检测在ESA的被伪装的电子邮件消息并且创建允许伪装的发送方的例外
目录
简介
本文描述如何控制电子邮件伪装在思科ESA和如何创建用户的例外能发送被伪装的电子邮件。
先决条件
要求
您的ESA应该处理两流入/流出的邮件,并且应该使用RELAYLIST标准配置标记消息如流出的。
使用的组件
本文档中的信息根据与所有AsyncOS版本的ESA。本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
使用的特定组件包括:
- 字典:用于存储所有您的内部域。
- 消息过滤器:用于处理逻辑检疫被伪装的电子邮件和交易有例外。
- 策略检疫:用于在决定前发布或者传送临时地存储被伪装的电子邮件,消息。添加发布的消息的IP地址Consider到WHITELIST防止将来消息此发送方输入策略检疫。
- WHITELIST :列表供参考您的发送IP地址的委托。添加发送方的IP地址到此列表将跳过检疫并且允许发送方伪装。我们在您的WHITELIST Sendergroup安置委托发送方,以便从这些发送方的被伪装的消息没有被检疫。
- RELAYLIST :为验证允许中继的IP地址列出,或者发送出站电子邮件。如果电子邮件通过此sendergroup传送假定是消息不是一个被伪装的消息。
背景信息
默认情况下伪装在思科ESA启用。有允许的其他域几个理由传送您的代表。您也许要考虑控制被伪装的电子邮件通过检疫被伪装的消息,在他们传送前,例如。
要采取特定行动例如在被伪装的电子邮件的检疫,您必须首先检测被伪装的电子邮件。
电子邮件伪装什么?
电子邮件伪装是电子邮件消息的创建与一个伪造的发送方地址的。
如何检测被伪装的电子邮件?
您将要过滤有一信封发送方的所有消息(发件人)和“友好从” (从)包含你的一个在电子邮件地址的自己的流入域的报头。
如何允许伪装特定发送方?
当实现在此artcile,被伪装的消息的消息过滤器发送对策略检疫。添加例外,添加发送方IP到WHITELIST。
配置
创建字典
所有您的域您要禁用伪装在ESA
- 在GUI中,请导航邮寄策略>字典。
- 单击添加字典。
- 例如在Name字段请指定VALID_INTERNAL_DOMAINS。
- 下面请添加期限,添加您希望禁用伪装的所有域。
- 提交并且确认更改。
创建消息过滤器
有效利用字典VALID_INTERNAL_DOMAINS
连接对命令行界面(CLI)您的设备控制台并且输入命令过滤器得到消息fiters菜单。 粘贴并且输入下面消息过滤器。
>filters
...
[]> new
Enter filter script. Enter '.' on its own line to end.
quarantine_spoofed_messages: if ((mail-from-dictionary-match("VALID_INTERNAL_DOMAINS", 1)) OR
(header-dictionary-match("VALID_INTERNAL_DOMAINS","From", 1))) AND ((sendergroup != "RELAYLIST") AND (sendergroup !=
"WHITELIST")) {
quarantine("Policy");
}
.
1 filters added.
提交并且确认更改
>commit
验证
验证被伪装的消息被检疫
发送指定你的一个域的测试消息作为信封发送方。验证过滤器工作正如所料由执行在该消息的一消息跟踪。预期结果是消息将获得检疫,因为我们未创建任何例外,允许伪装的那些发送方的。
Thu Apr 23 07:09:53 2015 Info: MID 102 ICID 9 RID 0 To: <sbayer@cisco.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 Subject 'test1'
Thu Apr 23 07:10:07 2015 Info: MID 102 ready 177 bytes from <sbayer@cisco.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:10:11 2015 Info: MID 102 interim verdict using engine: CASE spam negative
Thu Apr 23 07:10:11 2015 Info: MID 102 using engine: CASE spam negative
Thu Apr 23 07:10:11 2015 Info: MID 102 interim AV verdict using Sophos CLEAN
Thu Apr 23 07:10:11 2015 Info: MID 102 antivirus negative
Thu Apr 23 07:10:12 2015 Info: MID 102 quarantined to "Policy" (message filter:quarantine_spoofed_messages)
Thu Apr 23 07:10:12 2015 Info: Message finished MID 102 done
验证欺骗例外消息传送
“欺骗例外”发送方是在上面过滤器参考的您的sendergroups的IP地址。
因为ESA用于发送出站邮件, RELAYLIST被参考。RELAYLIST发送的消息是典型地出站邮件,和不包括此将创建上面过滤器被检疫的错误肯定或者出局的消息。
被添加到WHITELIST “欺骗例外” IP地址的消息跟踪示例。预计操作是传送和没有检疫。(此IP允许伪装)
Thu Apr 23 07:25:57 2015 Info: Start MID 108 ICID 11
Thu Apr 23 07:25:57 2015 Info: MID 108 ICID 11 From: <sbayer@cisco.com>
Thu Apr 23 07:26:02 2015 Info: MID 108 ICID 11 RID 0 To: <sbayer@cisco.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 Subject 'test2'
Thu Apr 23 07:26:10 2015 Info: MID 108 ready 163 bytes from <sbayer@cisco.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:26:10 2015 Info: MID 108 interim AV verdict using Sophos CLEAN
Thu Apr 23 07:26:10 2015 Info: MID 108 antivirus negative
Thu Apr 23 07:26:10 2015 Info: MID 108 queued for delivery
Thu Apr 23 07:26:10 2015 Info: Delivery start DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: Message done DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: MID 108 RID [0] Response '2.0.0 t58EVG9N031598 Message accepted for delivery'
Thu Apr 23 07:26:11 2015 Info: Message finished MID 108 done
反馈