有关分配磁盘空间的信息，请参阅管理磁盘空间。

多个隔离区中的邮件与单一隔离区中的邮件占用相同的磁盘空间。

如果爆发过滤器和集中隔离区都启用：

• 使用设备中本已分配给本地策略、病毒和爆发隔离区的所有磁盘空间（而不是在爆发隔离区暂存邮件副本），以便在爆发规则每次更新时扫描这些邮件。

• 安全管理设备上用于特定受管邮件安全设备上爆发隔离区中邮件的磁盘空间，可能受该邮件安全设备上可用于被隔离邮件的磁盘空间所限。

• 有关这种情况的详细信息，请参阅 邮件在隔离区中的保留时间

在以下情况下，将自动从隔离区中删除邮件：

• 正常到期 - 隔离区中的邮件达到配置的保留时间。为各隔离区中的邮件指定保留时间。每封邮件具有各自的特定到期时间，显示在隔离区列表中。除非出现本主题中描述的其他情况，否则邮件存储时间为指定时间。

  Note	爆发过滤器隔离区中邮件的正常保留时间在每个邮件策略的“爆发过滤器”(Outbreak Filters) 部分配置，而不是爆发隔离区。

• 提前到期 - 在到达配置的保留时间之前，强制从隔离区中删除邮件。在以下条件下可能发生这种情况：

  • 达到策略、病毒和爆发隔离区的磁盘空间分配中定义的所有隔离区的大小限制。

    如果达到大小限制，则系统会处理最旧的邮件（无论隔离区如何）并对每封邮件执行默认操作，直到所有隔离区的大小再次小于大小限制。采用的策略是先进先出 (FIFO)。多个隔离区中的邮件将根据其最新到期时间到期。

    （可选）您可以将个别隔离区配置为豁免由于磁盘空间不足而放行或删除。如果将所有隔离区都配置为免除，当磁盘空间达到容量时，邮件将暂存于邮件安全设备中，直到安全管理设备中的空间可用。

    由于安全管理设备不扫描邮件，因此集中爆发隔离区中每个邮件的副本会存储在最初处理该邮件的邮件安全设备上。这样，邮件安全设备可在爆发过滤器规则每次更新时重新扫描被隔离的邮件，并通知安全管理设备放行不再被视为威胁的邮件。爆发隔离区的两个副本应一直保留相同的邮件集。因此，如果邮件安全设备中的空间鲜有地变满，则两台设备上爆发隔离区中邮件的副本将提前到期，即使集中隔离区仍有空间亦不例外。

    在磁盘空间达到里程碑时，您将会收到警报。请参阅关于隔离区磁盘空间使用量的警报。

• 您可删除仍然保留邮件的隔离区。

从隔离区中自动删除邮件后，系统将对该邮件执行默认操作。请参阅自动处理的隔离邮件的默认操作。

Note	除上述场景之外，也可以根据扫描操作（爆发过滤器或文件分析）的结果从隔离区自动删除邮件。

当发生邮件在隔离区中的保留时间中所述的任何情况时，将对策略、病毒或病毒爆发隔离区中的邮件执行默认操作。

有两个主要默认操作：

• 删除-删除邮件。
• 放行-放行邮件进行传送。

在放行时，系统可能会重新扫描邮件以查找威胁。有关详细信息，请参阅关于重新扫描隔离的邮件。

此外，在经过其预期保留时间之前放行的邮件可以对其执行其他操作，例如添加 X 信头。有关详细信息，请参阅配置策略、病毒和爆发隔离区。

从集中隔离区放行的邮件将返回到始发邮件安全设备进行处理。

在您使用隔离区之前，请自定义默认隔离区的设置，包括未分类隔离区。

Note	您无法重命名隔离区。 另请参阅邮件在隔离区中的保留时间。

要更改隔离区设置，请依次选择 邮件 (Email) > 邮件隔离区 (Message Quarantine) > 策略、病毒和病毒爆发隔离区 (Policy, Virus, and Outbreak Quarantines)，然后点击隔离区的名称。

要更改新 Web 界面上的隔离区设置，请导航至隔离区 (Quarantine) > 其他隔离区 (Other Quarantine) > 视图 (View)，然后在所需的隔离区上点击 或

要在旧 Web 界面上更改隔离区设置，请选择电子邮件 (Email) > 邮件隔离区 (Message Quarantine) > 策略、病毒和病毒爆发隔离区 (Policy, Virus, and Outbreak Quarantines)，然后点击隔离区的名称。

• 删除策略隔离区之前，请查看它是否与任何有效过滤器或邮件操作相关。请参阅确定策略隔离区分配到的过滤器和邮件操作。
• 您可以删除策略隔离区，即使其已分配给过滤器或邮件操作也如此。
• 如果删除的隔离区不为空，则对所有邮件应用隔离区中定义的默认操作，即使已选择磁盘满时不删除邮件的选项亦不例外。请参阅自动处理的隔离邮件的默认操作。
• 在删除与过滤器或邮件操作关联的隔离区后，该过滤器或邮件操作后续隔离的所有邮件都将发送到未分类隔离区。在删除隔离区之前，应自定义未分类隔离区的默认设置。
• 您不能删除未分类隔离区。

当 PVO 隔离区邮件数超过为特定持续时间和 PVO 隔离区设置的用户定义阈值时，安全邮件和 Web 管理器会向收件人发送警报。安全邮件和 Web 管理器可确保您收到设置为邮件的警报。

您可以使用 CLI 或 Web 界面配置 PVO 隔离区阈值警报。

相关主题

• 使用 CLI 配置 PVO 隔离区阈值警报设置

• 使用 Web 界面配置 PVO 隔离区阈值警报设置

当策略、病毒和爆发隔离区的容量达到或超过 75%、85% 和 95% 时，系统将发送警报。将邮件放到隔离区时，系统会进行检查。例如，如果添加邮件会使隔离区使用量达到或超过总容量的 75%，则系统会发送警报。

AsyncOS 会逐条记录隔离的所有邮件：

Info: MID 482 quarantined to "Policy" (message filter:policy_violation)

导致邮件被隔离的邮件过滤器或爆发过滤器功能规则使用括号括起。系统会为其中放置了邮件的每个隔离区生成单独的日志条目。

AsyncOS 还会逐条记录从隔离区中删除的邮件：

Info: MID 483 released from quarantine "Policy" (queue full)

Info: MID 484 deleted from quarantine "Anti-Virus" (expired)

在从所有隔离区中删除邮件并且将其永久删除或计划进行传送后，系统会逐条记录邮件，例如

Info: MID 483 released from all quarantines

Info: MID 484 deleted from all quarantines

重新注入邮件后，系统会使用新邮件 ID (MID) 创建新邮件对象。这是使用具有新 MID“byline”的现有日志消息进行记录，例如：

Info: MID 483 rewritten to 513 by Policy Quarantine

可以向其他管理用户分配邮件审查和处理任务。例如：

• 人力资源团队可以审核并管理策略隔离区。
• 法律团队可以管理机密资料隔离区。

在指定隔离区的设置时，请向这些用户分配访问权限。为向隔离区中添加用户，用户必须已存在。

每个用户可对所有、部分隔离区具有访问权限，或者不对任何隔离区具有访问权限。无权查看隔离区的用户将不会在隔离区的 GUI 或 CLI 列表中的任何位置看到表明其存在的指示。

手动处理邮件意味着，从“邮件操作”(Message Actions) 页面手动选择适用于邮件的邮件操作。

可以针对邮件执行以下操作：

• 删除

• 放行

• 延迟从隔离区计划退出

• 将邮件副本发送到您指定的邮件地址

• 在不同隔离区之间移动邮件

通常，您可以对执行以下操作时显示的列表中的邮件执行操作。但是，并非所有操作在所有情况下都可用。

• 从邮件 (Email) > 邮件隔离区 (Message Quarantine) > 策略、病毒和病毒爆发隔离区 (Policy, Virus, and Outbreak Quarantines)页面或[仅限新 Web 界面] 隔离区 (Quarantine) > 其他隔离区 (Other Quarantine) > 视图 (View) 页面上的隔离区列表中，点击隔离区中的邮件数。

• 点击隔离邮件的复选框，然后选择所需的操作。

您可以通过以下方式一次对多封邮件执行这些操作：

• 从邮件列表顶部的选取列表中选择选项。

• 选中页面上列出的每封邮件旁边的复选框。

• 选中邮件列表顶部的表标题中的复选框。这会将操作应用于屏幕上可见的所有邮件。其他页面上的邮件不受影响。

对于爆发隔离区中的邮件，还可以使用其他选项。请参阅《适用于邮件安全设备的 AsyncOS》的在线帮助或用户指南中有关爆发过滤器的章节中的视图相关信息。

如果一个或多个其他隔离区都存在某封邮件，则隔离区邮件列表的“在其他隔离区”(In other quarantines) 列将显示“是”(Yes)，无论您是否有权访问其他隔离区。

一封邮件在多个隔离区中：

• 未传送，除非已从其所在的所有隔离区中将其放行。如果从任何隔离区中将其删除，则绝不会将其传送。
• 未从任何隔离区中删除，直到已从其所在的所有隔离区中将其删除或放行。

由于要放行邮件的用户可能无权访问该邮件所在的所有隔离区，因此适用下列规则：

• 邮件未从任何隔离区中放行，直到已从其所在的所有隔离区中将其放行。
• 如果邮件在任何隔离区中标记为已删除，则无法从该邮件所在的所有其他隔离区中将其传送。（仍可将其放行。）

如果邮件在多个隔离区中加入队列，并且用户无权访问一个或多个其他隔离区：

• 将通知用户邮件是否存在于用户有权访问的各隔离区中。
• GUI 仅显示用户有权访问的隔离区中的计划退出时间。（对于给定邮件，各隔离区有单独的退出时间。）
• 系统不会告知用户存有该邮件的其他隔离区的名称。
• 用户将不会看到导致邮件放入到用户无权访问的隔离区中的匹配内容。
• 放行邮件仅会影响用户有权访问的队列。
• 如果邮件在用户无法访问的其他隔离区中也加入队列，则邮件将保留在隔离区中，保持不变，直到对剩余隔离区具有访问权限的用户进行处理（或者直到通过提前到期或正常到期“正常”放行邮件）。

点击邮件的主题行以查看该邮件的内容并访问“隔离邮件”(Quarantined Message) 页面。

“隔离邮件”(Quarantined Message) 页面具有两个部分：“隔离区详细信息”(Quarantine Details) 和“邮件详细信息”(Message Details)。

在“隔离的邮件”(Quarantined Message) 页面，可以阅读邮件、选择邮件操作或发送邮件副本。您也可以查看邮件在由于“传送时加密”过滤器操作而从隔离区中放行时是否将加密。

“邮件详细信息”(Message Details) 部分显示邮件正文、邮件标题和附件。仅会显示前 100K 的邮件正文。如果邮件较长，则会显示前 100K，后跟省略号 (...)。实际邮件未截断。这仅用于显示。通过点击“邮件详细信息”(Message Details) 底部“邮件部分”(Message Parts) 中的 [邮件正文]，可以下载邮件正文。您也可以通过点击附件的文件名来下载邮件的任何附件。

Note	“邮件详细信息”(Message Details) 页面上的附件下载最大限制为 25 MB。

如果查看包含病毒的邮件并在计算机上安装桌面防病毒软件，则防病毒软件可能会抱怨其已发现病毒。这对计算机没有威胁，可以放心忽略。

要查看有关邮件的其他详细信息，请点击邮件跟踪 (Message Tracking) 链接。

Note	对于特殊病毒爆发隔离区，有其他功能可供使用。请参阅病毒爆发隔离区。

将邮件从其被隔离的所有队列中放行后，将根据为最初隔离邮件的设备和邮件策略启用的功能，进行以下重新扫描：

• 从策略和病毒隔离区放行的邮件由防病毒高级恶意软件保护和灰色邮件引擎重新扫描。
• 从病毒爆发隔离区放行的邮件由反垃圾邮件和防病毒引擎重新扫描。
• 从文件分析隔离区中放行的邮件会被重新扫描以查找威胁。
• 具有附件的邮件在从策略、病毒和病毒爆发隔离区中放行后由文件信誉服务重新扫描。

重新扫描后，如果生成的结果与上次处理邮件时生成的结果相符，则不会再次隔离邮件。相反，如果判定不同，则系统可能会将邮件发送到其他隔离区。

基本原理是防止邮件无限地环回到隔离区。例如，假定邮件已加密并因此发送到病毒隔离区。如果管理员放行邮件，则防病毒引擎仍将无法解密该邮件；但是，不应重新隔离邮件，否则将导致循环，并且邮件将永远不会从隔离区中放行。由于两次判定相同，所以第二次系统会绕开病毒隔离区。

输入有效的爆发过滤器功能许可密钥后，则存在爆发隔离区。根据阈值集，爆发过滤器功能会将邮件发送到病毒爆发隔离区。有关详细信息，请参阅邮件安全设备的在线帮助或用户指南中的“爆发过滤器”一章。

爆发隔离区功能与其他隔离区类似—可以搜索邮件、放行或删除邮件等。

病毒爆发隔离区包含以下视图：

病毒爆发隔离区包含其他隔离区不可用的一些附加功能：规则摘要视图、查看邮件详细信息时发送到思科功能、以及按预定退出时间对搜索结果中的邮件排序的选项。

如果爆发过滤器功能的许可证到期，则您将无法向病毒爆发隔离区中添加更多邮件。当前隔离区中的邮件已到期且病毒爆发隔离区变为空后，则该隔离区不会再显示在 GUI 中的隔离区列表中。

问题

管理用户无法查看或选择邮件安全设备上内容和邮件过滤器或 DLP 操作中的隔离区。

解决方案

请参阅为自定义用户角色配置集中隔离区访问权限

问题

从病毒爆发隔离区中放行的邮件在传送之前应再次扫描。但是，一些受感染的邮件已从隔离区进行传递。

解决方案

在以下内容所述的情况下，可能会出现这种情况。 关于重新扫描隔离的邮件