CES ESA에 대한 구성 모범 사례
목차
소개
이 문서에서는 Cisco의 CES(Cloud Email Security)를 사용하여 Cisco ESA(Email Security Appliance)를 구성하는 관리자를 위한 권장 사항에 대한 요약을 제공합니다. Cisco는 모든 CES 고객에게 CES 인스턴스에 SMA(Security Management Appliance)를 제공합니다. 중앙 집중식 관리를 위해 컨피그레이션 및 모범 사례 중 일부는 관리자가 SMA에 있는 격리를 사용하도록 지시합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- ESA 관리, CLI 및 GUI 레벨 관리
- SMA 관리, GUI 레벨 관리
- CES 고객은 다음 지침에 따라 CES 인스턴스에 대한 CLI 액세스를 요청할 수 있습니다.CES 고객 CLI 액세스
사용되는 구성 요소
이 문서의 정보는 CES 고객 및 관리자를 위한 모범 사례 및 권장 사항을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
관련 제품
이 문서는 다음과 같은 하드웨어 및 소프트웨어 버전과 함께 사용할 수도 있습니다.
- 모든 버전의 AsyncOS for Email Security를 실행하는 ESA 온프레미스 하드웨어 및 가상 어플라이언스(비 CES)
- 모든 버전의 AsyncOS for Security Management를 실행하는 SMA 온프레미스 하드웨어 및 가상 어플라이언스(비 CES)
정책 격리
격리는 CES 고객을 위한 SMA에서 구성 및 유지 관리됩니다. SMA에 로그인하고 격리를 보고 필요한 경우 다음 격리를 미리 생성하십시오.
- 계정_인수
- ANTI_SPOOF
- 첨부 파일 차단
- 차단 목록
- DKIM_실패
- DMARC_쿼런틴
- DMARC_거부
- 위조 이메일
- 부적절한 콘텐츠
- 매크로
- 오픈_릴레이
- SDR_데이터
- SPF_HARDFAIL
- SPF_SOFTFAIL
- TG_OUTBOUND_MALWARE
- URL_악성
CES ESA에 대한 구성 모범 사례
기본 구성
RAT(Recipient Access Table)
도메인에 대해 수락된 메시지가 수신자 액세스 테이블에 구성됩니다. 필요에 따라 도메인을 추가 및 관리하려면 메일 정책 > RAT(Recipient Access Table)를 검토하십시오.
SMTP 경로
SMTP 경로 대상이 Office 365 호스트인 경우 "4.7.500 서버가 사용 중인 Office365 CES 제한 새 인스턴스를 참조하십시오.나중에 다시 시도하십시오.
보안 서비스
IronPort 안티스팸(IPAS)
- Always scan 1M 및 Never scan 2M 활성화 및 구성
URL 필터링
- URL 분류 및 평판 필터 사용
- (선택 사항) "bypass_url"이라는 URL 허용 목록을 만들고 구성합니다.
- 웹 상호 작용 추적 사용
그레이메일 탐지
- Always scan 1M 및 Never scan 2M 활성화 및 구성
- 단일 메시지 검사 시간 초과:60초
신종 바이러스 필터
- 적응형 규칙 사용
- 검사할 최대 메시지 크기:2백만
- 웹 상호 작용 추적 사용
Advanced Malware Protection > File Reputation and Analysis
- 파일 평판 사용
- 파일 분석 사용
- 기능을 활성화한 후 추가 파일 유형 검토 및 활성화
메시지 추적
- 거부된 연결 로깅 사용(필요한 경우)
검토하고 고려할 추가 서비스:
LDAP
- LDAP를 사용하는 경우 SSL이 활성화된 LDAP를 사용하는 것이 좋습니다.
SPF
- CES 고객에게는 모든 호스트를 더 쉽게 추가할 수 있도록 할당 호스트 이름별로 모든 CES 호스트에 대해 매크로가 게시됩니다.
- 다음 매크로가 있는 경우 현재 DNS TXT(SPF) 레코드 내에 ~all 또는 -all 앞에 배치합니다.
exists:%{i}.spf.<allocation>.iphmx.com
- 변경 전후에 고객의 도메인에 대한 SPF 레코드를 검증합니다!
- 예제 도구:
- 제안된 SPF 변경 사항을 사전 검증하려면
- https://app.dmarcanalyzer.com/dns/spf
- 'Prevalidate a SPF record update'를 클릭합니다.
- 도메인 입력
- SPF TXT 레코드에 붙여넣고 'Validate SPF'를 클릭합니다.
- https://app.dmarcanalyzer.com/dns/spf
- SPF 레코드의 기본 요소 분석:
[v=spf1]TXT 레코드를 SPF 레코드로 식별합니다.
[있음]레코드가 존재합니까?
[%{i}]연결 IP로 대체되는 매크로 식입니다.
[-all]실패: 레코드의 매개 변수(IPv4, MX 등) 중 하나와 일치하는 메일만 허용합니다.
[~all] SoftFail: 레코드의 매개 변수와 일치하는지 여부에 관계없이 메일을 허용합니다.
기타 SPF 예:
- CES에서 수신하고 다른 메일 서버에서 아웃바운드 메일을 보내는 경우 다음 예제가 좋습니다. "a:" 메커니즘을 사용하여 메일 호스트를 지정할 수 있습니다.
v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all
- CES를 통해 아웃바운드 메일만 보내는 경우 다음을 사용할 수 있습니다.
v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all
- 이 예에서 "ip4:" 또는 "ip6:" 메커니즘은 IP 주소 또는 IP 주소 범위를 지정하는 데 사용됩니다.
v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all
시스템 관리
사용자(시스템 관리 > 사용자)
- 'Local User Account & Passphrase Settings'와 관련된 비밀번호 정책을 검토하고 설정해야 합니다.
- 가능한 경우 인증을 위해 LDAP(Lightweight Directory Access Protocol)를 구성하고 활성화합니다(System Administration(시스템 관리) > LDAP).
로깅(시스템 관리 > 로그 서브스크립션)
- 구성되지 않은 경우 다음을 생성하고 활성화합니다.
- 구성 기록 로그
- URL 필터링 로그 또는 URL 평판 클라이언트 로그
- 전역 설정의 경우 설정을 수정하고 헤더: To, From, Reply-To, Sender
CLI 레벨 변경
웹 보안 URL 필터링
- ESA Enabling URL Filtering and Best Practice를 읽어 주십시오.
- CLI만 해당, websecurityadvancedconfig 명령을 실행하고 다음을 구성하십시오.
> websecurityadvancedconfig
Enter URL lookup timeout (includes any DNS lookup time) in seconds:
[5]>
Enter the URL cache size (no. of URLs):
[810000]>
Do you want to disable DNS lookups? [N]>
Enter the maximum number of URLs that can be scanned in a message body:
[100]> 400
Enter the maximum number of URLs that can be scanned in the attachments in a message:
[25]> 400
Enter the Web security service hostname:
[v2.sds.cisco.com]>
Enter the threshold value for outstanding requests:
[50]> 5
Do you want to verify server certificate? [Y]>
Do you want to enable URL filtering for shortened URLs? [Y]>
Enter the default time-to-live value (seconds):
[30]> 600
Do you want to rewrite both the URL text and the href in the message? Y indicates that the full rewritten URL will appear in the email body. N indicates that the rewritten URL will only be visible in the href for HTML messages. [N]>
Do you want to include additional headers? [N]>
Enter the default debug log level for RPC server:
[Info]>
Enter the default debug log level for URL cache:
[Info]>
Enter the default debug log level for HTTP client:
[Info]>
> websecurityadvancedconfig
Enter URL lookup timeout in seconds:
[15]>
Enter the maximum number of URLs that can be scanned in a message body:
[100]> 400
Enter the maximum number of URLs that can be scanned in the attachments in a message:
[25]> 400
Do you want to rewrite both the URL text and the href in the message? Y indicates that the full rewritten URL will appear in the email body. N indicates that the rewritten URL will only be visible in the href for HTML messages. [N]>
Do you want to include additional headers? [N]>
URL 로깅
- ESA Enabling URL Filtering and Best Practice를 읽어 주십시오.
- CLI에만 해당됩니다. 아직 활성화되지 않은 경우 outbreakconfig 명령을 실행하고 다음 섹션을 표시된 대로 구성하십시오.
Logging of URLs is currently disabled.
Do you wish to enable logging of URL's? [N]> y
Logging of URLs has been enabled.
스푸핑 방지 필터
- Anti-Spoofing 모범 사례 가이드를 읽어 주십시오.
헤더 스탬핑 필터
- CLI에만 해당됩니다. 다음 메시지 필터를 쓰고 활성화하십시오.
addHeaders: if (sendergroup != "RELAYLIST")
{
insert-header("X-IronPort-RemoteIP", "$RemoteIP");
insert-header("X-IronPort-MID", "$MID");
insert-header("X-IronPort-Reputation", "$Reputation");
insert-header("X-IronPort-Listener", "$RecvListener");
insert-header("X-IronPort-SenderGroup", "$Group");
insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}
호스트 액세스 테이블
추가 발신자 그룹
- ESA 사용 설명서: 메시지 처리를 위한 발신자 그룹 생성
- BYPASS_SBRS - 평판을 건너뛴 소스에 대해 높은 위치에 배치합니다.
- MY_TRUSTED_SPOOF_HOSTS - 스푸핑 필터의 일부
- TLS_REQUIRED - TLS 강제 연결
미리 정의된 SUSPECTLIST 발신자 그룹에서
- ESA 사용 설명서:발신자 확인:호스트
- "SBRS Scores on None" 활성화
- (선택 사항) enable "Connecting host PTR record lookup fails due due to temporary DNS failure(연결 호스트 PTR 레코드 조회가 일시적인 DNS 오류로 인해 실패)"
적극적인 HAT 샘플
- BLOCKLIST_REFUSE [-10.0 ~ -9.0] 정책:차단_거부
- BLOCKLIST_REJECT [-9.0 ~ -2.0] 정책:차단_거부
- SUSPECTLIST [-2.0~0.0 및 SBRS 점수 "없음"] 정책:제한됨
- ACCEPTLIST [0.0 ~ 10.0] 정책:수락됨
HAT 예:
메일 플로우 정책(기본 정책 매개변수)
기본 정책 매개변수
보안 설정
- TLS(Transport Layer Security)를 기본 설정으로 설정
- Enable Sender Policy Framework(SPF)
- DKIM(DomainKeys Identified Mail) 사용
- DMARC(Domain-based Message Authentication, Reporting and Conformance) 확인 및 집계 피드백 보고서 보내기
수신 메일 정책
기본 정책은 다음과 같이 구성해야 합니다.
안티스팸
- Enabled(활성화됨), 임계값은 기본 임계값에 남아 있습니다. (점수를 수정하면 오탐이 증가할 수 있습니다.)
안티바이러스
- 메시지 검사:
- 바이러스만 검사
- "X-header 포함"에 대한 확인 상자가 활성화되었습니다.
- 검사할 수 없는 메시지, 바이러스 감염 메시지: "Archive Original Message(원본 메시지 보관)"를 No(아니요)로 설정합니다.
AMP
- 메시지 오류에 대해 검사할 수 없는 작업:고급 및 고객 헤더를 메시지에 추가:"X-TG-MSGERROR", 값:"참"
- 속도 제한에 대한 검사 불가 조치:고급 및 고객 헤더를 메시지에 추가:"X-TG-RATELIMIT", 가치:"참"
- 파일 분석 보류 중인 메시지:메시지에 적용된 작업을 "격리"로 사용
그레이메일
- 각 판정, 제목 앞에 추가 및 전달에 대해 스캐닝이 활성화됨
- 대량 메일에 대한 작업의 경우 고급 및 사용자 지정 헤더 "X-BulkMail" 추가, 값 = "True"
콘텐츠 필터
- URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, EXECUTIVE_SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_LIMIT 활성화 및 사용
신종 바이러스 필터
- 기본 위협 레벨은 3입니다. 보안 요구 사항에 따라 조정하십시오.
- 메시지의 위협 수준이 이 임계값과 같거나 이를 초과하면 메시지가 Outbreak 격리로 전송됩니다.(1=최저 위협, 5=최고 위협)
- 메시지 수정 사용
- "모든 메시지에 대해 활성화"에 대한 URL 재작성 집합
- 제목 변경 앞에 오는 내용: [$threat_category 사기 가능성]
ALLOW_SPOOF 메일 정책
ALLOW_SPOOF 메일 정책은 모든 기본 서비스가 활성화된 상태로 구성되며, URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, SDR 또는 선택한 구성 콘텐츠 필터에 대해 활성화된 콘텐츠 필터가 있습니다.
ALLOWLIST 메일 정책
ALLOWLIST 메일 정책은 안티스팸 및 그레이메일 비활성화로 구성되며, URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPOF, EXECUTIVE SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_LIMIT 또는 선택한 콘텐츠 필터에 대해 콘텐츠 필터가 사용하도록 설정됩니다.
차단 목록 메일 정책
BLOCKLIST 메일 정책은 Advanced Malware Protection을 제외한 모든 서비스가 비활성화된 상태로 구성되며, QUARANTINE 작업이 포함된 콘텐츠 필터에 연결됩니다.
발송 메일 정책
기본 정책은 다음과 같이 구성해야 합니다.
안티스팸
- 사용 안 함
안티바이러스
- 메시지 검사:
- 바이러스만 검사
- "X-header 포함" 확인란 선택 취소
- 모든 메시지의 경우:Advanced(고급) > Other Notification(기타 알림), "Others(기타)"를 활성화하고 admin/SOC 연락처 이메일 주소를 포함합니다.
AMP
- 파일 평판만 사용
- 속도 제한에 대한 검사 불가 조치:고급 및 고객 헤더를 메시지에 추가:"X-TG-RATELIMIT", 가치:"참"
- 악성코드 첨부 파일이 있는 메시지:고급 및 고객 헤더를 메시지에 추가:"X-TG-OUTBOUND", 값:"악성코드가 탐지됨"
그레이메일
- 사용 안 함
콘텐츠 필터
- TG_OUTBOUND_MALICIOUS, Strip_Secret_Header, EXTERNAL_SENDER_REMOVE, ACCOUNT_TAKEOVER 또는 선택한 구성 콘텐츠 필터 사용
신종 바이러스 필터
- 사용 안 함
DLP
- DLP 라이센싱 및 DLP 컨피그레이션에 따라 활성화합니다. (이 문서에서는 다루지 않습니다.)
기타 설정
사전(메일 정책 > 사전)
- 욕설 및 Several_Content 사전 활성화 및 검토
- 위조 이메일 탐지를 위한 Executive_FED 사전 생성, 모든 임원 이름 포함
- 정책, 환경, 보안 제어에 필요한 제한 또는 기타 키워드에 대한 추가 사전/사전 생성
대상 제어(메일 정책 > 대상 제어)
- 기본 도메인의 경우 Preferred(기본 설정)로 설정하여 TLS를 활성화합니다.
- 웹 메일 도메인에 대한 대상을 추가하고 더 낮은 임계값을 설정할 수 있습니다
- 자세한 내용은 Rate Limit Your Own Outbound Mail with Destination Control Settings 가이드를 참조하십시오.
콘텐츠 필터
다음 콘텐츠 필터는 Incoming Mail Policies and Outgoing Mail Policies(수신 메일 정책 및 발신 메일 정책) 섹션에서 제안되었습니다. 이 가이드의 지침을 따랐으면 검토하고 추가하십시오.
수신 콘텐츠 필터
URL_QUARANTINE_MALICIOUS
조건:URL 평판, url-reputation(-10.00, -6.00, "bypass_url", 1, 1)
작업:격리: quarantine("URL_MALICIOUS")
URL_REWRITE_SUSPICIOUS
조건:URL 평판; url-reputation(-5.90, -5.60, "bypass_urls", 0, 1)
작업:URL 평판, url-reputation-proxy-redirect(-5.90, -5.60,"",",0)
URL_부적절한
조건:URL 범주; url-category(['성인', '아동 학대 콘텐츠', '익스트림', '혐오 스피치', '불법 활동', '불법 다운로드', '불법 약물', '포르노그라피', '필터 회피'], "bypass_url", 1, 1)
작업:쿼런틴; duplicate-quarantine("INAPPROPRIATE_CONTENT")
DKIM_실패
조건:DKIM 인증; dkim-authentication == "hardfail"
작업:쿼런틴, duplicate-quarantine("DKIM_FAIL")
SPF_HARDFAIL
조건:SPF 확인; spf-status == "fail"
작업:쿼런틴; duplicate-quarantine("SPF_HARDFAIL")
경영진_스푸프
조건:위조 이메일 탐지, 위조 이메일 탐지("Executive_FED", 90, "")
조건:기타 헤더; 헤더("X-IronPort-SenderGroup") != "(?i)allowspoof"
* 적용 규칙 설정:모든 조건이 일치하는 경우에만
작업:헤더 추가/편집; edit-header-text("Subject", "(.*)", "[EXTERNAL]\\1")
작업:격리; duplicate-quarantine("FORGED_EMAIL")
도메인_스푸프
조건:기타 헤더;header("X-Spoof")
작업:쿼런틴; duplicate-quarantine("ANTI_SPOOF")
SDR
조건:도메인 평판; sdr-reputation(['끔찍한'], "")
조건:도메인 평판, sdr-age("일", <, 5, "")
* 적용 규칙 설정:하나 이상의 조건이 일치하는 경우
작업:쿼런틴; duplicate-quarantine("SDR_DATA")
TG_RATE_LIMIT
조건:기타 헤더; 헤더("X-TG-RATELIMIT")
작업:로그 항목 추가; log-entry("X-TG-RATELIMIT:$filenames")
차단 목록_격리
조건:(없음)
작업:쿼런틴; quarantine("BLOCKLIST")
발송 컨텐트 필터
TG_아웃바운드_악성
조건:기타 헤더; 헤더("X-TG-OUTBOUND") == "MALWARE"
작업:격리; 격리("TG_OUTBOUND_MALWARE")
Strip_Secret_Header
조건:기타 헤더; 헤더("PLACEHOLDER") == "PLACEHOLDER"
작업:Strip 헤더; strip-header("X-IronPort-Tenant")
EXTERNAL_SENDER_REMOVE
조건:(없음)
작업:헤더 추가/수정; edit-header-text("Subject", "\\[EXTERNAL\]\\s?", "")
계정_인수
조건:기타 헤더; 헤더("X-AMP-Result") == "(?i)malicious"
조건:URL 평판, url-reputation(-10.00, -6.00, "", 1, 1)
*적용 규칙 설정:하나 이상의 조건이 일치하는 경우
작업:알림;알림("myit@mycompany.com", "가능한 계정 인수", "", "ACCOUNT_TAKEOVER_WARNING")
작업:duplicate-quarantine("ACCOUNT_TAKEOVER")
CES 고객의 경우 사전 로드된 모범 사례 컨피그레이션에 포함된 콘텐츠 필터의 예가 있습니다. 구성에 도움이 될 수 있는 조건 및 작업에 대한 자세한 내용은 "SAMPLE_" 필터를 검토하십시오.
Cisco Live
Cisco Live는 전 세계적으로 많은 세션을 호스팅하며 Cisco Email Security 모범 사례를 다루는 대면 세션 및 기술 개요를 제공합니다. 이전 세션 및 액세스 권한은 ciscolive.com을 참조하십시오.
-
Cisco Email Security:모범 사례 및 미세 조정 - BRKSEC-2131
- DMARCe-메일 경계 생성 - BRKSEC-2131
- 이메일 수정!- Cisco Email Security 고급 문제 해결 - BRKSEC-3265
- Cisco Email Security용 API 통합 - DEVNET-2326
- Cisco의 Cloud Email Security로 SaaS 사서함 서비스 보안 - BRKSEC-1025
- 이메일 보안:모범 사례 및 미세 조정 - TECSEC-2345
- 250 OK - Cisco Email Security로 방어 - TECSEC-2345
- Cisco Domain Protection 및 Cisco Advanced Phishing Protection:이메일 보안의 차세대 레이어를 최대한 활용하십시오!- BRKSEC-1243
- SPF는 "Spoof"의 약어가 아닙니다!이제 이메일 보안의 다음 계층을 최대한 활용하십시오!- DGTL-BRKSEC-2327
피드백