본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 Cisco Secure Email Cloud Gateway에 제공되는 Gold Configuration에 대한 심층 분석을 설명합니다. Cisco Secure Email 클라우드 고객을 위한 Gold Configuration은 Cloud Gateway 및 Cisco Secure Email and Web Manager 모두에 대한 모범 사례 및 제로 데이 컨피그레이션입니다. Cisco Secure Email Cloud 구축에서는 클라우드 게이트웨이와 하나 이상의 Email and Web Manager를 모두 사용합니다. 컨피그레이션 및 모범 사례의 일부는 중앙 집중식 관리를 위해 관리자에게 Email and Web Manager에 있는 격리를 사용하도록 지시합니다.
Cisco에서는 다음 항목에 대해 알고 있는 것이 좋습니다.
이 문서의 정보는 Cisco Secure Email Cloud 고객 및 관리자를 위한 Gold 컨피그레이션 및 모범 사례 권장 사항에 나와 있습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
이 문서는 다음 항목에도 적용됩니다.
Cisco Secure Email Cloud 고객을 위해 Email and Web Manager에서 격리를 구성하고 유지 관리합니다. 이메일 및 웹 관리자에 로그인하여 격리를 확인하십시오.
경고: 프로덕션 환경에서 컨피그레이션 변경 사항을 커밋하기 전에 이 문서에 제공된 모범 사례를 기반으로 한 컨피그레이션 변경 사항을 검토하고 이해해야 합니다. 구성을 변경하기 전에 Cisco CX 엔지니어, DSM(Designated Service Manager) 또는 어카운트 팀에 문의하십시오.
메일 정책 > 수신인 테이블(RAT)
Recipient Access Table(수신자 액세스 테이블)은 퍼블릭 리스너에서 수락할 수신자를 정의합니다. 적어도 표에는 주소와 해당 주소를 승인 또는 거부할지 여부가 지정됩니다. 필요에 따라 도메인을 추가하고 관리하려면 RAT를 검토하십시오.
Network(네트워크) > SMTP Routes(SMTP 경로)
SMTP 경로 대상이 Microsoft 365인 경우 "4.7.500 Server 사용 중"으로 Office365 Throttling CES New Instance를 참조하십시오. "나중에 다시 시도하십시오".
나열된 서비스는 제공된 값을 가진 모든 Cisco Secure Email Cloud 고객에게 구성됩니다.
IronPort 안티스팸(IPAS)
URL 필터링
그레이메일 탐지
신종 바이러스 필터
Advanced Malware Protection > 파일 평판 및 분석
메시지 추적
사용자(시스템 관리 > 사용자)
로그 서브스크립션(System Administration(시스템 관리) > Log Subscriptions(로그 서브스크립션))
검토하고 고려할 추가 서비스:
시스템 관리 > LDAP
URL 방어
SPF
exists:%{i}.spf.<allocation>.iphmx.com
참고: SPF 레코드가 ~all 또는 -all로 끝나야 합니다. 변경 전후에 도메인의 SPF 레코드를 확인합니다.
추가 SPF 예
v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all
v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all
v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all
스푸핑 방지 필터
헤더 필터 추가
addHeaders: if (sendergroup != "RELAYLIST")
{
insert-header("X-IronPort-RemoteIP", "$RemoteIP");
insert-header("X-IronPort-MID", "$MID");
insert-header("X-IronPort-Reputation", "$Reputation");
insert-header("X-IronPort-Listener", "$RecvListener");
insert-header("X-IronPort-SenderGroup", "$Group");
insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}
HAT 개요 > 추가 발신자 그룹
미리 정의된 SUSPECTLIST 발신자 그룹에서
적극적인 HAT 샘플
참고: HAT 예에서는 추가로 구성된 MFP(Mail Flow Policy)를 보여줍니다. MFP에 대한 자세한 내용은 배포한 Cisco Secure Email Gateway용 AsyncOS의 해당 버전에 대한 사용 설명서의 "이메일 파이프라인 이해 > 수신/수신"을 참조하십시오.
HAT 예:
기본 정책 매개변수
보안 설정
참고: DMARC를 구성하려면 추가 튜닝이 필요합니다. DMARC에 대한 자세한 내용은 배포한 Cisco Secure Email Gateway용 AsyncOS의 해당 버전에 대한 사용 설명서의 "이메일 인증 > DMARC 확인"을 참조하십시오.
기본 정책은 다음과 유사하게 구성됩니다.
안티스팸
안티바이러스
AMP
그레이메일
콘텐츠 필터
신종 바이러스 필터
정책 이름(표시)
BLOCKLIST 메일 정책은 Advanced Malware Protection을 제외한 모든 서비스를 비활성화하고 QUARANTINE 작업을 사용하여 콘텐츠 필터에 대한 링크로 구성되어 있습니다.
ALLOWLIST 메일 정책에는 URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, EXECUTIVE SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_LIMIT 또는 선택한 컨피그레이션의 콘텐츠 필터에 대해 Antispam, Graymail Disabled 및 Content Filters가 활성화되어 있습니다.
ALLOW_SPOOF 메일 정책에는 URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, SDR 또는 선택한 컨피그레이션의 콘텐츠 필터에 대해 활성화된 콘텐츠 필터와 함께 모든 기본 서비스가 활성화되어 있습니다.
기본 정책은 다음과 유사하게 구성됩니다.
안티스팸
안티바이러스
지능형 악성코드 차단
그레이메일
콘텐츠 필터
신종 바이러스 필터
DLP
참고: 콘텐츠 필터에 대한 자세한 내용은 배포한 Cisco Secure Email Gateway용 AsyncOS의 해당 버전에 대한 사용 설명서의 "콘텐츠 필터"를 참조하십시오.
URL_QUARANTINE_MALICIOUS
조건: URL Reputation; url-reputation(-10.00, -6.00, "bypass_urls", 1, 1)
작업: 격리: quarantine("URL_MALICIOUS")
URL_REWRITE_SUSPICIOUS
조건: URL Reputation; url-reputation(-5.90, -5.60, "bypass_urls", 0, 1)
작업: URL 평판; url-reputation-proxy-redirect(-5.90, -5.60,"",0)
URL_부적절
조건: URL 범주; url-category (['Adult', '아동 학대 콘텐츠', 'Extreme', 'Hate Speech', '불법 행위', '불법 다운로드', '불법 약물', '음란물', '필터 회피'], 'bypass_urls', 1, 1)
작업: 격리; 중복 격리("INAPPROPRIATE_CONTENT")
DKIM_실패
조건: DKIM 인증; dkim-authentication == hardfail
작업: 격리; 중복 격리("DKIM_FAIL")
SPF_하드웨어 실패
조건: SPF 확인, spf-status == 실패
작업: 격리; 중복 격리("SPF_HARDFAIL")
이그제큐티브_스푸핑
조건: 위조 이메일 탐지; 위조 이메일 탐지("Executive_FED", 90, "")
조건: 기타 헤더; 헤더("X-IronPort-SenderGroup") != "(?i)allowspoof"
* 적용 규칙 설정: 모든 조건이 일치하는 경우에만
작업: 헤더 추가/편집; edit-header-text("Subject", "(.*)", "[EXTERNAL]\\1")
작업: 쿼런틴; duplicate-quarantine("FORGED_EMAIL")
도메인_스푸핑
조건: 기타 헤더; header("X-Spoof")
작업: 쿼런틴; duplicate-quarantine("ANTI_SPOOF")
SDR
조건: 도메인 평판; sdr-평판(['지독한'], "")
조건: 도메인 평판, sdr 기간("days", <, 5, "")
* 적용 규칙 설정: 하나 이상의 조건이 일치하는 경우
작업: 격리; 중복 격리("SDR_DATA")
TG_RATE_LIMIT
조건: 기타 헤더; 헤더("X-TG-RATELIMIT")
작업: 로그 항목 추가; log-entry("X-TG-RATELIMIT: $filenames")
차단 목록_격리
조건: (None)
작업: 쿼런틴; 쿼런틴("BLOCKLIST")
TG_OUTBOUND_MALICIOUS
조건: 기타 헤더; 헤더("X-TG-OUTBOUND") == 악성코드
작업: 격리; 격리("TG_OUTBOUND_MALWARE")
Strip_Secret_Header
조건: 기타 헤더; 헤더("PLACEHOLDER") == PLACEHOLDER
작업: Strip 헤더; strip-header("X-IronPort-Tenant")
외부_발신자_제거
조건: (None)
작업: 헤더 추가/편집; 헤더 텍스트 편집("제목", "\\[EXTERNAL\\]\\s?", "")
계정 인수
조건: 기타 헤더; 헤더("X-AMP-Result") ==(?i)악성
조건: URL 평판; url-평판(-10.00, -6.00 , "", 1, 1)
*적용 규칙 설정: 하나 이상의 조건이 일치하는 경우
작업: 알림;알림("<Insert admin or distro email address>", "POSSIBLE ACCOUNT TAKEOVER", "", "ACCOUNT_TAKEOVER_WARNING")
작업: duplicate-quarantine("ACCOUNT_TAKEOVER")
Cisco Secure Email Cloud 고객의 경우 Gold 컨피그레이션 및 모범 사례 권장 사항에 콘텐츠 필터 예가 포함되어 있습니다. 또한, 컨피그레이션에서 유용할 수 있는 관련 조건 및 작업에 대한 자세한 내용은 "SAMPLE_" 필터를 검토하십시오.
Cisco Live는 전 세계적으로 많은 세션을 호스팅하며, Cisco Secure Email 모범 사례를 다루는 대면 세션 및 기술 개요를 제공합니다. 이전 세션 및 접속 권한을 보려면 Cisco Live를 방문하십시오(CCO 로그인 필요).
Cisco Email Security: 모범 사례 및 미세 조정 - BRKSEC-2131
개정 | 게시 날짜 | 의견 |
---|---|---|
3.0 |
31-Jul-2022 |
최신 Gold 구성 값 업데이트, 게시 기준 충족 재작성, 링크 및 참조 업데이트 |
1.0 |
15-May-2017 |
최초 릴리스 |