المقدمة
يوضح هذا المستند كيفية إختبار خيار تعديل رسائل عوامل تصفية التفشي (OF) لإعادة كتابة URL.
معلومات أساسية
إذا تجاوز مستوى تهديد الرسالة حد تعديل الرسالة، فإن ميزة "عوامل تصفية التفشي" تعيد كتابة جميع عناوين URL في الرسالة لإعادة توجيه المستخدم إلى صفحة ترحيل وكيل أمان الويب من Cisco إذا انقر فوق أي منها. يقوم AsyncOS بإعادة كتابة جميع عناوين URL الموجودة داخل رسالة ما عدا تلك التي تشير إلى المجالات التي يتم تجاوزها.
تتوفر الخيارات التالية لإعادة كتابة URL:
- تمكين فقط للرسائل غير الموقعة. يسمح هذا الخيار ل AsyncOS بإعادة كتابة عناوين URL في الرسائل غير الموقعة التي تفي أو تتجاوز عتبة تعديل الرسالة، ولكن الرسائل غير الموقعة. توصي Cisco باستخدام هذا الإعداد لإعادة كتابة URL.
ملاحظة: قد يقوم جهاز أمان البريد الإلكتروني بإعادة كتابة عناوين URL في رسالة موقعة من DomainKeys/DKIM وإبطال توقيع الرسالة إذا كان الخادم أو الجهاز الموجود على الشبكة بخلاف جهاز أمان البريد الإلكتروني مسؤولا عن التحقق من توقيع DomainKeys/DKIM. يعتبر الجهاز رسالة موقعة إذا تم تشفيرها باستخدام S/MIME أو أنها تحتوي على توقيع S/MIME.
-
قد يقوم جهاز "أمان البريد الإلكتروني" بإعادة كتابة عناوين URL في رسالة موقعة من DomainKeys/DKIM وإبطال توقيع الرسالة إذا كان الخادم أو الجهاز الموجود على الشبكة بخلاف جهاز "أمان البريد الإلكتروني" مسؤولا عن التحقق من توقيع DomainKeys/DKIM.
يعتبر الجهاز رسالة موقعة إذا تم تشفيرها باستخدام S/MIME أو أنها تحتوي على توقيع S/MIME.
- تمكين لكافة الرسائل. يتيح هذا الخيار ل AsyncOS إعادة كتابة عناوين URL في جميع الرسائل التي تفي بحد تعديل الرسالة أو تتجاوزه، بما في ذلك الرسائل الموقعة. إذا قام AsyncOS بتعديل رسالة موقعة، يصبح التوقيع غير صالح.
- تعطيل. يقوم هذا الخيار بتعطيل إعادة كتابة URL لعوامل تصفية التفشي.
يمكنك تعديل سياسة لاستبعاد عناوين URL إلى مجالات معينة من التعديل. لتجاوز المجالات، أدخل عنوان IPv4 أو عنوان IPv6 أو نطاق CIDR أو اسم المضيف أو اسم المضيف الجزئي أو المجال في حقل مسح المجال الالتفافي. افصل المدخلات المتعددة باستخدام الفواصل.
خاصية المسح الضوئي للمجال الالتفافي مماثلة، ولكنها مستقلة عن، AllowList العمومي المستخدم من قبل تصفية URL. لمزيد من المعلومات حول قائمة "AllowList"، راجع "إنشاء كائنات بيضاء لتصفية URL" في دليل مستخدم ESA.
إختبار إعادة كتابة URL لعامل تصفية التفشي
هناك خياران لاختبار ESA.
إختبار الجزء الأول
تضمين عنوان URL ضار في نص رسالة البريد الإلكتروني. عنوان URL للاختبار الآمن الذي يمكن إستخدامه:
http://malware.testing.google.test/testing/malware/
عند الإرسال، يجب أن يحتوي مثال سجلات البريد على ما يلي:
Tue Jul 3 09:31:38 2018 Info: MID 185843 Outbreak Filters: verdict positive
Tue Jul 3 09:31:38 2018 Info: MID 185843 Threat Level=5 Category=Malware Type=Malware
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten to MID 185844 by url-threat-protection filter 'Threat Protection'
Tue Jul 3 09:31:38 2018 Info: Message finished MID 185843 done
Tue Jul 3 09:31:38 2018 Info: MID 185844 Virus Threat Level=5
Tue Jul 3 09:31:38 2018 Warning: MID 185844 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul 3 09:31:38 2018 Info: MID 185844 rewritten to MID 185845 by add-heading filter 'Heading Stamping'
Tue Jul 3 09:31:38 2018 Info: Message finished MID 185844 done
Tue Jul 3 09:31:38 2018 Info: Message finished MID 185846 done
Tue Jul 3 09:31:38 2018 Info: MID 185845 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Malware: Malware)
Tue Jul 3 09:31:38 2018 Info: MID 185845 queued for delivery
لاحظ أن سجلات البريد تظهر لنا "URL تمت إعادة كتابته"، مما يشير إلى أن OF أعاد كتابة URL هذا من خلال وكيل أمان الويب من Cisco. كونوا على علم أيضا بأن الرسالة قد تكون في الحجر الصحي على تفشي المرض، كما هو موضح هنا في المثال الذي وضعناه.
ستتضمن النتيجة النهائية نص رسالة البريد الإلكتروني التي تم تسليمها والتي تظهر ما يلي:
عندما يستقبل المستخدم النهائي الآن البريد الإلكتروني، وينقر عنوان URL المعاد كتابته، تتم إعادة توجيهه إلى وكيل أمان الويب من Cisco ويرى:
ملاحظة: سيتم عرض "تعذر إنشاء معاينة الموقع" استنادا إلى HTML/ترميز عنوان URL الأصلي أو موقع الويب الأصلي. لن يتمكن موقع ويب يحتوي على CSS أو أجزاء HTML أو العرض المعقد من إنشاء معاينة للموقع.
إختبار الجزء الثاني
الخيار الثاني هو تضمين البيانات مع - في نص البريد الإلكتروني أو المرفق للحصول على المشغل.
هناك خياران من أجل تحقيق النجاح:
- قم بإنشاء ملف (سيتم إنشاء ملف نصي بسيط) باسم "hello.voftest" بين حجم 25000 و 30000 بايت، ثم قم بإرفاق هذا الملف بالبريد الإلكتروني للاختبار الخاص بك. سيؤدي هذا إلى تشغيل قواعد مرفق الفيروسات.
- قم بوضع Gtube التالي ("إختبار عام للبريد الإلكتروني غير المرغوب فيه بكميات كبيرة") 72 بايت Test StringText في نص رسالة البريد الإلكتروني:
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTPHISH-STANDARD-ANTI-PHISH-TEST-EMAIL*C.34X
هذا سوف يؤدي إلى قواعد الكمين. يجب أن يحتوي مثال سجلات البريد على ما يلي:
Tue Jul 3 09:44:12 2018 Info: MID 185880 Outbreak Filters: verdict positive
Tue Jul 3 09:44:12 2018 Info: MID 185880 Threat Level=5 Category=Phish Type=Phish
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten to MID 185881 by url-threat-protection filter 'Threat Protection'
Tue Jul 3 09:44:12 2018 Info: Message finished MID 185880 done
Tue Jul 3 09:44:12 2018 Info: MID 185881 Virus Threat Level=5
Tue Jul 3 09:44:12 2018 Warning: MID 185881 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul 3 09:44:12 2018 Info: MID 185881 rewritten to MID 185882 by add-heading filter 'Heading Stamping'
Tue Jul 3 09:44:12 2018 Info: Message finished MID 185881 done
Tue Jul 3 09:44:13 2018 Info: MID 185882 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Phish: Phish)
Tue Jul 3 09:44:13 2018 Info: MID 185882 queued for delivery
لاحظ أن سجلات البريد تظهر لنا "URL تمت إعادة كتابته"، مما يشير إلى أن OF أعاد كتابة URL هذا من خلال وكيل أمان الويب من Cisco. كونوا على علم أيضا بأن الرسالة قد تكون في الحجر الصحي على تفشي المرض، كما هو موضح هنا في المثال الذي وضعناه.
ستتضمن النتيجة النهائية نص رسالة البريد الإلكتروني التي تم تسليمها والتي تظهر ما يلي:
عندما يستقبل المستخدم النهائي الآن البريد الإلكتروني، وينقر عنوان URL المعاد كتابته، تتم إعادة توجيهه إلى وكيل أمان الويب من Cisco ويرى:
ملاحظة: سيتم عرض "تعذر إنشاء معاينة الموقع" استنادا إلى HTML/ترميز عنوان URL الأصلي أو موقع الويب الأصلي. لن يتمكن موقع ويب يحتوي على CSS أو أجزاء HTML أو العرض المعقد من إنشاء معاينة للموقع.
معلومات ذات صلة
الاستخدام: الإعلان x = التفشي |