Configurar Beta ESA para Aceitar o Tráfego de Produção ESA

Introdução

Este documento descreve como configurar um Cisco Email Security Appliance (ESA) Beta para aceitar o tráfego de produção do ESA através de um filtro de mensagens.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar Aplicativo Beta

Configuração de ouvinte para Beta ESA

A configuração inicial do Ouvinte deve ser concluída no ESA Beta.

1. Na GUI, navegue até Network > Listeners.
2. Clique em Adicionar ouvinte...
3. Nomeie e configure um ouvinte público que seja executado na porta TCP 25.
4. Clique em Submit para salvar as alterações no Ouvinte Público.
5. Repita as mesmas etapas e adicione um segundo ouvinte.
6. Nomeie e configure um Ouvinte Particular que seja executado na porta TCP 26. (Esse ouvinte é usado para correio de saída.) Você pode usar a porta 25 se houver uma interface adicional disponível e configurada para seu ambiente. O ambiente CES Hosted Beta reservou a porta 587 para saída.
7. Submeta para salvar alterações no Listener.
8. Comprometa-se a salvar todas as alterações na configuração.

Grupo de Remetentes para Beta ESA

Para mensagens de tráfego retransmitido ou de saída, adicione os endereços IP apropriados para o ESA Beta para aceitar e retransmitir mensagens do ESA de produção.

1. Na GUI, navegue para Políticas de e-mail > Visão geral do HAT.
2. Selecione o grupo de remetente de retransmissão adequadamente nomeado. (Geralmente é chamado de RELAY ou RELAYLIST.)
3. Clique em Adicionar remetente...
4. Para o remetente, use o endereço IP do ESA de produção.
5. Insira todos os comentários administrativos, conforme necessário.
6. Submeta para salvar as alterações no grupo de remetente de retransmissão.
7. Comprometa-se a salvar todas as alterações na configuração.

Rotas SMTP para ESA Beta

As alterações de rota SMTP que precisam ser feitas no ESA Beta são as seguintes:

1. Na GUI, navegue até Network > SMTP Routes.
2. Se houver rotas SMTP atuais, talvez seja necessário selecioná-las e Excluir antes de continuar. (Certifique-se de revisar o Guia de configuração do laboratório Beta.)
3. Clique em Adicionar rota...
4. Defina o domínio de recebimento como cisco.com e o destino como USEDNS.
5. Clique em Submit.
6. Repita as mesmas etapas e adicione uma segunda rota SMTP.
7. Defina o domínio de recebimento para ironport.com e o destino como USEDNS.
8. Clique em Submit.
9. Por fim, selecione Todos os outros domínios em Domínio de recebimento.
10. Defina o destino como /dev/null. (Isso evita o roteamento de e-mail do aplicativo Beta para qualquer domínio não configurado.)
11. Clique em Submit.
12. Comprometa-se a salvar todas as alterações na configuração.

Neste momento, as rotas SMTP no dispositivo Beta são as mostradas na imagem:

Observação: adicione as rotas apropriadas para entregar e-mails para testar os usuários finais quanto a domínios, conforme necessário.

Relé de entrada para ESA Beta

A configuração de relé de entrada permite que o beta recupere a pontuação SBRS além da do ESA de produção.

A maioria das configurações funcionará com um salto.

1. GUI, navegue até Network Incoming Relay.
2. Clique em "Habilitar", tornando-o branco.
3. Clique em Adicionar relé.
4. "Nome" escolha um nome.
5. Valor do "endereço IP" do ESA de produção entregue ao ESA Beta. O nome de host parcial é aceitável se vários hosts estiverem fornecendo.
6. "Salto:" 1
7. Enviar e confirmar alterações

Relé de Entrada: Estado Desabilitado.

Relé de Entrada: Estado Habilitado, branco colorido.

Relé de Entrada: Modelo de Exemplo

Relé de Entrada: Visualização resumida após o envio.

Exemplo de entrada de log de e-mail:

Seg Abr 8 12:48:28 2019 Informações: MID 2422822 IncomingRelay(PROD_hc2881-52): Cabeçalho recebido encontrado, IP 54.240.35.22 sendo usado, país SBRS 3.5 Estados Unidos

Ativar cabeçalhos de log para capturar o veredito de spam nos logs de e-mail

• Webui > Administração do sistema > Inscrições de log > Configurações globais (inferior) > Cabeçalhos >(adicionar)   Resultado de antisspam X-IronPort

Registrar cabeçalhos de spam em logs de e-mail

FIM DA CONFIGURAÇÃO BETA.

Configurar equipamento de produção

Cuidado: Você está prestes a fazer alterações em um ESA de Produção. Certifique-se de fazer backup da configuração atual.

1. Na GUI, navegue para Administração do sistema > Arquivo de configuração.
2. Na seção Configuração Atual, selecione uma das opções para fazer backup da configuração atual como um arquivo: 
   • Faça o download do arquivo para o computador local para exibir ou salvar.
   • Enviar arquivo por e-mail para: <your_email_address@domain.com>
3. Clique em Submit.

Rotas SMTP para ESA de produção

As rotas SMTP devem ser adicionadas para permitir BCC para todos os emails de entrada e saída do ESA de produção para o ESA beta. Para este exemplo, inbound.beta.com e outbound.beta.com são usados.

1. Na GUI, navegue até Network > SMTP Routes.
2. Clique em Adicionar rota...
3. Defina Domínio de recebimento como inbound.beta.com com Destino como o endereço IP do Ouvinte público do aplicativo Beta criado anteriormente, com a porta definida como 25.
4. Clique em Submit para salvar as alterações feitas nesta nova rota SMTP.
5. Repita as mesmas etapas, Adicionar rota...
6. Defina o domínio de recebimento como outbound.beta.com, hosts de destino como o endereço IP do ouvinte privado do equipamento Beta criado anteriormente e a porta como 26.
7. Envie para salvar as alterações feitas nesta nova rota SMTP.
8. Comprometa-se a salvar todas as alterações na configuração.

Neste momento, as rotas SMTP no ESA de produção como mostrado na imagem:

Criação de perfil de devolução

Uma combinação de Perfil de devolução e Perfil de controle de destino protegerá o fluxo de e-mail de produção de complicações associadas a atrasos ou falhas na entrega de mensagens aos Hosts Beta. Esta configuração só se aplicará às mensagens beta.

1. Na GUI, navegue para Rede > Perfis de devolução > Adicionar perfil de devolução.
2. Número máximo de tentativas: 15
3. Tempo máximo na fila: 130
4. Tempo inicial de espera por Mensagem: 60
5. Tempo máximo de espera por Mensagem: 60
6. Enviar mensagens de devolução hard: NÃO
7. Enviar mensagens de aviso de atraso: NÃO
8. Usar assinatura de chave de domínio para mensagens de devolução e atraso: NÃO
9. Submeta para salvar as alterações neste novo perfil de devolução.
10. Comprometa-se a salvar todas as alterações na configuração. 

Criação de perfil de devolução

Observação: os valores numerados acima são configurados de forma muito agressiva para impedir Backups de Fila de Entrega no caso de uma interrupção de entrega para os Hosts Beta. Os valores podem ser modificados para preferência. As configurações de notificação são definidas intencionalmente como NÃO para impedir que qualquer notificação de usuário seja entregue a partir dos Filtros de cópia oculta. 

Criação de perfil de controles de destino

1. Na GUI, navegue para Políticas de e-mail > Controles de destino > Adicionar destino.
2. Destino: inbound.beta.com
3. Verificação de devolução: > Executar marcação de endereço: NÃO > ou Padrão (NÃO)
4. Perfil de devolução: BETA_BOUNCE
5. Os outros valores podem ser configurados com base na preferência do administrador.
6. Submeta para salvar as alterações neste novo Perfil de Controle de Destino.
7. Repita as etapas de 2 a 6 usando o Destino: outbound.beta.com
8. Submeta para salvar as alterações neste novo Perfil de Controle de Destino.
9. Comprometa-se a salvar todas as alterações na configuração.

Adicionar perfis de controle de destino.Visualização resumida dos novos perfis de controle de destino.

Construção do filtro de mensagens para ESA de produção

Na CLI do ESA de produção, construa um filtro de mensagens que possa fazer cópia oculta de e-mails para o ouvinte apropriado no ESA beta.

1. Navegue até Filtros > NOVO.
2. Copie e cole este exemplo de filtro de mensagem e faça as alterações onde for apropriado:

   bcc-EFT: if sendergroup == "RELAY" {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "outbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
    } else {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "inbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
   }
   .

3. Retorne até voltar ao prompt principal da CLI.
4. Comprometa-se a salvar todas as alterações na configuração.

Observação: limite o tráfego copiado no filtro de mensagens com base em sendergroup, recv-listener, mail-from ou outras regras e sintaxe disponíveis. Consulte o Guia do usuário do ESA para obter o Resumo completo das regras de filtro de mensagens e das regras de filtro.

Criação de perfil de devolução

Criação de perfil de controles de destino

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

No momento, o dispositivo Beta aceita tráfego de e-mail do equipamento de produção. Para verificar a partir do CLI no aplicativo Beta, execute tail mail_logs:

Wed Mar 23 17:28:43 2016 Info: New SMTP ICID 2 interface Management (172.18.250.222) address 172.18.250.224 reverse dns host dhcp-172-18-250-224.cisco.com verified yes
Wed Mar 23 17:28:43 2016 Info: ICID 2 RELAY SG RELAY match 172.18.250.1/24 SBRS not enabled
Wed Mar 23 17:28:43 2016 Info: Start MID 2 ICID 2
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 From: <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 RID 0 To: <robsherw@ironport.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 Message-ID '<a033ed$2@9.9.5-038.local>'
Wed Mar 23 17:28:43 2016 Info: MID 2 Subject 'TEST 2'
Wed Mar 23 17:28:43 2016 Info: MID 2 ready 320 bytes from <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 matched all recipients for per-recipient policy DEFAULT in the outbound table
Wed Mar 23 17:28:43 2016 Info: MID 2 queued for delivery
Wed Mar 23 17:28:43 2016 Info: New SMTP DCID 3 interface 172.18.250.222 address 173.37.93.161 port 25
Wed Mar 23 17:28:43 2016 Info: Delivery start DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: Message done DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: MID 2 RID [0] Response '2.0.0 u2NHSipG018673 Message accepted for delivery'
Wed Mar 23 17:28:44 2016 Info: Message finished MID 2 done
Wed Mar 23 17:28:48 2016 Info: ICID 2 close
Wed Mar 23 17:28:49 2016 Info: DCID 3 close

A comunicação SMTP é estabelecida em 172.18.250.222 (dispositivo Beta). O endereço do qual o tráfego é enviado é 172.18.250.224 (dispositivo de produção).

O grupo de remetente que recebe a comunicação é RELAY, tráfego retransmitido da rede 172.18.250.1/24.

O restante é a comunicação da mensagem TEST 2.

No equipamento de produção, verifique e execute o tail mail_logs.  O MID processado na Produção mostraria:

Wed Mar 23 14:50:10 2016 Info: MID 242 was generated based on MID 241 by bcc filter 'bcc-EFT'

Isso seria uma divisão clara da mensagem de e-mail como recebida e copiada em cópia oculta para o dispositivo Beta e teste o usuário final como planejado para recebimento.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações adicionais

Um filtro de conteúdo pode ser considerado para ajudar a diferenciar o tráfego de e-mail de produção do Beta para usuários finais de teste.

1. Na GUI do ESA Beta, navegue para Políticas de e-mail > Filtros de conteúdo de entrada ou Políticas de e-mail > Filtros de conteúdo de saída.
2. Crie um filtro de conteúdo básico para executar uma ação de Adicionar/Editar Cabeçalho.
3. Clique em Enviar para salvar as alterações no filtro de conteúdo construído.
4. Políticas de e-mail > Políticas de recebimento de e-mail ou Políticas de e-mail > Políticas de envio de e-mail, habilite e adicione o novo filtro de conteúdo ao nome da Política.
5. Clique em Enviar para salvar o filtro de conteúdo para essa política.
6. Clique em Commit para salvar todas as alterações na configuração.

Neste momento, o filtro de conteúdo no Beta ESA é como mostrado nas imagens:

Agora, quando uma mensagem de e-mail é recebida no ESA Beta, você pode ver isso na linha de assunto do e-mail depois de processado, como mostrado na imagem:

Informações Relacionadas

• Como configurar um ESA/SMA para a preparação de atualizações

• Suporte Técnico e Documentação - Cisco Systems