简介
本文描述如何控制电子邮件伪装在Cisco电子邮件安全工具(ESA)上和如何创建用户的例外允许发送被伪装的电子邮件。
您的ESA应该处理两个流入和流出的邮件,并且应该使用RELAYLIST标准配置标记消息如流出。
使用的组件
本文档中的信息根据与所有AsyncOS版本的ESA。本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
使用的特定组件包括:
- 词典:用于存储所有您的内部域。
- 消息过滤器:用于处理发现被伪装的电子邮件和插入内容过滤器能操作的头逻辑。
- 策略检疫:用于临时地存储被伪装的电子邮件duplicartes。添加发布的消息的IP地址Consider到MY_TRUSTED_SPOOF_HOSTS防止将来消息此发送器从输入策略检疫。
- MY_TRUSTED_SPOOF_HOSTS :列表供参考您的委托的发送的IP地址。添加发送器的IP地址到此列表将跳过检疫并且允许发送器伪装。我们在您的MY_TRUSTED_SPOOF_HOSTS发送器组安置委托的发送器,以便从这些发送器的被伪装的消息没有被检疫。
- RELAYLIST :为允许传递的验证的IP地址列出,或者发送outbound电子邮件。如果电子邮件通过此发送器组被传送假定是消息不是一个被伪装的消息。
Note:如果发送器组跟MY_TRUSTED_SPOOF_HOSTS或RELAYLIST称事不同,您将必须修改有对应的发送器组名的过滤器。并且,如果有广泛监听程序,您可以也有超过一个MY_TRUSTED_SPOOF_HOSTS。
背景信息
默认情况下伪装在Cisco ESA被启用。有数,允许的其他域理由传送您的代表。 一个普通的示例, ESA管理员可能希望到控制被伪装的电子邮件通过检疫被伪装的消息,在提供前他们。
要采取特定行动例如在被伪装的电子邮件的检疫,您必须首先发现被伪装的电子邮件。
电子邮件伪装什么?
电子邮件伪装是电子邮件头的伪造除实际来源之外,以便消息看上去起源于某人或某处。电子邮件伪装是用于网络钓鱼的战术,并且,因为人们是可能打开电子邮件,当他们认为它时一个合法来源发送了垃圾邮件市场活动。
如何发现被伪装的电子邮件?
您将要过滤有包发送器的所有消息(Mail-From)和“友好从” (从)在电子邮件地址包含你的一个自己流入的域的头。
如何允许伪装特定发送器?
当实现在此条款内时提供的消息过滤器,被伪装的消息用头标记,并且内容过滤器用于采取对头的行动。添加例外,添加发送器IP到MY_TRUSTED_SPOOF_HOSTS。
配置
创建Sendergroup
- 从ESA GUI,请连接邮寄策略>帽子概述
- 单击 Add。
- 在" Name "字段请指定MY_TRUSTED_SPOOF_HOSTS
- 在“命令”字段请指定1
- 对于“策略”字段,请指定接受
- 点击提交保存更改。
- 最后,请点击进行更改保存配置
示例: 
创建一个词典
创建您希望禁用伪装在ESA的所有域的一个词典:
- 从ESA GUI,请连接邮寄策略>词典。
- 点击添加词典。
- 在" Name "字段请指定‘VALID_INTERNAL_DOMAINS’,使复制和插入消息过滤器无误。
- 下面“请添加术语”,添加您希望发现伪装的所有域。 输入与加在前面域的@符号的域并且点击添加。
- 保证“全部的词”复选框被不选定的匹配。
- 点击提交保存词典更改。
- 最后,请点击进行更改保存配置
示例:

创建消息过滤器
其次,您将需要创建消息过滤器为了有效利用被创建的词典, “VALID_INTERNAL_DOMAINS” :
- 对ESA的命令行界面(CLI)的连接。
- 运行命令过滤器。
- 运行new命令创建一台新的消息过滤器。
- 若需要复制和插入以下过滤器示例,做为您的实际发送器组名编辑:
mark_spoofed_messages:
if(
(mail-from-dictionary-match("VALID_INTERNAL_DOMAINS", 1))
OR (header-dictionary-match("VALID_INTERNAL_DOMAINS","From", 1)))
AND ((sendergroup != "RELAYLIST")
AND (sendergroup != "MY_TRUSTED_SPOOF_HOSTS")
)
{
insert-header("X-Spoof", "");
}
- 返回到主要CLI提示并且运行进行保存配置。
- 连接对GUI >邮件策略>流入的内容过滤器
- 创建采取对欺骗头X欺骗的行动的流入的内容过滤器:
-
添加其他头
-
头名字:X欺骗
-
头存在单选按钮
- 添加动作:重复项检疫(“策略")。
Note: 显示的复制消息功能此处将保留消息的复制,并且继续传送原始消息到接收人。


- 与流入的邮件策略连接内容过滤器在GUI >邮件Policies>流入的邮件策略
- 提交并且确认更改
添加欺骗例外到MY_TRUSTED_SPOOF_HOSTS
最后,您将需要添加欺骗例外(IP地址或主机名)对MY_TRUSTED_SPOOF_HOSTS sendergroup。
- 通过Web GUI连接: 邮寄策略>帽子概述
- 点击并且打开MY_TRUSTED_SPOOF_HOSTS发送器组。
- 点击“添加发送器…”添加IP地址、范围、主机名或者部分主机名。
- 点击提交保存发送器更改。
- 最后,请点击进行更改保存配置。
示例:

验证被伪装的消息被检疫
发送指定你的一个域的一个测试消息作为包发送器。验证过滤器工作正如所料在执行在该消息的消息跟踪旁边。预期结果是消息将获得检疫,因为我们未创建任何例外,允许伪装的那些发送器的。
Thu Apr 23 07:09:53 2015 Info: MID 102 ICID 9 RID 0 To: <test_user@domain.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 Subject 'test1'
Thu Apr 23 07:10:07 2015 Info: MID 102 ready 177 bytes from <user_1@example.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:10:11 2015 Info: MID 102 interim verdict using engine: CASE spam negative
Thu Apr 23 07:10:11 2015 Info: MID 102 using engine: CASE spam negative
Thu Apr 23 07:10:11 2015 Info: MID 102 interim AV verdict using Sophos CLEAN
Thu Apr 23 07:10:11 2015 Info: MID 102 antivirus negative
Thu Apr 23 07:10:12 2015 Info: MID 102 quarantined to "Policy" (message filter:quarantine_spoofed_messages)
Thu Apr 23 07:10:12 2015 Info: Message finished MID 102 done
验证消息提供欺骗例外
“欺骗例外”发送器是在上面过滤器参考的您的发送器组的IP地址。
因为ESA用于发送outbound邮件, RELAYLIST被参考。RELAYLIST被发送的消息是典型地outbound邮件,和不包括此将创建上面过滤器被检疫的错误肯定或者出局的消息。
被添加到MY_TRUSTED_SPOOF_HOSTS “欺骗例外” IP地址的消息跟踪示例。期望的动作是传送和没有检疫。(此IP允许伪装)。
Thu Apr 23 07:25:57 2015 Info: Start MID 108 ICID 11
Thu Apr 23 07:25:57 2015 Info: MID 108 ICID 11 From: <user_1@example.com>
Thu Apr 23 07:26:02 2015 Info: MID 108 ICID 11 RID 0 To: <test_user@domain.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 Subject 'test2'
Thu Apr 23 07:26:10 2015 Info: MID 108 ready 163 bytes from <user_1@example.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:26:10 2015 Info: MID 108 interim AV verdict using Sophos CLEAN
Thu Apr 23 07:26:10 2015 Info: MID 108 antivirus negative
Thu Apr 23 07:26:10 2015 Info: MID 108 queued for delivery
Thu Apr 23 07:26:10 2015 Info: Delivery start DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: Message done DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: MID 108 RID [0] Response '2.0.0 t58EVG9N031598 Message accepted for delivery'
Thu Apr 23 07:26:11 2015 Info: Message finished MID 108 done
相关信息