが有効になると、コンテンツフィルタ条件に一致するすべてのURL文字列がリダイレクトされます。これで、電子メールクライアントのメッセージにすべてのリダイレクトが表示されます。これをよりよく理解するために、メッセージのtext/html部分を表示するWebメールクライアントの出力を調べます。
MIMEメッセージのテキスト/プレーン部分は、シナリオCと同じです。これは、websecurityadvancedconfigの変更がメッセージのテキスト/プレーン部分に影響を与えないためです。
--===============7781793576330041025==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
This is text part of the message
Link1: http://secure-web.cisco.com/1duptzzum1fIIuAgDNq__M_hrANfOQZ4xulDjL8yqeTmpwbHlPo0722VEIVeKfsJWwF00kULmjFQancMMnrp6xEpTmKeEFYnhD0hR1uTwyP2TC-b74OjVOznKsikLcNmdC4pIBtIolsZ7O7Mml0C4HECgyxBRf_bxYMAPQDNVSZ0w3UPNf-m807RwtsPfi_-EyXHQb3pTzMpyFbQ86lVlfDq96VcNM9qiDzG1TgFwej4J_-QM-72i3qCp9eYFDXR1COY4T9bkDVO_oxZh56Z53w/http%3A%2F%2Fmalware.testing.google.test%2Ftesting%2Fmalware%2F and some text
Link2: http://cisco.com and some text
--===============7781793576330041025==まとめ:
- TEXT/PLAIN部分で実行されるリダイレクトは、Cisco Web Secureプロキシサービスと一致するURL文字列を書き換えます
- TEXT/HTMLパーツで実行されたリダイレクトは、HTMLのA-tag href属性からURLを書き換えます。このURLは、textパーツおよびCisco Web SecureプロキシサービスとHTML本文で一致するその他のURL文字列とともに書き換えられます
パート3:リダイレクトの
このパートでは、非ウイルス脅威検出のOF設定がURLスキャンに影響を与える方法について説明します。
コンフィギュレーション
この目的のために、最初の2つの部分で使用されるコンテンツフィルタは無効になっています。
- デフォルトのAS/AV/AMP設定およびOFが有効なメールポリシー
- ウイルス以外の脅威の検出に対するアウトブレイクフィルタのスキャンは、悪意のある電子メールに含まれるすべてのURLを書き換えるようにURL書き換えセットで設定されます
メッセージがOFによってMaliciousに分類されると、内部のすべてのURLがCisco Web Secureプロキシサービスで書き換えられます。
シナリオE
|
アウトブレイクフィルタの非ウイルス性の脅威検出 |
Yes |
|
コンテンツフィルタ操作 |
いいえ |
|
websecurityadvancedconfig hrefおよびテキストの書き換えが有効です |
いいえ |
このシナリオでは、メッセージの書き換えがOFが有効でwebsecurityadvancedconfig hrefおよびテキストの書き換えが無効の場合にのみ機能する仕組みを示します。
Wed Jul 6 14:09:19 2022 Info: MID 139514 Outbreak Filters: verdict positive
Wed Jul 6 14:09:19 2022 Info: MID 139514 Threat Level=5 Category=Phish Type=Phish
Wed Jul 6 14:09:19 2022 Info: MID 139514 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Wed Jul 6 14:09:19 2022 Info: MID 139514 rewritten URL u'http://cisco.com'
Wed Jul 6 14:09:19 2022 Info: MID 139514 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Wed Jul 6 14:09:19 2022 Info: MID 139514 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Wed Jul 6 14:09:19 2022 Info: MID 139514 rewritten to MID 139515 by url-threat-protection filter 'Threat Protection'
Wed Jul 6 14:09:19 2022 Info: Message finished MID 139514 done
Wed Jul 6 14:09:19 2022 Info: MID 139515 Virus Threat Level=5
Wed Jul 6 14:09:19 2022 Info: MID 139515 quarantined to "Outbreak" (Outbreak rule:Phish: Phish)text/plain MIMEの部分から始めましょう。クイックチェックの結果、テキストまたはプレーン部分の中のすべてのURLがCisco Web Secureプロキシサービスに書き換えられていることがわかります。これは、アウトブレイクの悪意のあるメッセージ内のすべてのURLに対してURL書き換えが有効であるために発生します。
--===============7781793576330041025==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
This is text part of the message
Link1: http://secure-web.cisco.com/11ZWFnZYM5Rp_tvvnco4I3GtnExIEFqpirK=
f5WBmD_7X-8wSvnm0QxYNYhb4aplEtOXp_-0CMTnyw6WX63xZIFnj5S_n0vY18F9GOJWCSoVJpK=
3OEq8lB-jcbjx9BWlZaNbl-t-uTOLj107Z3j8XCAdOwHe1t7GGF8LFt1GNFRCVLEM_wQZyo-uxh=
UfkhZVETXPZAdddg6-uCeoeimiRZUOAzqvgw2axm903AUpieDdfeMHYXpmzeMwu574FRGbbr7uV=
tB65hfy29t2r_VyWA24b6nyaKyJ_hmRf2A4PBWOTe37cRLveONF9cI3P51GxU/http%3A%2F%2F=
malware.testing.google.test%2Ftesting%2Fmalware%2F and some text
Link2: http://secure-web.cisco.com/1o7068d-d0bG3Sqwcifil89X-tY7S4csHT6=
LsLToTUYJqWzfLfODch91yXWfJ8aOxPq1PQBSACgJlDt4hCZipXXmC1XI3-XdNLGBMd0bLfj1cB=
hY_OWlBfLD-zC86M02dm_fOXCqKT0tDET3RD_KAeUWTWhWZvN9i8lLPcwBBBi9TLjMAMnRKPmeg=
En_YQvDnCzTB4qYkG8aUQlFsecXB-V_HU1vL8IRFRP-uGINjhHp9kWCnntJBJEm0MheA1T6mBJJ=
ZhBZmfymfOddXs-xIGiYXn3juN1TvuOlCceo3YeaiVrbOXc0lZs3FO8xvNjOnwVKN181yGKPQ9Y=
cn5aSWvg/http%3A%2F%2Fcisco.com and some text
--===============7781793576330041025==これは、MIMEメッセージの処理されたtext/html部分です。
--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
This is an HTML part of the message
=20
Link1: CLICK ME<=
/a> some text
ここで最初に注意する点は、Link4が書き換えられないことです。記事を注意深く読めば、答えはすでに分かっています。デフォルトでは、MIMEのtext/html部分はA-tag要素のhref属性のみを評価および操作します。text/plain部分と同様の動作が必要な場合は、websecurityadvancedconfig hrefとテキストの書き換えを有効にする必要があります。次のシナリオでは、まさにこれを行います。
まとめ:
- TEXT/PLAIN部分で実行されるOFリダイレクトは、Cisco Web Secureプロキシサービスと一致するすべてのURL文字列を書き換えます。
- OFリダイレクトは、TEXT/HTMLパーツ上で実行され、HTML A-tag href属性からのURLのみをCisco Web Secureプロキシサービスに書き換えます。
シナリオF
アウトブレイクフィルタの非ウイルス性の脅威検出
Yes
コンテンツフィルタ操作
いいえ
websecurityadvancedconfig hrefおよびテキストの書き換えが有効です
Yes
このシナリオでは、WebSecurityadvancedconfig hrefおよびテキストの書き換えを有効にして、OF非ウイルス性脅威検出によって提供されるURL書き換えの動作がどのように変化するかを示すことができます。現時点では、websecurityadvancedconfigはtext/plain MIME部分には影響を与えないことを理解しておく必要があります。text/html部分のみを評価し、動作がどのように変化したかを確認します。
--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
This is an HTML part of the message
=20
Link1: http://secure-web.cisco.com/1dgafaGfZ6Gmc_TKmEH8FIG_-l0TxJMFkg=
1-vbjf0-oZc9G-byKGdhMW_gCESYCPDlQtJfFkI9k069nitsXnL49WLXoXErSWx-YfvWvnBjP18=
D3Vjoi50lAqhm9yJJaK_lg6f38p4NiMal8jdSIMp_1caEdG0LdzeZHHg_B7_XinulBHekVsVFAw=
-IkgA7jEusyfzIDtmJ45YgbI3Dg-WFWhSMgSHpcqkRP6aAjw-aKMEoCO9uLDowOhAKrY5w-nVfc=
EJ-tmvEV94LDIAiRlPYosumpsj5e_4Jvg4B_PDOfCvRynqhkMBGBHLEtVirz-SQjRFRHZKSpzNh=
bN1LU8WGA/http%3A%2F%2Fmalware.testing.google.test%2Ftesting%2Fmalware%2F and some text
Link2: CLICK ME some text
Link3: http://secure-web.cisco.com/1dgafaGfZ6Gmc_TKmEH8FIG_-l0TxJMF=
kg1-vbjf0-oZc9G-byKGdhMW_gCESYCPDlQtJfFkI9k069nitsXnL49WLXoXErSWx-YfvWvnBjP=
18D3Vjoi50lAqhm9yJJaK_lg6f38p4NiMal8jdSIMp_1caEdG0LdzeZHHg_B7_XinulBHekVsVF=
Aw-IkgA7jEusyfzIDtmJ45YgbI3Dg-WFWhSMgSHpcqkRP6aAjw-aKMEoCO9uLDowOhAKrY5w-nV=
fcEJ-tmvEV94LDIAiRlPYosumpsj5e_4Jvg4B_PDOfCvRynqhkMBGBHLEtVirz-SQjRFRHZKSpz=
NhbN1LU8WGA/http%3A%2F%2Fmalware.testing.google.test%2Ftesting%2Fmalware%2F=
and some text
Link4: http://secure-web.cisco.com/1I8PMIMwywH1YpcRmMijuqY9F2WGS37D=
ksLIADF8z6Mw8ke-Qgd4LygPhRy9rI0WRcHVJ2Vtg1wHXhviN9ntrQN8UzWinsycfwfbHeY6rde=
spOlWhj2DWsowiId45mwDsRxopfhRDWv3mKLHr4ZX70z8eW_QI8Vxu__-YtpYXgtl1_mT73FjCs=
5mMHKfIqS52FXyro-MoX9vu9V14wXSHwH4tpXHVR-Jq2yq_FWp3eiOTpkkJ6X1wTaofCKsSbQcb=
RhbFVvua3GZWWFyoQnDmAgvLbj_8KZNz8alFf8Iy_zUWMO7S4pZ2KsT-0qPtllAnUEJEjdvmcgO=
GDmeolL6m-g/http%3A%2F%2Fcisco.com and some text
=20
--===============7781793576330041025==--
この出力はシナリオDの出力と非常によく似ていますが、悪意のあるURLだけでなく、すべてのURLが書き換えられていることが唯一の違いであることがわかります。ここでは、HTML部分で一致するURL文字列と、悪意のない文字列がすべて変更されます。
まとめ:
- TEXT/PLAIN部分で実行されるOFリダイレクトは、Cisco Web Secureプロキシサービスと一致するすべてのURL文字列を書き換えます。
- TEXT/HTML部分で実行されるOFリダイレクトは、要素のテキスト部分およびCisco Web Secureプロキシサービスと一致する他のすべてのURL文字列とともに、HTML A-tag href属性からURLを書き換えます
シナリオG
アウトブレイクフィルタの非ウイルス性の脅威検出
Yes
コンテンツフィルタ操作
無効化
websecurityadvancedconfig hrefおよびテキストの書き換えが有効です
Yes
この最後のシナリオでは、設定を検証します。
- デフォルトのAS/AV/AMP設定およびOFが有効なメールポリシー
- 非ウイルス脅威検出用のOFスキャンは、悪意のある電子メールに含まれるすべてのURLを書き換えるようにURL書き換えセットで設定されます(以前のシナリオと同じ)
- 受信コンテンツフィルタ: URL_SCOREコンテンツフィルタが有効
コンテンツフィルタは、URLレピュテーション条件を使用して、スコアが–6.00 ~ -10.00の悪意のあるURLを照合します。アクションとして、コンテンツフィルタ名が記録され、デフォルトアクションurl-reputation-defangが実行されます。
同じメッセージのコピーが電子メールゲートウェイによって送信され、結果とともに評価されます。
Wed Jul 6 15:13:10 2022 Info: MID 139518 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Condition: URL Reputation Rule
Wed Jul 6 15:13:10 2022 Info: MID 139518 Custom Log Entry: URL_SCORE
Wed Jul 6 15:13:10 2022 Info: MID 139518 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL defanged
Wed Jul 6 15:13:10 2022 Info: MID 139518 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL defanged
Wed Jul 6 15:13:10 2022 Info: MID 139518 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL defanged
Wed Jul 6 15:13:10 2022 Info: MID 139518 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL defanged
Wed Jul 6 15:13:10 2022 Info: MID 139518 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL defanged
Wed Jul 6 15:13:10 2022 Info: MID 139518 rewritten to MID 139519 by url-reputation-defang-action filter 'URL_SCORE'
Wed Jul 6 15:13:10 2022 Info: Message finished MID 139518 done
Wed Jul 6 15:13:10 2022 Info: MID 139519 Outbreak Filters: verdict positive
Wed Jul 6 15:13:10 2022 Info: MID 139519 Threat Level=5 Category=Phish Type=Phish
Wed Jul 6 15:13:10 2022 Info: MID 139519 rewritten URL u'http://cisco.com'
Wed Jul 6 15:13:10 2022 Info: MID 139519 rewritten URL u'http://cisco.com'
Wed Jul 6 15:13:10 2022 Info: MID 139519 rewritten to MID 139520 by url-threat-protection filter 'Threat Protection'
Wed Jul 6 15:13:10 2022 Info: Message finished MID 139519 done
Wed Jul 6 15:13:10 2022 Info: MID 139520 Virus Threat Level=5
電子メールパイプラインは、URL_SCOREフィルタがトリガーされ、URL-reputation-defang-actionが適用されるコンテンツフィルタによって最初にメッセージが評価されることを説明します。このアクションは、text/plainとtext/htmlの両方のMIME部分の悪意のあるURLをすべてデフラグします。websecurityadvanceconfig hrefおよびテキストの書き換えが有効になっているため、すべてのAタグ要素が削除され、URLのテキスト部分がBLOCKED単語間で書き換えられ、すべてのドットが角カッコの間に配置されるときに、HTML本体内で一致するすべてのURL文字列のデファンディングが行われます。A-tag HTML要素に配置されていない他の悪意のあるURLでも同じことが起こります。 次に、アウトブレイクフィルタによってメッセージが処理されます。OFは悪意のあるURLを検出し、メッセージを悪意のあるURLとして特定します(脅威レベル= 5)。 その結果、メッセージ内で見つかった悪意のあるURLと悪意のないURLがすべて書き換えられます。コンテンツフィルタアクションによってこれらのURLはすでに変更されているため、意図的に変更するように設定されているため、OFは悪意のない残りのURLだけを書き換えます。デファインドされた悪意のあるURLの一部およびリダイレクトされた悪意のないURLの一部として、電子メールクライアントに表示されるメッセージ。
--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
This is an HTML part of the message
=20
Link1: BLOCKEDmalware[.]testing[.]google[.]test/testing/malware/BLO=
CKED and some text
Link2: CLICK ME some text
Link3: BLOCKEDmalware[.]testing[.]google[.]test/testing/malware/BLO=
CKED and some text
Link4: http://secure-web.cisco.com/1wog4Tf2WFF2-CDoPczIaDd3YPk8P-6h=
Z-Mxxxr-QXa6Fe3MAxto2tNPOADSWkxmPHYIXbz4Is4_84KYpzs4W9355AgBE_OR7uLK65PXkSo=
wi5F8VGEQy4rxRctp1ZHKMHs8jLl0iiCb-b4v-eXfmJGtiXFM1QxH-lUzQY2we4-7_16ZT769mJ=
WXzo1kIkep4lCK17h2C8OOSplVTztS_j7kwFqgqOeUl_hjVy5AoHt8Wk7Af2N3boaKl7IpH1pw4=
_hmV1KyfPq8YBtXoL5yN4o41RYIU2QX5fuizJBJE3pNVaxRkZVm1e620EsMM9qMK/http%3A%2F=
%2Fcisco.com and some text
=20
--===============7781793576330041025==--
同じことがMIMEメッセージのテキスト/プレーン部分にも適用されます。悪意のないURLはすべてCisco Web Secureプロキシにリダイレクトされ、悪意のあるURLはデフラグされます。
--===============7781793576330041025==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
This is text part of the message
Link1: BLOCKEDmalware[.]testing[.]google[.]test/testing/malware/BLOCKE=
D and some text
Link2: http://secure-web.cisco.com/1wog4Tf2WFF2-CDoPczIaDd3YPk8P-6hZ-M=
xxxr-QXa6Fe3MAxto2tNPOADSWkxmPHYIXbz4Is4_84KYpzs4W9355AgBE_OR7uLK65PXkSowi5=
F8VGEQy4rxRctp1ZHKMHs8jLl0iiCb-b4v-eXfmJGtiXFM1QxH-lUzQY2we4-7_16ZT769mJWXz=
o1kIkep4lCK17h2C8OOSplVTztS_j7kwFqgqOeUl_hjVy5AoHt8Wk7Af2N3boaKl7IpH1pw4_hm=
V1KyfPq8YBtXoL5yN4o41RYIU2QX5fuizJBJE3pNVaxRkZVm1e620EsMM9qMK/http%3A%2F%2F=
cisco.com and some text
--===============7781793576330041025==
まとめ:
- TEXT/PLAIN部分に対して実行されるCF defangは、URLをBLOCKEDブロックに書き換えます
- TEXT/HTML部分に対して実行されるCF defangは、Aタグが削除されたときにHTMLのAタグからURLを書き換えます
- TEXT/HTML部分に対して実行されるCF defangは、BLOCKEDブロックに一致するすべてのURL文字列を書き換えます
- TEXT/PLAIN部分で実行されるOFリダイレクトにより、Cisco Web Secure proxy service(WSA)と一致するすべてのURL文字列が書き換えられます(悪意なし)。
- OF redirect run on the TEXT/HTML part rewrite URL from a HTML A-tag href attribute with the text part of the element and all other URL strings that match with the Cisco Web Secure proxy service (non-malicious)
トラブルシュート
URL書き換えの問題を調査する必要がある場合は、次の点に従ってください。
- mail_logsでURLロギングを有効にします。
OUTBREAKCONFIGコマンドを実行し、「Y」と入力して「Do you wish to enable logging of URL's? [N]>」と答えます。
- 各Eメールゲートウェイクラスタメンバーの下の「
WEBSECURITYADVANCECONFIG」設定を確認し、それに応じて各マシンで「href」と「text」の書き換えオプションが同じように設定されていることを確認します。このコマンドはマシンレベルに固有であり、ここでの変更はグループやクラスタの設定に影響を与えないことに注意してください。
- コンテンツフィルタの条件とアクティビティを確認し、コンテンツフィルタが有効になっていて、正しい受信メールポリシーに適用されていることを確認します。他のコンテンツフィルタが以前に処理されていないかどうかを確認し、最終的なアクションをスキップして他のフィルタを処理できるようにします。
- 送信元の生のコピーと最後のメッセージを調べます。EML形式でメッセージを取得する場合は、MSGなどの独自の形式はメッセージの調査では信頼できません。一部の電子メールクライアントでは、送信元メッセージを表示し、別の電子メールクライアントでメッセージのコピーを取得できます。たとえば、MS Outlook for Macではメッセージのソースを表示できますが、Windowsバージョンではヘッダーのみを表示できます。
要約
この記事の目的は、URLの書き換えに関して使用可能な設定オプションをより深く理解できるようにすることです。現代のメッセージは、MIME標準を持つほとんどの電子メールソフトウェアによって構築されていることを覚えておくことが重要です。つまり、同じメッセージのコピーを電子メールクライアントの機能や有効なモード(テキストとHTMLモード)に応じて異なる方法で表示できます。 デフォルトでは、最近のほとんどの電子メールクライアントはHTMLを使用してメッセージを表示します。HTMLおよびURLの書き換えでは、デフォルトの電子メールゲートウェイによって、A-tag要素のhref属性内に見つかったURLのみが書き換えられることに注意してください。不十分なケースが多いため、WEBSECURITYADVANCECONFIGコマンドを使用してhrefとtextの両方の書き換えを有効にすることを検討する必要があります。 これはマシンレベルのコマンドであり、クラスタ全体の一貫性を保つために、変更を各クラスタメンバーに個別に適用する必要があります。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
12-Sep-2022
|
初版 |
フィードバック