此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
本章包含以下部分:
邮件网关通过邮件策略,执行关于发送给用户和用户发送的邮件的组织策略。这些规则集指定了组织可能不希望进入或离开您的网络的可疑、敏感或恶意内容的类型。这些内容可能包括:
您可以创建不同的策略来满足组织内不同用户组的不同安全需求。邮件网关使用这些策略中定义的规则扫描每封邮件,并根据需要执行操作保护用户。例如,策略可防止向高管传送可疑垃圾邮件,而允许向 IT 员工传送这些可疑垃圾邮件,但主题会进行修改以发出内容警告,或面向所有用户(“系统管理员”组中的用户除外)删除危险的可执行附件。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
启用您希望邮件网关用于传入或传出邮件的内容扫描功能。 |
可以启用和配置下面一个或多个功能:
|
|
Step 2 |
(可选)对于面向包含特定数据的邮件采取的操作,创建内容过滤器。 |
请参阅内容过滤器 |
|
Step 3 |
(可选)定义一个 LDAP 组查询,以指定邮件策略规则适用的具体用户。 |
|
|
Step 4 |
(可选)定义适用于传入或传出邮件的默认邮件策略。 |
请参阅配置传入或传出邮件的默认邮件策略。 |
|
Step 5 |
定义要为其设置用户特定邮件策略的用户组。 |
创建传入或传出邮件策略。 有关详细信息,请参阅配置邮件策略。 |
|
Step 6 |
配置内容安全功能和邮件网关对邮件采取的内容过滤器操作。 |
为邮件策略配置不同的内容安全功能。
|
邮件网关对于邮件内容安全使用两种不同的邮件策略集。
使用不同的策略集允许您对发送给用户和用户发送的邮件,定义不同的安全规则。在 GUI 中使用邮件策略 (Mail Policies) > 传入邮件策略 (Incoming Mail Policies)或传出邮件策略 (Outgoing Mail Policies) 页面(或在 CLI 中使用 policyconfig 命令)可管理这些策略。
 Note |
某些功能只能应用于传入或传出邮件策略。例如,只能对传出邮件执行防数据丢失扫描。高级恶意软件防护(文件信誉扫描和文件分析)可用于传入邮件策略和传出邮件策略。 在某些安装中,通过思科设备路由的“内部”邮件可能被视为传出,即使所有收件人的地址均为内部地址亦不例外。例如,默认情况下,对于 C170 和 C190 设备,系统设置向导仅配置一个物理以太网端口及一个侦听程序,用来接收入站邮件和中继出站邮件。 |
邮件网关收到邮件时,邮件网关将根据其为传入还是传出邮件,尝试将每个邮件收件人和发件人与传入或传出邮件策略表中的邮件策略匹配。
匹配的依据是收件人的地址、发件人的地址或两者。
收件人地址与信封收件人地址匹配
在匹配收件人地址时,输入的收件人地址是邮件管道前面部分处理之后的最终地址。例如,如果启用,默认域、LDAP 路由或伪装、别名表、域映射和邮件过滤器功能可重写信封收件人地址,并可能会影响邮件是否与邮件策略匹配。
地址可能基于完整的邮件地址、用户、域或部分域匹配,也可能匹配 LDAP 组成员。
对照相应邮件策略表中定义的每个邮件策略,从上到下依次评估各个用户(发件人或收件人)。
对于每个用户,以第一个匹配策略为准。如果某个用户与任何特定策略都不匹配,该用户将自动匹配表的默认策略。
如果根据发件人地址进行匹配,邮件的所有剩余收件人都将与该策略匹配。(这是因为,每封邮件只能有一个发件人。)
将邮件与邮件策略匹配时,信封发件人和信封收件人的优先级高于发件人信头。如果将邮件策略配置为与特定用户匹配,则邮件将根据信封发件人和信封收件人自动归类到邮件策略中。
以下示例帮助显示如何从上到下匹配策略表。
假定下表显示的邮件安全策略表中有下列传入邮件,则传入邮件将匹配不同的策略。
|
订单 |
策略名称 |
用户 |
|
|---|---|---|---|
|
发件人 |
收件人 |
||
|
1 |
special_people |
任意 |
joe@example.com ann@example.com |
|
2 |
from_lawyers |
@lawfirm.com |
任意 |
|
3 |
acquired_domains |
任意 |
@newdomain.com @anotherexample.com |
|
4 |
engineering |
任意 |
PublicLDAP.ldapgroup: engineers |
|
5 |
sales_team |
任意 |
jim@john@larry@ |
|
6 |
Default Policy |
任意 |
任意 |
发件人 bill@lawfirm.com 发送到收件人 jim@example.com 的邮件:
在用户描述匹配发件人 (@lawfirm.com) 和收件人(任意)时匹配策略 #2。
在信封发件人为 bill@lawfirm.com 时匹配策略 #2。
在信头发件人为 bill@lawfirm.com 但信封发件人不匹配 @lawfirm.com 时匹配策略 #5。
发件人 joe@yahoo.com 发送的一封传入邮件包含三个收件人:john@example.com、jane@newdomain.com 和 bill@example.com:
jane@newdomain.com 的邮件将收到策略 #3 中定义的反垃圾邮件、防病毒、病毒爆发过滤器和内容过滤器。
john@example.com 的邮件将收到策略 #5 中定义的设置。
bill@example.com 与工程 LDAP 查询不匹配,所以该邮件将收到默认策略定义的设置。
本示例演示的是包含多个收件人的邮件如何进行邮件拆分。有关详细信息,请参阅邮件拆分。
发件人 bill@lawfirm.com(bill@lawfirm.com 用于信封发件人)将邮件发送给收件人 ann@example.com 和 larry@example.com:
ann@example.com 将收到策略 #1 中定义的反垃圾邮件、防病毒、病毒爆发过滤器和内容过滤器。
larry@example.com 将收到策略 #2 中定义的反垃圾邮件、防病毒、病毒爆发过滤器和内容过滤器,因为发件人 (@lawfirm.com) 和收件人 (ANY) 匹配。
智能邮件拆分机制允许对包含多个收件人的邮件,单独应用不同的基于收件人的内容安全规则。
对照相应邮件策略表(传入或传出)中的每个策略,从上到下依次评估各个收件人。
每个与邮件匹配的策略将创建一封包含这些收件人的新邮件。此过程定义为邮件拆分:
下表说明在邮件管道中拆分邮件的位置。
|
工作队列 |
邮件过滤器 |
邮件安全管理器扫描(每个收件人) |
↓ 所有收件人的邮件 |
|
反垃圾邮件 |
邮件在经过邮件过滤器处理后、反垃圾邮件处理前立即拆分。 匹配策略 1 的所有收件人的邮件 匹配策略 2 的所有收件人的邮件 所有其他收件人的邮件(匹配默认策略)
|
||
|
防病毒
|
|||
|
文件信誉和分析(高级恶意软件防护)
|
|||
|
灰色邮件管理 |
|||
|
内容过滤器
|
|||
|
病毒爆发过滤器
|
|||
|
防数据丢失
|
Note |
对于每个邮件拆分创建新 MID(邮件 ID)(例如,MID 1 将变成 MID 2 和 MID 3)。有关详细信息,请参阅“日志记录”一章。此外, 跟踪功能可显示引发邮件拆分的策略。
|
在邮件安全管理器策略中,策略匹配和邮件拆分明显会影响管理邮件网关现中可用邮件处理的方式。
由于每个拆分邮件的迭代处理都会影响性能,所以思科建议基于托管例外配置内容安全规则。换句话说,评估组织的需求并尝试配置功能,使得大多数邮件由默认邮件策略处理,少数邮件由几个其他“例外”策略处理。通过这种方式,可尽可能地减少邮件拆分,并降低因处理工作队列中的各个拆分邮件而影响系统性能的可能性。
邮件策略将不同的用户组映射到特定安全设置,例如反垃圾邮件或防病毒。
默认邮件策略适用于任何其他邮件策略均未涵盖的邮件。如果没有配置其他策略,默认策略则适用于所有邮件。
准备工作
了解如何定义邮件策略的各项安全服务。请参阅根据每个用户执行邮件策略的方法。
|
Step 1 |
根据您的要求,选择下列选项之一:
|
||
|
Step 2 |
点击要为默认邮件策略配置的安全服务链接。
|
||
|
Step 3 |
配置安全服务的设置。 |
||
|
Step 4 |
点击提交 (Submit)。 |
||
|
Step 5 |
提交并确认更改。 |
准备工作
|
Step 1 |
依次选择邮件策略 (Mail Policies) > 传入邮件策略 (Incoming Mail Policies) 或邮件策略 (Mail Policies) > 传出邮件策略 (Outgoing Mail Policies)。 |
|
Step 2 |
点击添加策略 (Add Policy)。 |
|
Step 3 |
输入邮件策略的名称。 |
|
Step 4 |
(可选)点击“可编辑者(角色)”(Editable By [Roles]) 链接,并为负责管理邮件策略的授权管理员选择自定义用户角色。 |
|
Step 5 |
定义策略的用户。有关定义用户的说明,请参阅为邮件策略定义发件人和收件人。 |
|
Step 6 |
点击提交 (Submit)。 |
|
Step 7 |
点击要为该邮件策略配置的内容安全服务的链接。 |
|
Step 8 |
从下拉列表中,选择自定义策略的设置(而不是使用默认设置)的选项。 |
|
Step 9 |
自定义安全服务设置。 |
|
Step 10 |
提交并确认更改。 |
相关主题
您可以按以下方式定义策略所适用的发件人和收件人:
完整的邮件地址:user@example.com
不完整邮件地址:user@
域中的所有用户:@example.com
不完整域中的所有用户:@.example.com
通过匹配 LDAP 查询
Note |
AsyncOS GUI 和 CLI 中的用户条目都不区分大小写。例如,如果输入收件人 Joe@ 作为用户,则发送到 joe@example.com 的邮件与之匹配。
|
在定义邮件策略的发件人和收件人时,请牢记:
|
Step 1 |
在用户 (Users) 部分下,点击添加用户 (Add User)。 |
||
|
Step 2 |
定义策略的发件人。选择以下选项之一:
要了解选择上述字段时如何设置发件人条件,请参阅示例。 |
||
|
Step 3 |
定义策略的收件人。选择以下选项之一:
如果邮件发送到一个或多个指定收件人或所有指定收件人,可以选择策略是否匹配。从下拉列表中选择以下选项之一:一个或多个条件匹配时 (If one more conditions match) 或只有所有条件匹配时 (Only if all conditions match)。
要了解选择上述字段时如何设置收件人条件,请参阅示例。 |
||
|
Step 4 |
点击提交 (Submit)。 |
||
|
Step 5 |
查看在用户 (Users) 部分所选的条件。 |
相关主题
下表介绍选择“添加用户”(Add User) 页面的各种选项时,如何设置条件。
|
发件人 |
收件人 |
情况 |
||||
|
任意发件人 (Any Sender) |
以下发件人 (Following Senders) |
非以下发件人 (Following Senders are Not) |
任何收件人 (Any Recipient) |
以下收件人 (Following Recipients) |
非以下收件人 (Following Recipients are Not) |
|
|
已选定 |
- |
- |
- |
已选定 (默认)选择只有所有条件匹配时 (Only if all conditions match) 选项 值:
|
- |
发件人:任意 收件人:
|
|
- |
已选定 值:
|
- |
- |
已选定 (默认)选择只有所有条件匹配时 (Only if all conditions match) 选项 值:
|
已选定 值:
|
发件人:
收件人:
|
|
- |
- |
已选定 值:
|
- |
已选定 选择一个或多个条件匹配时 (If one or more conditions match) 选项 值:
|
- |
发件人:
收件人:
|
使用“邮件策略”(Find Policies) 页面顶部的“查找策略”(Find Policies) 部分,可搜索传入或传出邮件策略中已定义的用户。
例如,键入 bob@example.com 并点击“查找策略”(Find Policies) 按钮以显示结果,表明哪些策略包含与该策略匹配的定义用户。
点击策略的名称可编辑该策略的用户。
请注意,搜索任何用户时将始终显示默认策略,因为根据定义,如果发件人或收件人与配置的任何其他策略都不匹配,则始终匹配默认策略。
使用上面两个示例中列出的步骤,可以基于托管例外开始创建和配置策略。换句话说,评估组织的需求后,可以将策略配置为大多数邮件交由默认策略来处理。然后,可以创建适用于特定用户或用户组的其他“例外”策略,用来根据需要管理不同的策略。通过这种方式,可尽可能地减少邮件拆分,并降低因处理工作队列中的各个拆分邮件而影响系统性能的可能性。
可以根据组织或用户对垃圾邮件、病毒和策略实施的容忍度定义策略。下表概述几个示例策略。“积极”策略旨在尽可能减少到达最终用户邮箱的垃圾邮件和病毒数量。“保守”策略的目标是避免误报并防止用户丢失邮件,无论采用哪种策略。
|
积极设置 |
保守设置 |
|
|---|---|---|
|
反垃圾邮件 |
确定为垃圾邮件:丢弃 可疑垃圾邮件:隔离 营销邮件:传送并在邮件主题前面加上“ |
确定为垃圾邮件:隔离 可疑垃圾邮件:传送并在邮件主题前面加上“ 营销邮件:已禁用 |
|
防病毒 |
修复的邮件:传送 加密邮件:丢弃 不可扫描的邮件:丢弃 受病毒感染的邮件:丢弃 |
修复的邮件:传送 加密邮件:隔离 不可扫描的邮件:隔离 受病毒感染的邮件:丢弃 |
|
高级恶意软件保护 (文件信誉过滤和文件分析) |
未扫描的附件:丢弃 附件带恶意软件的邮件:丢弃 包含待定文件分析的邮件:隔离 |
未扫描的附件:传送并在邮件主题前面加上“ 附件带恶意软件的邮件:丢弃 包含待定文件分析的邮件:传送并在邮件主题前面加上“ |
|
病毒过滤器 |
已启用,不允许绕过特定文件扩展名或域 对所有邮件启用邮件修改 |
已启用,允许绕过特定文件扩展名或域 对未签名的邮件启用邮件修改 |
您可以设置邮件信头的优先级,以匹配邮件网关中的传入和传出邮件。
重要 |
您可以设置邮件网关在传入和传出消息中检查邮件信头的优先级。邮件网关首先检查所有邮件策略的具有最高优先级的消息报头。如果没有报头与任何邮件策略匹配,邮件网关将查找所有邮件策略的优先级列表中的下一个消息报头。如果没有邮件报头与任何邮件策略匹配,则使用默认的邮件策略设置。 |
|
步骤 1 |
转至邮件策略 (Mail Policies) > 邮件策略设置 (Mail Policy Settings)。 默认情况下,“信封发件人”信头设置为优先级 1。您可以点击“信封发件人”链接以更改优先级。 |
|
步骤 2 |
点击添加优先级 (Add Priority) 并点击相应的信头名称(例如信头“发件人”)复选框以添加新的优先级。 |
|
步骤 3 |
点击提交 (Submit) 并提交您的更改。 |
反馈