はじめに
このドキュメントでは、Gmailの電子メールへのファイルの添付を防止する方法について説明します。
前提条件
要件
シスコは次のことを推奨します。
- HTTPS プロキシがイネーブルにされている
- データ セキュリティ フィルタがイネーブルにされている
使用するコンポーネント
このドキュメントの情報は、Cisco Webセキュリティアプライアンス(WSA)、AsyncOSバージョン7.1.x以降に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
手順
Gmail が HTTP と HTTPS の両方をサポートしている
これは、GmailのユーザインターフェイスでSettings > General > Browser Connectionの順に選択し、ユーザごとに制御します。
GmailがHTTPSを使用するように設定されている場合、Gmailのアップロードを制御するには、WSAで復号化ポリシーを使用する必要があります。
まず、セットアップを簡素化するために、GmailでHTTP接続をテストする必要があります。例として、次の手順では、ユーザによるPDFファイルのアップロードをブロックする方法を示します。
- Gmailアカウントにサインインし、[設定] > [全般] > [ブラウザ接続] に移動します。
- このオプションをDon't always use httpsに設定します。
- 保存したら、サインアウトして再度サインインします。アドレスバーにhttp://と表示されます。
- Web Security Manager > Data Securityの順に選択します。
- それぞれのData Security Policyに対して、Contentをクリックします。
- PDFをブロックするので、Block File Typesの下にあるDocument Typesをクリックします。
- Portable Document Format (PDF) チェックボックスをクリックします。
- 完了したら、変更を送信して確定します。
トラブルシューティングを行うには、データセキュリティログを有効にしますSystem Administration > Log Subscriptionの順に選択します。
ログは次のようになります。
# アクセス ログ
1268180609.847 1206 10.7.4.227 TCP_DENIED/403 2088 POST http://mail.google.com/mail/?ui=2&ik=f2587fbf50&view=up&attid=f_g6lfwhxt3
- NONE/- - BLOCK_ADMIN_IDS-DefaultGroup-test.id-DefaultGroup-NONE-NONE <IW_mail,0.7,0,-,-,-,-,-,-,-,-,-,-,1,-,IW_mail,-> -
# データ セキュリティ ログ
Wed Mar 10 11:23:37 2010 Warning: 119 10.7.4.227 - - <<WSA_6.0.2_GA_Release_Notes.pdf,application/pdf,403283>>
BLOCK_ADMIN_IDS-DefaultGroup-test.id-DefaultGroup-NONE-NONE 0.7 mail.google.com IW_mail
両方のログでBLOCK_ADMIN_IDSに注目してください。データセキュリティログには、アップロードされたファイルがapplication/pdfであったことが示されます。
注:Gmailのユーザインターフェイスに、アップロードが失敗したことを示すエラーが表示されます。
次に、Settings > General > Browser Connectionの順に選択し、GmailがHTTPSを使用するように設定し、この値をAlways use httpsに設定します。変更を保存し、サインオフして、再度サインインします。
次の設定手順を使用して、HTTPSアクセスのアップロードを制御できます。
- Web Security Manager > Decryption Policiesの順に選択し、それぞれの復号化ポリシーについてURL Categoriesをクリックします。
- URLカテゴリ「Web-based Email」をDecryptに設定します。
- GmailにPDFファイルをアップロードしようとすると、これらのログが表示されるはずです。
# アクセス ログ
1268181243.208 628 10.7.4.227 TCP_CLIENT_REFRESH_MISS_SSL/200 64 CONNECT tunnel://mail.google.com:443/ - DIRECT/mail.google.com
- DECRYPT_WEBCAT-DefaultGroup-test.id-NONE-NONE-DefaultRouting <IW_mail,0.7,-,-,-,-,-,-,-,-,-,-,-,-,-,IW_mail,-> - 272
1268181246.378 2976 10.7.4.227 TCP_DENIED_SSL/403 2082 POST https://mail.google.com:443/mail/?ui=2&ik=f2587fbf50&view=up&&attid=f_g6lga1j70
- NONE/- - BLOCK_ADMIN_IDS-DefaultGroup-test.id-DefaultGroup-NONE-NONE <IW_mail,0.7,0,-,-,-,-,-,-,-,-,-,-,1,-,IW_mail,-> - 273
# データ セキュリティ ログ
Wed Mar 10 11:34:14 2010 Warning: 273 10.7.4.227 - - <<WSA_6.0.2_GA_Release_Notes.pdf,application/pdf,403283>>
BLOCK_ADMIN_IDS-DefaultGroup-test.id-DefaultGroup-NONE-NONE 0.7 mail.google.com IW_mail
このHTTPSトランザクションに対してBLOCK_ADMIN_IDSが表示されることに注意してください。
注:Gmailのユーザインターフェイスに、アップロードが失敗したことを示すエラーが表示されます。
追加メモ:
- 次の手順は、特定のファイルタイプがGmailにアップロードされるのをブロックする方法を示しています。
- ほとんどのWebサイトで同様の手順を実行できます。
- WSAでの正確な手順は、現在の設定方法によって異なる場合があります。
フィードバック