Best Practice Guide voor anti-spam, anti-virus, grijsmail en uitbraakfilters
Inhoud
Overzicht
De overgrote meerderheid van bedreigingen, aanvallen, en overlast waar een organisatie door e-mail mee wordt geconfronteerd komt in de vorm van spam, malware, en gemengde aanvallen. Cisco’s e-mail security applicatie (ESA) bevat verschillende technologieën en functies om deze bedreigingen bij de gateway uit te schakelen voordat ze de organisatie binnenkomen. In dit document worden de best practice-benaderingen beschreven voor het configureren van Anti-Spam-, Anti-Virus-, Graymail- en Uitbraakfilters op zowel de inkomende als uitgaande e-mailstroom.
anti-spam
De anti-Spam bescherming richt een volledige waaier van bekende bedreigingen met inbegrip van spam, phishing en zombieaanvallen, evenals moeilijk-aan-ontdek lage volume, kortstondige e-mailbedreigingen zoals "419"zwendel. Bovendien identificeert Anti-Spam bescherming nieuwe en evoluerende gemengde bedreigingen zoals spamaanvallen die kwaadwillige inhoud door een download URL of uitvoerbaar verdelen.
Cisco Email Security biedt de volgende antispamoplossingen:
- IronPort-antispamfiltering (IPAS)
- Cisco Intelligent Multi-Scan Filtering (IMS)
U kunt beide oplossingen in licentie geven en inschakelen op uw ESA, maar u kunt er slechts één gebruiken in een bepaald mailbeleid. Ten behoeve van dit document met beste praktijken zullen we gebruik maken van de IMS-functie.
Controleer de functietoets
- Ga op de ESA naar System Administration > Feature Keys
- Zoek naar de Intelligent Multi-Scan licentie en zorg ervoor dat deze actief is.
Intelligent Multi-Scan (IMS) wereldwijd mogelijk maken
- On het ESA, bevaren in Beveiliging Services> IMS en Graymail
- Klik op de knop het Inschakelenknop op IMS Global Settings:
- Op zoek naar gemeenschappelijke wereldwijde instellingen en klik op Algemene instellingen bewerken
- Hier u blik configureren veelvoud instellingen. Het aanbevolen instellingen zijn getoond in het beeld hieronder:
- Klik op Submit (Verzenden)en Je wijzigingen.
Indien u geen IMS-licentieabonnement hebt:
- Navigeren naar Security Services > IronPort Anti-Spam
- Klik op de knop het InschakelenKnop op IronPort Anti-Spam Overzicht
- Klik op Globale instellingen bewerken
- Hier u blik configureren veelvoud instellingen. Het aanbevolen instellingen zijn getoond in het beeld hieronder:
- Cisco raadt aan een agressief scanprofiel te selecteren voor een klant die sterk de nadruk wenst te leggen op het blokkeren van spam.
- Klik op Submit (Verzenden)en Je wijzigingen
Gecentraliseerde spamquarantaine inschakelen
Aangezien Anti-Spam de optie heeft om naar quarantaine te worden verzonden, is het belangrijk om ervoor te zorgen dat de spamquarantaine wordt opgezet:
- Navigeren naar security services > spamquarantaine
- Klik op de knop ing het Configurerenknoop wil nemen u in het dwazenverschuldigd pagina.
- Hier u blik inschakelen het quarantaine door controleren het inschakelendoos en punt dee quarantaine in worden gecentraliseerd on Een beveiligingBeheer AApplicatie (SMA) doorvulling in de SMANaamen IP adres. Het aanbevolen instellingen zijn getoond hieronder:
- Klik op Submit (Verzenden)en Je wijzigingen
Anti-Spam configureren in beleid
- Navigeren naar mailbeleid > Inkomende mailbeleid
- Het beleid voor inkomende e-mail maakt standaard gebruik van IronPort Anti-Spam-instellingen.
- Als u op de blauwe link onder Anti-Spam klikt, kunt u voor dat specifieke beleid aangepaste anti-Spam-instellingen gebruiken.
- Hieronder ziet u een voorbeeld dat het Standaardbeleid toont met behulp van aangepaste anti-spam instellingen:
Pas de instellingen voor anti-spam aan voor een inkomend mailbeleid door op de blauwe link onder Anti-spam te klikken voor het beleid dat u wilt aanpassen.
Hier u blik uitkiezen het anti-Spam Scannen optie u wensen in inschakelen voor dit beleid.
- Voor het doeleinden van dit best uitstekenijs document, klik op de knop het radio knoop volgende in Gebruik IronPort intelligente multi-modeScannen:
De volgende twee secties bevatten instellingen voor positief geïdentificeerde spam en verdachte spam-instellingen:
- De aanbevolen beste praktijk is het configureren van quarantaine-actie op positief geïdentificeerde spam-instelling met de voorgeprogrammeerde tekst [SPAM] toegevoegd aan het onderwerp en;
- Kan van toepassing zijn op Delivery als de actie voor verdachte spaminstellingen met de voorgeprogrammeerde tekst [SUSPECTED SPAM] toegevoegd aan het onderwerp:
- De instelling Spam Threshold kan worden gewijzigd en de aanbevolen instellingen zijn om de score Positive-Identified Spam aan te passen aan 90 en de score Suspected Spam aan 43:
- Klik op Submit (Verzenden)en Je wijzigingen
antivirus
De antivirusbescherming wordt geleverd door twee motoren van derden - Sophos en McAfee. Deze motoren filteren alle bekende kwaadaardige bedreigingen, het laten vallen, het schoonmaken of het quarantaine van hen zoals gevormd.
Controleer de functietoetsen
Zo controleert u of beide functietoetsen zijn ingeschakeld en actief zijn:
- Ga naar Systeembeheer > Functietoetsen
- Controleer of de licenties voor Sophos Anti-Virus en McAfee actief zijn.
Anti-Virus scannen inschakelen
- navigeren in Beveiliging Services> Antivirus - Sophos
- Klik op de knop het Inschakelenknop.
- Zorg ervoor dat Automatische update is ingeschakeld en dat de Sophos Anti-Virus bestanden update werkt prima. Indien nodig klikt u op Nu bijwerken om de bestandsupdate direct te starten:
- Klik op Submit (Verzenden)en Je wijzigingen.
Als ook de McAfee-licentie actief is, navigeer dan in Beveiliging Services> Antivirus - McAfee
- Klik op de knop het Inschakelenknop.
- Zorg ervoor dat Automatische update is ingeschakeld en dat de McAfee Anti-Virus bestanden update werkt prima. Indien nodig klikt u op Nu bijwerken om de bestandsupdate direct te starten.
- Klik op Submit (Verzenden)en Je wijzigingen
Antivirus configureren in postbeleid
Voor een Inkomende Mail Policy, wordt het volgende aanbevolen:
- Navigeren naar mailbeleid > Inkomende mailbeleid
- Pas Anti-Virus instellingen voor een Inkomend Mail Beleid aan door op de blauwe link onder Anti-Virus te klikken voor het beleid dat u wilt aanpassen.
- Hier u blik uitkiezen het anti-virus Scannen optie u wensen in inschakelen voor dit beleid.
- Voor het doeleinden van dezeTest phandelenijs Selecteer zowel McAfee als Sophos Anti-Virus in het document:
- We proberen niet om een bestand te repareren, dus het scannen van het bericht blijft alleen scannen op virussen:
- De aanbevolen actie voor zowel versleutelde als niet-scanbare berichten is As-is te leveren met een aangepaste onderwerpregel voor hun aandacht.
- Het aanbevolen beleid voor Antivirus is Drop all Virus-Infected Berichten zoals weergegeven in de afbeelding hieronder:
- Klik op Submit (Verzenden)en Je wijzigingen
Een soortgelijk beleid wordt aanbevolen voor Uitgaand e-mailbeleid, maar we raden niet aan om de onderwerpregel op uitgaande e-mail te wijzigen.
Graymail
De grijsmailbeheeroplossing in het e-mail security apparaat bestaat uit twee componenten: een geïntegreerde grijsmail scanning engine en een cloud-gebaseerde Unsubscribe Service. De oplossing voor het beheer van de grijsmail stelt organisaties in staat om grijsmail te identificeren met behulp van de geïntegreerde grijsmail-engine en passende beleidscontroles toe te passen en biedt een eenvoudig mechanisme voor eindgebruikers om zich af te melden voor ongewenste berichten met de Unsubscribe-service.
Graymail categorieën omvatten marketing e-mail, sociale netwerk e-mail en bulk e-mail. Geavanceerde opties omvatten het toevoegen van een aangepaste header, het verzenden naar een alternatieve host en het archiveren van het bericht. Voor deze best practice zullen we de functie Safe Unsubscribe van Graymail inschakelen voor het standaard mailbeleid.
Controleer de functietoets
- Ga op de ESA naar System Administration > Feature Keys
- Zoek naar Graymail Safe Unsubscript en zorg ervoor dat het actief is.
Services voor e-mail inschakelen en Veilig afmelden
- On het ESA, bevaren in Beveiliging Services> IMS en Graymail
- Klik op de knop het Grijsmail-instellingen bewerkenknop op Algemene instellingen Graymail
- Selecteer alle opties - Schakel de optie Grijsmail-detectie in, Schakel de optie Veilig afmelden in en schakel automatische updates in:
- Klik op Submit (Verzenden)en Je wijzigingen
Graymail configureren en veilig afmelden in beleid
- Navigeren naar mailbeleid > Inkomende mailbeleid
- Als u op de blauwe link onder Graymail klikt, kunt u voor dat specifieke beleid aangepaste Graymail-instellingen gebruiken.
- Hier u blik uitkiezen de Graymailopties u wensen in inschakelen voor dit beleid.
- Voor het doeleinden van dit beste scorehandelenijs document, klik op de knop het radio knoop volgende U kunt als volgt Graymail Detectie voor dit beleid inschakelen en Graymail Unsubscribing voor dit beleid inschakelen:
De volgende drie secties zijn Actie op marketing e-mail instellingen, Actie op sociale netwerk e-mail instellingen en Actie op bulk e-mail instellingen.
- De aanbevolen best practice is om ze allemaal mogelijk te maken en de actie te blijven als Deliver met voorgeprogrammeerde tekst toegevoegd aan het onderwerp met betrekking tot de onderstaande categorieën:
- Klik op Submit (Verzenden)en Je wijzigingen
Uitgaande Mail Policy moet Graymail in Uitgeschakeld conditie hebben.
Uitbraakfilters
Uitbraakfilters combineren triggers in de Anti-Spam engine, URL scan- en detectietechnologieën en meer om correct items te labelen die buiten de echte spam categorie vallen - bijvoorbeeld phishing e-mails en oplichting e-mails en behandelt ze op de juiste manier met meldingen van gebruikers of quarantaine.
Controleer de functietoets
- Ga op de ESA naar System Administration > Feature Keys
- Zoek naar Uitbraakfilters en zorg ervoor dat het actief is.
Uitbraakfilterservice inschakelen
- On het ESA, bevaren in Beveiliging Services> Uitbraakfilters
- Klik op de knop het Inschakelenknop op Uitbraakfilters - Overzicht
- Hier u blik configureren veelvoud instellingen. Het aanbevolen instellingen zijn getoond in het beeld hieronder:
- Klik op Submit (Verzenden)en Je wijzigingen.
Uitbraakfilters in beleid configureren
- Navigeren naar mailbeleid > Inkomende mailbeleid
- Als u op de blauwe link onder Uitbraakfilters klikt, kunt u dat specifieke beleid gebruiken om aangepaste Uitbraakfilters te gebruiken.
- Voor het doeleinden van dit best uitstekenijs Als document houden we de standaardinstellingen voor de filter voor uitbraken:
- Uitbraakfilters kunnen URL's herschrijven als ze kwaadaardig, verdacht of phish worden bevonden. Selecteer Berichtwijziging inschakelen om op URL gebaseerde bedreigingen te detecteren en te herschrijven.
- Zorg ervoor dat de optie URL-herschrijven Inschakelen is voor alle berichten zoals hieronder wordt getoond:
- Klik op Submit (Verzenden)en Je wijzigingen
Uitgaande Mail Policy moet Uitbraakfilters in Uitgeschakelde toestand houden.
Conclusie
Dit document is bedoeld om de standaardinstellingen of best practice-configuraties voor Anti-Spam, Anti-Virus, Graymail en Uitbarstingsfilters in de E-mail security applicatie (ESA) te beschrijven. Al deze filters zijn beschikbaar op zowel het inkomende als het uitgaande e-mailbeleid, en configuratie en filtering worden aanbevolen op beide - terwijl het grootste deel van de bescherming voor inkomende is, biedt filtering van de uitgaande stroom bescherming tegen gereleasede e-mails of interne kwaadaardige aanvallen.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
09-Jan-2020
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)