Testando a Reescrita de URL do Filtro de Epidemia

Opções de download

  • PDF     (287.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (246.8 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (271.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:19 de novembro de 2020
ID do documento:213465

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como testar a opção de Modificação de Mensagens de Filtros de Epidemia (OF) para Reescrita de URL. 

Informações de Apoio

Se o nível de ameaça de mensagem exceder o limite de modificação de mensagem, o recurso Filtros de Epidemia regravará todos os URLs na mensagem para redirecionar o usuário para a página inicial do proxy de segurança da Web da Cisco se clicar em qualquer um deles.  O AsyncOS regrava todas as URLs dentro de uma mensagem, exceto aquelas que apontam para domínios ignorados.

As seguintes opções estão disponíveis para reescrita de URL:

  • Habilitar somente para mensagens não assinadas. Esta opção permite que o AsyncOS reescreva URLs em mensagens não assinadas que cumpram ou excedam o limite de modificação de mensagem, mas não em mensagens assinadas. A Cisco recomenda o uso dessa configuração para reescrever URLs.

    Note: O Email Security Appliance pode regravar URLs em uma mensagem assinada por DomainKeys/DKIM e invalidar a assinatura da mensagem se um servidor ou dispositivo em sua rede diferente do Email Security Appliance for responsável por verificar a assinatura DomainKeys/DKIM. O dispositivo considera uma mensagem assinada se estiver criptografada usando S/MIME ou se contiver uma assinatura S/MIME.

     

  • O Email Security Appliance pode regravar URLs em uma mensagem assinada por DomainKeys/DKIM e invalidar a assinatura da mensagem se um servidor ou dispositivo em sua rede diferente do Email Security Appliance for responsável por verificar a assinatura DomainKeys/DKIM.

    O dispositivo considera uma mensagem assinada se estiver criptografada usando S/MIME ou se contiver uma assinatura S/MIME.

  • Habilitar para todas as mensagens. Essa opção permite que o AsyncOS reescreva URLs em todas as mensagens que atendem ou excedem o limite de modificação de mensagens, incluindo as assinadas. Se AsyncOS modificar uma mensagem assinada, a assinatura se tornará inválida.
  • Desabilitado. Esta opção desativa a reescrita de URL para Filtros de Detecção.

Você pode modificar uma política para excluir URLs de determinados domínios da modificação. Para ignorar domínios, insira o endereço IPv4, o endereço IPv6, o intervalo de CIDR, o nome do host, o nome do host parcial ou o domínio no campo Ignorar verificação de domínio. Separe várias entradas usando vírgulas.

O recurso Ignorar verificação de domínio é semelhante, mas independente, à lista de permissão global usada pela filtragem de URL. Para obter mais informações sobre essa lista de permissão, consulte "Criando listas brancas para filtragem de URL" no Guia do usuário do ESA.

Testando a Reescrita de URL do Filtro de Epidemia

Há duas opções para testar o OF no ESA. 

Teste da parte um

Inclua um URL mal-intencionado no corpo do e-mail.  URL de teste seguro que pode ser usada:

http://malware.testing.google.test/testing/malware/

Quando enviado, o exemplo de logs de e-mail deve conter semelhante ao seguinte:

Tue Jul  3 09:31:38 2018 Info: MID 185843 Outbreak Filters: verdict positive
Tue Jul  3 09:31:38 2018 Info: MID 185843 Threat Level=5 Category=Malware Type=Malware
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten to MID 185844 by url-threat-protection filter 'Threat Protection'
Tue Jul  3 09:31:38 2018 Info: Message finished MID 185843 done
Tue Jul  3 09:31:38 2018 Info: MID 185844 Virus Threat Level=5
Tue Jul  3 09:31:38 2018 Warning: MID 185844 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul  3 09:31:38 2018 Info: MID 185844 rewritten to MID 185845 by add-heading filter 'Heading Stamping'
Tue Jul  3 09:31:38 2018 Info: Message finished MID 185844 done
Tue Jul  3 09:31:38 2018 Info: Message finished MID 185846 done
Tue Jul  3 09:31:38 2018 Info: MID 185845 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Malware: Malware)
Tue Jul  3 09:31:38 2018 Info: MID 185845 queued for delivery

Observe que os logs de e-mail nos mostram "URL reescrito", indicando que OF reescreveu este URL através do proxy de segurança da Web da Cisco.  Além disso, lembre-se de que a mensagem pode estar na Quarentena de epidemia, como mostrado aqui em nosso exemplo.

O resultado final terá o corpo do e-mail fornecido mostrando o seguinte:

Quando o usuário final receber o e-mail, clicar no URL reescrito, ele será redirecionado para o proxy de segurança da Web da Cisco e verá:

Note: "Impossível gerar visualização do site" será exibido com base no HTML/codificação do URL ou site original.  Um site com CSS, painéis HTML ou renderização complexa não poderá gerar uma visualização do site.

Ensaio da segunda parte

A segunda opção é incluir dados com no corpo do e-mail ou anexo para ter o disparo OF. 

Há duas opções para o sucesso:

  1. Crie um arquivo (o arquivo de texto simples fará) com o nome "hello.voftest" entre o tamanho de 25000 e 30000 bytes e anexe esse arquivo ao seu email de teste. Isso ativará as regras de anexo de vírus.
  2. Coloque o seguinte texto de teste GTUBE ("Teste genérico para e-mail em massa não solicitado") de 72 bytes no corpo de um e-mail:
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTPHISH-STANDARD-ANTI-PHISH-TEST-EMAIL*C.34X

Isso acionará o OF e as regras de phishing.  O exemplo de logs de e-mail deve conter o seguinte:

Tue Jul  3 09:44:12 2018 Info: MID 185880 Outbreak Filters: verdict positive
Tue Jul  3 09:44:12 2018 Info: MID 185880 Threat Level=5 Category=Phish Type=Phish
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten to MID 185881 by url-threat-protection filter 'Threat Protection'
Tue Jul  3 09:44:12 2018 Info: Message finished MID 185880 done
Tue Jul  3 09:44:12 2018 Info: MID 185881 Virus Threat Level=5
Tue Jul  3 09:44:12 2018 Warning: MID 185881 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul  3 09:44:12 2018 Info: MID 185881 rewritten to MID 185882 by add-heading filter 'Heading Stamping'
Tue Jul  3 09:44:12 2018 Info: Message finished MID 185881 done
Tue Jul  3 09:44:13 2018 Info: MID 185882 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Phish: Phish)
Tue Jul  3 09:44:13 2018 Info: MID 185882 queued for delivery

Observe que os logs de e-mail nos mostram "URL reescrito", indicando que OF reescreveu este URL através do proxy de segurança da Web da Cisco.  Além disso, lembre-se de que a mensagem pode estar na Quarentena de epidemia, como mostrado aqui em nosso exemplo.

O resultado final terá o corpo do e-mail fornecido mostrando o seguinte:

 Quando o usuário final receber o e-mail, clicar no URL reescrito, ele será redirecionado para o proxy de segurança da Web da Cisco e verá:

Note: "Impossível gerar visualização do site" será exibido com base no HTML/codificação do URL ou site original.  Um site com CSS, painéis HTML ou renderização complexa não poderá gerar uma visualização do site.

Informações Relacionadas

Uso: x-advertisement = surto
TAC Authored

Colaborado por engenheiros da Cisco

  • Robert Sherwin
    Cisco Email Security TME

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos