提高了检测威胁的效率

现在，您的邮件网关在以下方面变得更加安全：

• 改进了 HTML 解析和恶意脚本检测。

• 改进了 URL 解析和重定向检测。

要使用此功能，请执行以下配置步骤：

1. 通过以下任一方式在邮件网关上全局启用灰色邮件服务引擎：

   Web 界面：导航至安全服务 (Security Services) > IMS 和灰色邮件 (IMS and Graymail) 页面，然后选中灰色邮件全局设置 (Graymail Global Settings) 下的灰色邮件检测 (Graymail Detection) 复选框。

   CLI：使用 graymail > setup 子命令并为“Would you like to use Graymail Detection? [Y]>” 语句输入 yes。

2. 为所需的传入邮件策略启用反垃圾邮件服务引擎，如下所示：

   1. 在 Web 界面上导航到邮件策略 (Mail Policies) > 传入邮件策略 (Incoming Mail Policies) 页面。

   2. 点击“策略”(Policies) 字段中“反垃圾邮件”(Anti-Spam) 下的已禁用 (Disabled) 链接。

   3. 选择使用 IronPort 反垃圾邮件服务 (Use IronPort Anti-Spam service) 或使用 IronPort 智能多重扫描 (Use IronPort Intelligent Multi-Scan) 选项按钮（以适用者为准），以便为邮件策略启用反垃圾邮件扫描。

   4. 选择所需的操作 -“传送”(deliver)、“丢弃”(drop)、“垃圾邮件隔离”(spam quarantine) 或“退回”(bounce)（以适用者为准），以应用于确认的垃圾邮件。

   5. [可选]：执行任何其他所需的反垃圾邮件配置设置。

   6. 点击提交 (Submit) 并确认更改。

在“邮件跟踪”(Message Tracking) 和“邮件日志”(Mail Logs) 中添加了新判定 - ThreatScanner Spam Positive，表明由于改进了威胁检测，邮件被归类为“垃圾邮件”。对 ThreatScanner Spam Positive 判定的建议反垃圾邮件策略操作是隔离 (Quarantine)。

包含 Spamcause 数据的灰色邮件 (Graymail) 日志在信息 (Information) 日志级别提供。

在发件人或收件人级别对传出邮件实施 TLS

现有的“目标控制”(Destination Controls) 配置允许您按域覆盖 TLS 模式（例如 TLS 强制、TLS 首选等）。

如果需要根据其他条件（例如发件人、收件人等）对传出邮件实施 TLS，您现在可以使用 X-ESA-CF-TLS-Mandatory 信头。

您可以配置“内容过滤器 - 添加/编辑信头”(Content Filter – Add/Edit Header) 操作，以根据任何内容过滤器条件在“信头名称：”(Header Name:) 字段中添加 X-ESA-CF-TLS-Mandatory 信头，并将内容过滤器附加到传出邮件策略。

文件信誉服务增强

从 AsyncOS 15.x 版本开始，邮件网关使用新版本的 AMP 引擎。此新 AMP 引擎使用 HTTPS（端口 443）而不是 TCP 来确保邮件网关和 Cisco Secure Endpoint 云之间的安全通信。

有关详细信息，请参阅文件信誉过滤和文件分析：。

使用 AsyncOS API 获取配置信息

您可以使用配置 API 在邮件网关中执行各种操作（例如创建、检索、更新和删除）。用于配置的各种 API 类别如下：

• 身份验证 API

• URL 列表 API

• 词典 API

• 主机访问表 (HAT) API

有关更多信息，请参阅《适用于 Cisco Secure Email Gateway 的 AsyncOS 15.0 API - 入门指南》的“配置 API”部分。

自定义灰色邮件取消订用横幅

您可以根据组织的要求自定义灰色邮件取消订用横幅的以下设置：

• 横幅的位置

• 横幅的颜色

• 横幅消息的文本颜色

• 横幅消息的内容

横幅信息支持以下语言：英语（美国）、意大利语、中文、葡萄牙语、西班牙语、德语、法语、俄语、日语、韩语和中文（台湾）。

有关详细信息，请参阅根据组织要求自定义灰色邮件取消订用横幅。

删除用于邮件跟踪数据的旧 Splunk 数据库

[仅适用于本地用户]：在升级到安全邮件网关 15.0 及更高版本时，如果邮件跟踪数据包含在 Splunk 数据库中，则当您继续升级时，系统会删除 Splunk 数据库。

在升级过程中，邮件网关的 CLI 或 Web 界面会显示一条警告消息，提示系统将删除 Splunk 数据库。

以下是升级时显示的警告消息示例：

“From Secure Email Gateway 12.1.x version onwards, we have moved to a newer storage system for email tracking data. 
Generally, the old data is replaced with new data in the new storage system automatically. 
However, in some scenarios (for example, 'late upgrades', 'low mail flow' and 'tracking data', and so on), 
there could be traces of old data still present in the old storage system that is no longer supported.
In your case it is, 7.1 MB, which was last updated in 01 Jul 2022.
If you proceed with this upgrade process, the data in the old storage will be removed.
You can choose to proceed with the upgrade or abort the upgrade.
Do you want to proceed with the upgrade?[Y]”

[仅适用于云用户]：在升级到安全邮件网关 15.0 及更高版本时，如果邮件跟踪数据包含在 Splunk 数据库中，则当您继续升级时，系统会删除 Splunk 数据库。

FIPS 认证

Cisco Secure Email Gateway 已经通过 FIPS 认证，并已集成以下 FIPS 140-2 认可的加密模块：思科通用加密模块（FIPS 140-2 认证#4036）。

有关详细信息，请参阅FIPS 管理。

从邮件网关删除日志文件

您现在可以删除存储在邮件网关 /data/pub/directories 路径中的日志文件。

您可以在 CLI 中使用 logconfig > deletelogfile 子命令删除日志文件。

有关详细信息，请参阅与本版本相关的《CLI 参考指南》中的“示例 - 删除日志文件”部分。

Cisco Secure Email Gateway 虚拟设备型号的新 RAM 值

从 AsyncOS 15.0 版本开始，通过 KVM 或 VMWare ESXi 部署的以下安全邮件网关虚拟设备型号有了新的 RAM 值：

• C100V

• C300V

• C600V

有关适用于每个虚拟设备型号的新 RAM 值的详细信息，请参阅《思科内容安全虚拟设备安装指南》，网址为：https://www.cisco.com/c/en/us/support/security/email-security-appliance/products-installation-guides-list.html。

新的 DLP 策略预定义分类器

在 Web 界面的邮件策略 (Mail Policies) > DLP 策略管理器 (DLP Policy Manager) > 添加 DLP 策略 (Add DLP Policy) > 自定义策略 (Custom Policy) > 添加 (Add) > 策略匹配详细信息 (Policy Matching Details) 页面中添加了以下新的 DLP 策略预定义分类器：

• 银行账号（奥地利 IBAN）

• 银行账号（比利时 IBAN）

• 银行账号（保加利亚 IBAN）

• 银行账号（克罗地亚 IBAN）

• 银行账号（塞浦路斯 IBAN）

• 银行账号（捷克共和国 IBAN）

• 银行账号（丹麦 IBAN）

• 银行账号（爱沙尼亚 IBAN）

• 银行账号（芬兰 IBAN）

• 银行账号（希腊 IBAN）

• 银行账号（匈牙利 IBAN）

• 银行账号（爱尔兰 IBAN）

• 银行账号（拉脱维亚 IBAN）

• 银行账号（立陶宛 IBAN）

• 银行账号（卢森堡 IBAN）

• 银行账号（马耳他 IBAN）

• 银行账号（波兰 IBAN）

• 银行账号（葡萄牙 IBAN）

• 银行账号（罗马尼亚 IBAN）

• 银行账号（斯洛伐克 IBAN）

• 银行账号（斯洛文尼亚 IBAN）

• 银行账号（西班牙 IBAN）

• 柬埔寨国民身份证

• 塞浦路斯身份证

• 芬兰国民身份证

• 马耳他身份证

• 缅甸国民身份证

• 葡萄牙身份证

• 越南身份证

系统升级期间删除弱算法的新说明

[适用于 FIPS 和非 FIPS 模式]： 在系统升级到 AsyncOS 15.0 及更高版本期间，添加了新的注释语句，通知您系统在升级过程后会删除密码、密钥、KEX 和 MAC（如果已配置）中的所有弱算法。

ECDSA 证书支持 SSL 通信

现在，您可以使用椭圆曲线数字签名算法 (ECDSA) 证书来配置以下 SSL 服务，这些证书允许将用于密钥交换的椭圆曲线 Diffie Hellman Ephemeral (ECDHE) 算法与 ECDSA 身份验证相结合：

• GUI HTTPS

• 入站 SMTP

URL 追溯判定和 URL 补救

具有未知信誉的 URL 在任何时候都可以变成恶意的，即使它已经到达用户的邮箱。您可以在邮件云网关上配置 URL 过滤，以根据从 Talos 收到的 URL 追溯判定发送警报。您还可以配置您的电子邮件网关，当 URL 判定由未知变为恶意时，对用户邮箱中的邮件执行自动补救行动。

有关详细信息，请参阅防御恶意或不需要的 URL一章。

发件人成熟度

在此版本中，传统的发件人域信誉（SDR）域期限功能被替换为发件人成熟度。发件人成熟度是建立发件人信誉的重要功能。发件人成熟度是根据多个信息源自动生成的，用于垃圾邮件分类，可能不同于“基于 Whois 的域期间。”

“发件人成熟度”表示思科 Talos 认为域作为邮件发件人的成熟度。调整成熟度值可以启用有关邮件的威胁检测，并且通常不会反映“基于 Whois 的域有效期”中表示的域有效期。

发件人成熟度被设为 30 天限制，如果超过该限制，域就会被视为邮件发件人的成熟地址，并且不会提供进一步的详细信息。

发件人成熟度用于计算发件人信誉。未成熟域的信誉较低。思科 Talos 建议您仅依靠发件人信誉来确定策略操作。对于特定的非标准场景，发件人成熟度会用于优化过滤器。

有关详细信息，请参阅发件人域信誉过滤。

新发件人域信誉判定

从此版本开始，将更新发件人域信誉判定，以准确反映预期含义和建议使用。

在升级期间，系统会自动更新发件人域信誉消息或内容过滤器配置，以反映新的判定。确保相应地查看和配置邮件或内容过滤器。

有关针对每个新 SDR 判定的建议操作的详细信息，请参阅发件人域信誉过滤中的“SDR 判定”部分。

升级到 AsyncOS 14.2.x 版本后，内容或邮件过滤器、报告和邮件跟踪中的旧版 SDR 判定将替换为新的 SDR 判定，如下所示：

• 不受信任

• 可疑

• 一般

• 可靠

• 受信任

• 未知

有关详细信息，请参阅发件人域信誉过滤。

发件人域信誉 (SDR) 过滤提升

在此版本中，SDR 服务的用户体验和整体质量通过性能改进，可用性提高和SDR部署得到增强。

用于目标控制的 TLS 证书增强

您现在可以为特定域选择除“默认”目标控制条目中配置的证书以外的其他证书。

您可以通过以下方式之一选择不同证书：

• 编辑相应的目标控制条目，并使用 Web 界面中的 TLS 证书选项选择其他证书。

• 在创建或编辑目标控制条目时，使用 CLI 中的 destconfig > 新建 或 编辑 子命令选择证书。

有关详细信息，请参阅控制 TLS。

修改经典许可 - Web 界面和 CLI 中的到期日期

从此版本开始，传统许可的 Web 界面和 CLI 中现有的“到期日期”列标题进行了如下修改：“到期日期（包括宽限期）”，以指示宽限期包含在到期日期中。

登录页面

“报告”下拉列表

“我的报告” (My Reports) 页面

“邮件流摘要”(Mail Flow Summary) 页面

邮件流摘要页面包括传入邮件和传出邮件的趋势图和摘要表。

传入邮件包括传入和传出邮件的图和摘要表。

“高级恶意软件保护”报告页面

以下各部分在“报告”菜单的高级恶意软件保护报告页面上可用：

• 摘要

• AMP 文件信誉

• 文件分析

• 文件追溯

• 邮箱自动补救

邮件网关的监控 (Monitor) 菜单下具有以下高级恶意软件保护 (Advanced Malware Protection) 报告页面：

• 高级恶意软件防护

• AMP 文件分析

• AMP 判定更新

• 邮箱自动补救

“爆发过滤器”(Outbreak Filters) 页面

“过去一年病毒爆发”和“过去一年病毒爆发摘要”在新 Web 界面的爆发过滤 (Outbreak Filtering) 报告页面中不可用。

监控 (Monitor) > 病毒爆发过滤器 (Outbreak Filters) 页面显示“过去一年病毒爆发”(Past Year Virus Outbreaks) 和“过去一年病毒爆发摘要”(Past Year Virus Outbreak Summary)。

垃圾邮件隔离区（管理和最终用户）

在新 Web 界面中点击隔离区 (Quarantine) > 垃圾邮件隔离区 (Spam Quarantine) > 搜索 (Search)。

最终用户可以使用以下 URL 访问垃圾邮件隔离区：

https://example.com:<https-api-port>/euq-login

其中， example.com 是设备主机名， <https-api-port> 是防火墙上打开的 AsyncOS API HTTPS 端口。

您可以从监控 (Monitor) > 垃圾邮件隔离区 (Spam Quarantine) 菜单查看垃圾邮件隔离区。

策略、病毒和爆发隔离区

在新 Web 界面中点击隔离区 (Quarantine) > 其他隔离区 (Other Quarantine)。

在新 Web 界面中，您只能查看“策略”、“病毒”和“病毒爆发隔离区”。

在邮件网关上，您可以使用监控 (Monitor) > 策略、病毒和病毒爆发隔离区 (Policy, Virus and Outbreak Quarantines) 来查看、配置和修改策略、病毒和病毒爆发隔离区。

为隔离区中的邮件选择所有操作

您可以选择多个（或所有）邮件并执行邮件操作，例如删除、延迟、发布、移动等。

您不能选择多个邮件来执行邮件操作。

附件的最大下载限制

已隔离邮件的附件下载最大限制为 25 MB。

-

受拒连接数

要搜索已拒绝连接，请点击上的跟踪 (Tracking) > 搜索 (Search) > 已拒绝连接 (Rejected Connection) 选项卡。

-

查询设置

邮件跟踪功能的查询设置字段在上不可用。

您可以在“邮件跟踪”功能的“查询设置”字段中设置查询超时。

邮件跟踪数据可用性

点击 Web 界面页面右上方的齿轮图标，以访问“邮件跟踪数据可用性”(Message Tracking Data Availability) 页面。

您可以查看邮件网关缺少数据的时间间隔。

显示邮件的更多详细信息

您可以查看邮件的更多详细信息，例如判定图表、上次状态、发件人组、发件人 IP、IP 信誉得分和策略匹配详细信息。

-

判定图表和上次状态判定

判定图表显示由邮件网关中的每个引擎触发的各种可能判定的信息。

邮件的“上次状态”决定了在引擎的所有可能判定之后触发的最终判定。

邮件的判定图表和上次状态判定不可用。

邮件详细信息中的邮件附件和主机名

在邮件网关上邮件的“邮件详细信息”部分，不显示邮件附件和主机名。

邮件附件和主机名显示在邮件的“邮件详细信息”部分。

邮件详细信息中的发件人组、发件人 IP、IP 信誉得分和策略匹配

邮件的发件人组、发件人 IP、IP 信誉得分和策略匹配的详细信息显示在邮件网关的“邮件详细信息”(Message Details) 部分中。

邮件的发件人组、发件人 IP、IP 信誉得分和策略匹配在邮件的“邮件详细信息”部分不可用。

邮件方向（传入或传出）

邮件网关的邮件跟踪结果页面显示邮件方向（传入或传出）。

“邮件跟踪结果”(Message Tracking Results) 页面不显示邮件方向（传入或传出）。