有关策略、病毒和病毒爆发隔离区的磁盘空间信息，请参阅管理磁盘空间。

即使隔离区已集中，策略、病毒和爆发隔离区仍会占用邮件网关中的部分磁盘空间。

多个隔离区中的邮件与单一隔离区中的邮件占用相同的磁盘空间。

如果爆发过滤器和集中隔离区都启用：

• 使用邮件网关中本已分配给本地策略、病毒和爆发隔离区的所有磁盘空间（而不是在爆发隔离区暂存邮件副本），以便在爆发规则每次更新时扫描这些邮件。

• 思科安全邮件和 Web 管理器上用于特定受管

在以下情况下，将自动从隔离区中删除邮件：

• 正常到期 - 隔离区中的邮件达到配置的保留时间。为各隔离区中的邮件指定保留时间。每封邮件具有各自的特定到期时间，显示在隔离区列表中。除非出现本主题中描述的其他情况，否则邮件存储时间为指定时间。

  Note	爆发过滤器隔离区中邮件的正常保留时间在每个邮件策略的“爆发过滤器”(Outbreak Filters) 部分配置，而不是爆发隔离区。

• 提前到期 - 在到达配置的保留时间之前，强制从隔离区中删除邮件。在以下条件下可能发生这种情况：

  • 达到策略、病毒和爆发隔离区的磁盘空间分配中定义的所有隔离区的大小限制。

    如果达到大小限制，则系统会处理最旧的邮件（无论隔离区如何）并对每封邮件执行默认操作，直到所有隔离区的大小再次小于大小限制。采用的策略是先进先出 (FIFO)。多个隔离区中的邮件将根据其最新到期时间到期。

    （可选）您可以将个别隔离区配置为豁免由于磁盘空间不足而放行或删除。如果将所有隔离区都配置为免除，当磁盘空间达到容量时，将传送隔离区中的邮件以便为新邮件腾出空间。

    在磁盘空间达到里程碑时，您将会收到警报。请参阅关于隔离区磁盘空间使用量的警报。

• 您可删除仍然保留邮件的隔离区。

从隔离区中自动删除邮件后，系统将对该邮件执行默认操作。请参阅自动处理的隔离邮件的默认操作。

Note	除上述场景之外，也可以根据扫描操作（爆发过滤器或文件分析）的结果从隔离区自动删除邮件。

当发生邮件在隔离区中的保留时间中所述的任何情况时，将对策略、病毒或病毒爆发隔离区中的邮件执行默认操作。

有两个主要默认操作：

• 删除-删除邮件。
• 放行-放行邮件进行传送。

在放行时，系统可能会重新扫描邮件以查找威胁。有关详细信息，请参阅关于重新扫描隔离的邮件。

此外，在经过其预期保留时间之前放行的邮件可以对其执行其他操作，例如添加 X 信头。有关详细信息，请参阅配置策略、病毒和爆发隔离区。

在您使用隔离区之前，请自定义默认隔离区的设置，包括未分类隔离区。

Note	您无法重命名隔离区。 另请参阅邮件在隔离区中的保留时间。

要更改隔离区设置，请依次选择 监控 (Monitor) > 策略、病毒和病毒爆发隔离区 (Policy, Virus, and Outbreak Quarantines)，然后点击隔离区的名称。

要更改新 Web 界面上的隔离区设置，请导航至隔离区 (Quarantine) > 其他隔离区 (Other Quarantine) > 视图 (View)，然后在所需的隔离区上点击 或

• 删除策略隔离区之前，请查看它是否与任何有效过滤器或邮件操作相关。请参阅确定策略隔离区分配到的过滤器和邮件操作。
• 您可以删除策略隔离区，即使其已分配给过滤器或邮件操作也如此。
• 如果删除的隔离区不为空，则对所有邮件应用隔离区中定义的默认操作，即使已选择磁盘满时不删除邮件的选项亦不例外。请参阅自动处理的隔离邮件的默认操作。
• 在删除与过滤器或邮件操作关联的隔离区后，该过滤器或邮件操作后续隔离的所有邮件都将发送到未分类隔离区。在删除隔离区之前，应自定义未分类隔离区的默认设置。
• 您不能删除未分类隔离区。

除硬盘驱动器空间外，存储在策略隔离区中的邮件也使用系统内存。在单个邮件网关上将成千上万封邮件存储在策略隔离区中可能会由于内存使用过度而导致邮件网关的性能降低。邮件网关需要更多时间来隔离、删除和放行邮件，导致邮件处理速度减缓和邮件管道备份。

思科建议策略隔离区中存储的邮件平均少于 20,000 封，以确保邮件网关按正常速度处理邮件。

要查看隔离区的邮件数，请参阅监控隔离区状态、容量和活动。

当策略、病毒和爆发隔离区的容量达到或超过 75%、85% 和 95% 时，系统将发送警报。将邮件放到隔离区时，系统会进行检查。例如，如果添加邮件会使隔离区使用量达到或超过总容量的 75%，则系统会发送警报。

AsyncOS 会逐条记录隔离的所有邮件：

Info: MID 482 quarantined to "Policy" (message filter:policy_violation)

导致邮件被隔离的邮件过滤器或爆发过滤器功能规则使用括号括起。系统会为其中放置了邮件的每个隔离区生成单独的日志条目。

AsyncOS 还会逐条记录从隔离区中删除的邮件：

Info: MID 483 released from quarantine "Policy" (queue full)

Info: MID 484 deleted from quarantine "Anti-Virus" (expired)

在从所有隔离区中删除邮件并且将其永久删除或计划进行传送后，系统会逐条记录邮件，例如

Info: MID 483 released from all quarantines

Info: MID 484 deleted from all quarantines

重新注入邮件后，系统会使用新邮件 ID (MID) 创建新邮件对象。这是使用具有新 MID“byline”的现有日志消息进行记录，例如：

Info: MID 483 rewritten to 513 by Policy Quarantine

可以向其他管理用户分配邮件审查和处理任务。例如：

• 人力资源团队可以审核并管理策略隔离区。
• 法律团队可以管理机密资料隔离区。

在指定隔离区的设置时，请向这些用户分配访问权限。为向隔离区中添加用户，用户必须已存在。

每个用户可对所有、部分隔离区具有访问权限，或者不对任何隔离区具有访问权限。无权查看隔离区的用户将不会在隔离区的 GUI 或 CLI 列表中的任何位置看到表明其存在的指示。

部署时，只能在计算机级别利用集中管理功能配置策略、病毒和爆发隔离区。

可以在思科安全邮件和 Web 管理器上集中策略、病毒和病毒爆发隔离区。有关详细信息，请参阅集中策略、病毒和病毒爆发隔离区。

手动处理邮件意味着，从“邮件操作”(Message Actions) 页面手动选择适用于邮件的邮件操作。

可以针对邮件执行以下操作：

• 删除

• 放行

• 延迟从隔离区计划退出

• 将邮件副本发送到您指定的邮件地址

• 在不同隔离区之间移动邮件

通常，您可以对执行以下操作时显示的列表中的邮件执行操作。但是，并非所有操作在所有情况下都可用。

• 从监控 (Monitor) > 策略、病毒和病毒爆发隔离区 (Policy, Virus, and Outbreak Quarantines)或[仅限新 Web 界面] 隔离区 (Quarantine) > 其他隔离区 (Other Quarantine) > 视图 (View) 页面上的隔离区列表中，点击隔离区中的邮件数。

• 点击搜索整个隔离区 (Search Across Quarantines)。

• 点击隔离区名称并在隔离区内搜索。

您可以通过以下方式一次对多封邮件执行这些操作：

• 从邮件列表顶部的选取列表中选择选项。

• 选中页面上列出的每封邮件旁边的复选框。

• 选中邮件列表顶部的表标题中的复选框。这会将操作应用于屏幕上可见的所有邮件。其他页面上的邮件不受影响。

对于爆发隔离区中的邮件，还可以使用其他选项。请参阅《适用于邮件安全设备的 AsyncOS》的在线帮助或用户指南中有关爆发过滤器的章节中的

如果一个或多个其他隔离区都存在某封邮件，则隔离区邮件列表的“在其他隔离区”(In other quarantines) 列将显示“是”(Yes)，无论您是否有权访问其他隔离区。

一封邮件在多个隔离区中：

• 未传送，除非已从其所在的所有隔离区中将其放行。如果从任何隔离区中将其删除，则绝不会将其传送。
• 未从任何隔离区中删除，直到已从其所在的所有隔离区中将其删除或放行。

由于要放行邮件的用户可能无权访问该邮件所在的所有隔离区，因此适用下列规则：

• 邮件未从任何隔离区中放行，直到已从其所在的所有隔离区中将其放行。
• 如果邮件在任何隔离区中标记为已删除，则无法从该邮件所在的所有其他隔离区中将其传送。（仍可将其放行。）

如果邮件在多个隔离区中加入队列，并且用户无权访问一个或多个其他隔离区：

• 将通知用户邮件是否存在于用户有权访问的各隔离区中。
• GUI 仅显示用户有权访问的隔离区中的计划退出时间。（对于给定邮件，各隔离区有单独的退出时间。）
• 系统不会告知用户存有该邮件的其他隔离区的名称。
• 用户将不会看到导致邮件放入到用户无权访问的隔离区中的匹配内容。
• 放行邮件仅会影响用户有权访问的队列。
• 如果邮件在用户无法访问的其他隔离区中也加入队列，则邮件将保留在隔离区中，保持不变，直到对剩余隔离区具有访问权限的用户进行处理（或者直到通过提前到期或正常到期“正常”放行邮件）。

点击邮件的主题行以查看该邮件的内容并访问“隔离邮件”(Quarantined Message) 页面。

“隔离邮件”(Quarantined Message) 页面具有两个部分：“隔离区详细信息”(Quarantine Details) 和“邮件详细信息”(Message Details)。

在“隔离的邮件”(Quarantined Message) 页面，可以阅读邮件、选择邮件操作发送邮件副本或者检测病毒。您也可以查看邮件在由于“传送时加密”过滤器操作而从隔离区中放行时是否将加密。

“邮件详细信息”(Message Details) 部分显示邮件正文、邮件标题和附件。仅会显示前 100K 的邮件正文。如果邮件较长，则会显示前 100K，后跟省略号 (...)。实际邮件未截断。这仅用于显示。通过点击“邮件详细信息”(Message Details) 底部“邮件部分”(Message Parts) 中的 [邮件正文]，可以下载邮件正文。您也可以通过点击附件的文件名来下载邮件的任何附件。

如果查看包含病毒的邮件并在计算机上安装桌面防病毒软件，则防病毒软件可能会抱怨其已发现病毒。这对计算机没有威胁，可以放心忽略。

要查看有关邮件的其他详细信息，请点击邮件跟踪 (Message Tracking) 链接。

Note	对于特殊病毒爆发隔离区，有其他功能可供使用。请参阅病毒爆发隔离区。

将邮件从其被隔离的所有队列中放行后，将根据为最初隔离邮件的邮件网关和邮件策略启用的功能，进行以下重新扫描：

• 从策略和病毒隔离区放行的邮件由防病毒高级恶意软件保护和灰色邮件引擎重新扫描。
• 从病毒爆发隔离区放行的邮件由反垃圾邮件和防病毒引擎重新扫描。（有关重新扫描病毒爆发隔离区中的邮件的信息，请参阅)
• 从文件分析隔离区中放行的邮件会被重新扫描以查找威胁。
• 具有附件的邮件在从策略、病毒和病毒爆发隔离区中放行后由文件信誉服务重新扫描。

重新扫描后，如果生成的结果与上次处理邮件时生成的结果相符，则不会再次隔离邮件。相反，如果判定不同，则系统可能会将邮件发送到其他隔离区。

基本原理是防止邮件无限地环回到隔离区。例如，假定邮件已加密并因此发送到病毒隔离区。如果管理员放行邮件，则防病毒引擎仍将无法解密该邮件；但是，不应重新隔离邮件，否则将导致循环，并且邮件将永远不会从隔离区中放行。由于两次判定相同，所以第二次系统会绕开病毒隔离区。

输入有效的爆发过滤器功能许可密钥后，则存在爆发隔离区。根据阈值集，爆发过滤器功能会将邮件发送到病毒爆发隔离区。有关详细信息，请参阅。

爆发隔离区功能与其他隔离区类似—可以搜索邮件、放行或删除邮件等。

• 标准

• 规则摘要

爆发隔离区包含其他隔离区不可用的一些附加功能：“按规则管理摘要”(Manage by Rule Summary) 链接、查看邮件详细信息时“发送到思科”(Send to Cisco) 功能、以及按预定退出时间对搜索结果中的邮件排序的选项。

如果爆发过滤器功能的许可证到期，则您将无法向病毒爆发隔离区中添加更多邮件。当前隔离区中的邮件已到期且病毒爆发隔离区变为空后，则该隔离区不会再显示在 GUI 中的隔离区列表中。