Introduction
Este documento descreve como testar a opção de Modificação de Mensagens de Filtros de Epidemia (OF) para Reescrita de URL.
Informações de Apoio
Se o nível de ameaça de mensagem exceder o limite de modificação de mensagem, o recurso Filtros de Epidemia regravará todos os URLs na mensagem para redirecionar o usuário para a página inicial do proxy de segurança da Web da Cisco se clicar em qualquer um deles. O AsyncOS regrava todas as URLs dentro de uma mensagem, exceto aquelas que apontam para domínios ignorados.
As seguintes opções estão disponíveis para reescrita de URL:
- Habilitar somente para mensagens não assinadas. Esta opção permite que o AsyncOS reescreva URLs em mensagens não assinadas que cumpram ou excedam o limite de modificação de mensagem, mas não em mensagens assinadas. A Cisco recomenda o uso dessa configuração para reescrever URLs.
Note: O Email Security Appliance pode regravar URLs em uma mensagem assinada por DomainKeys/DKIM e invalidar a assinatura da mensagem se um servidor ou dispositivo em sua rede diferente do Email Security Appliance for responsável por verificar a assinatura DomainKeys/DKIM. O dispositivo considera uma mensagem assinada se estiver criptografada usando S/MIME ou se contiver uma assinatura S/MIME.
-
O Email Security Appliance pode regravar URLs em uma mensagem assinada por DomainKeys/DKIM e invalidar a assinatura da mensagem se um servidor ou dispositivo em sua rede diferente do Email Security Appliance for responsável por verificar a assinatura DomainKeys/DKIM.
O dispositivo considera uma mensagem assinada se estiver criptografada usando S/MIME ou se contiver uma assinatura S/MIME.
- Habilitar para todas as mensagens. Essa opção permite que o AsyncOS reescreva URLs em todas as mensagens que atendem ou excedem o limite de modificação de mensagens, incluindo as assinadas. Se AsyncOS modificar uma mensagem assinada, a assinatura se tornará inválida.
- Desabilitado. Esta opção desativa a reescrita de URL para Filtros de Detecção.
Você pode modificar uma política para excluir URLs de determinados domínios da modificação. Para ignorar domínios, insira o endereço IPv4, o endereço IPv6, o intervalo de CIDR, o nome do host, o nome do host parcial ou o domínio no campo Ignorar verificação de domínio. Separe várias entradas usando vírgulas.
O recurso Ignorar verificação de domínio é semelhante, mas independente, à lista de permissão global usada pela filtragem de URL. Para obter mais informações sobre essa lista de permissão, consulte "Criando listas brancas para filtragem de URL" no Guia do usuário do ESA.
Testando a Reescrita de URL do Filtro de Epidemia
Há duas opções para testar o OF no ESA.
Teste da parte um
Inclua um URL mal-intencionado no corpo do e-mail. URL de teste seguro que pode ser usada:
http://malware.testing.google.test/testing/malware/
Quando enviado, o exemplo de logs de e-mail deve conter semelhante ao seguinte:
Tue Jul 3 09:31:38 2018 Info: MID 185843 Outbreak Filters: verdict positive
Tue Jul 3 09:31:38 2018 Info: MID 185843 Threat Level=5 Category=Malware Type=Malware
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten to MID 185844 by url-threat-protection filter 'Threat Protection'
Tue Jul 3 09:31:38 2018 Info: Message finished MID 185843 done
Tue Jul 3 09:31:38 2018 Info: MID 185844 Virus Threat Level=5
Tue Jul 3 09:31:38 2018 Warning: MID 185844 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul 3 09:31:38 2018 Info: MID 185844 rewritten to MID 185845 by add-heading filter 'Heading Stamping'
Tue Jul 3 09:31:38 2018 Info: Message finished MID 185844 done
Tue Jul 3 09:31:38 2018 Info: Message finished MID 185846 done
Tue Jul 3 09:31:38 2018 Info: MID 185845 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Malware: Malware)
Tue Jul 3 09:31:38 2018 Info: MID 185845 queued for delivery
Observe que os logs de e-mail nos mostram "URL reescrito", indicando que OF reescreveu este URL através do proxy de segurança da Web da Cisco. Além disso, lembre-se de que a mensagem pode estar na Quarentena de epidemia, como mostrado aqui em nosso exemplo.
O resultado final terá o corpo do e-mail fornecido mostrando o seguinte:
Quando o usuário final receber o e-mail, clicar no URL reescrito, ele será redirecionado para o proxy de segurança da Web da Cisco e verá:
Note: "Impossível gerar visualização do site" será exibido com base no HTML/codificação do URL ou site original. Um site com CSS, painéis HTML ou renderização complexa não poderá gerar uma visualização do site.
Ensaio da segunda parte
A segunda opção é incluir dados com no corpo do e-mail ou anexo para ter o disparo OF.
Há duas opções para o sucesso:
- Crie um arquivo (o arquivo de texto simples fará) com o nome "hello.voftest" entre o tamanho de 25000 e 30000 bytes e anexe esse arquivo ao seu email de teste. Isso ativará as regras de anexo de vírus.
- Coloque o seguinte texto de teste GTUBE ("Teste genérico para e-mail em massa não solicitado") de 72 bytes no corpo de um e-mail:
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTPHISH-STANDARD-ANTI-PHISH-TEST-EMAIL*C.34X
Isso acionará o OF e as regras de phishing. O exemplo de logs de e-mail deve conter o seguinte:
Tue Jul 3 09:44:12 2018 Info: MID 185880 Outbreak Filters: verdict positive
Tue Jul 3 09:44:12 2018 Info: MID 185880 Threat Level=5 Category=Phish Type=Phish
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten to MID 185881 by url-threat-protection filter 'Threat Protection'
Tue Jul 3 09:44:12 2018 Info: Message finished MID 185880 done
Tue Jul 3 09:44:12 2018 Info: MID 185881 Virus Threat Level=5
Tue Jul 3 09:44:12 2018 Warning: MID 185881 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul 3 09:44:12 2018 Info: MID 185881 rewritten to MID 185882 by add-heading filter 'Heading Stamping'
Tue Jul 3 09:44:12 2018 Info: Message finished MID 185881 done
Tue Jul 3 09:44:13 2018 Info: MID 185882 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Phish: Phish)
Tue Jul 3 09:44:13 2018 Info: MID 185882 queued for delivery
Observe que os logs de e-mail nos mostram "URL reescrito", indicando que OF reescreveu este URL através do proxy de segurança da Web da Cisco. Além disso, lembre-se de que a mensagem pode estar na Quarentena de epidemia, como mostrado aqui em nosso exemplo.
O resultado final terá o corpo do e-mail fornecido mostrando o seguinte:
Quando o usuário final receber o e-mail, clicar no URL reescrito, ele será redirecionado para o proxy de segurança da Web da Cisco e verá:
Note: "Impossível gerar visualização do site" será exibido com base no HTML/codificação do URL ou site original. Um site com CSS, painéis HTML ou renderização complexa não poderá gerar uma visualização do site.
Informações Relacionadas
Uso: x-advertisement = surto |