Senden einer Beispielnachricht, um sicherzustellen, dass die Anti-Virus-Engine auf einer Cisco E-Mail Security Appliance (ESA) gescannt wird

Download-Optionen

  • PDF     (325.0 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (157.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (119.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. September 2017
Dokument-ID:118175

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie eine Beispielnachricht senden, um sicherzustellen, dass das Antivirus-Modul von Sophos oder das McAfee-Antivirus-Modul auf einer Cisco E-Mail Security Appliance (ESA) scannt.

    Senden einer Beispielnachricht, um sicherzustellen, dass die Anti-Virus-Engine auf einer Cisco E-Mail Security Appliance (ESA) gescannt wird

    Durch Senden einer Beispiel-Nachricht mit einer Test-Virus-Payload über die ESA können wir das Anti-Virus-Modul von Sophos oder McAfee auslösen.  Bevor Sie die in diesem Dokument aufgeführten Schritte durchführen können, müssen Sie Ihre Mail-Policy für ein- oder ausgehende Nachrichten einrichten und die Mail-Policy so konfigurieren, dass Virenschutz-Nachrichten entfernt oder Nachrichten in Quarantäne verschoben werden.  In diesem Dokument wird der von EICAR (www.eicar.org) bereitgestellte ASCII-Code verwendet, der einen Testvirus als Anhang simuliert:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    Hinweis: Pro EICAR: Diese Testdatei wurde EICAR zur Verteilung als "EICAR Standard Anti-Virus Test File" zur Verfügung gestellt und erfüllt alle oben aufgeführten Kriterien. Es ist sicher, um herumzugehen, weil es kein Virus ist, und keine Fragmente von viralem Code enthält. Die meisten Produkte reagieren darauf, als handele es sich um ein Virus (obwohl sie es in der Regel mit einem offensichtlichen Namen melden, wie z. B. "EICAR-AV-Test").

    Erstellen einer TXT-Datei

    Erstellen Sie mit der ASCII-Zeichenfolge oben eine TXT-Datei, und platzieren Sie die Zeichenfolge so, wie sie als Text der Datei geschrieben wurde.  Sie können diese Datei als Anhang in Ihrer Beispielnachricht senden.

    Senden einer Beispielnachricht

    Je nachdem, wie Sie arbeiten, können Sie die Beispielnachricht über die ESA auf verschiedene Weise senden.  Zwei Beispielmethoden werden über die UNIX-CLI mit E-Mail oder aus Outlook (oder einer anderen E-Mail-Anwendung) verwendet.

    UNIX-CLI

    joe@unix.local:~$ echo "TEST MESSAGE w/ ATTACHMENT" | mail -s "A/V test example" -A av.txt bob@av.esa

    Ihre UNIX-Umgebung muss korrekt eingerichtet sein, um E-Mails über Ihre ESA zu senden oder weiterzuleiten.

    Ausblick

    Mit Outlook (oder einer anderen E-Mail-Anwendung) haben Sie zwei Möglichkeiten, den ASCII-Code zu senden: 1) mit der erstellten TXT-Datei, 2) direkte Einfügung der ASCII-Zeichenfolge in den Text der E-Mail-Nachricht.

    Verwenden der TXT-Datei als Anhang:

    118175-technote-esa-00-00.png

    Verwenden der ASCII-Zeichenfolge im Text der E-Mail-Nachricht:

    118175-technote-esa-00-01.png

    Ihr Outlook (oder eine andere E-Mail-Anwendung) muss ordnungsgemäß eingerichtet sein, um E-Mails über Ihre ESA zu senden oder weiterzuleiten.

    Verifizierung

    Verwenden Sie in der ESA-CLI den Befehl tail mail_logs, bevor Sie die Beispielnachricht senden.  Beim Betrachten des E-Mail-Protokolls wird die Nachricht gescannt und von McAfee als "VIRAL" abgefangen:

    Wed Sep 13 11:42:38 2017 Info: New SMTP ICID 306 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
    Wed Sep 13 11:42:38 2017 Info: ICID 306 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
    Wed Sep 13 11:42:38 2017 Info: Start MID 405 ICID 306
    Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 From: <joe@example.com>
    Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 RID 0 To: <bob@av.esa>
    Wed Sep 13 11:42:38 2017 Info: MID 405 Message-ID '<20170913153801.0EDA1A0121@example.com>'
    Wed Sep 13 11:42:38 2017 Info: MID 405 Subject 'A/V test attachment'
    Wed Sep 13 11:42:38 2017 Info: MID 405 ready 1057 bytes from <joe@example.com>
    Wed Sep 13 11:42:38 2017 Info: MID 405 attachment 'av.txt'
    Wed Sep 13 11:42:38 2017 Info: ICID 306 close
    Wed Sep 13 11:42:38 2017 Info: MID 405 matched all recipients for per-recipient policy my_av in the inbound table
    Wed Sep 13 11:42:38 2017 Info: MID 405 interim AV verdict using McAfee VIRAL
    Wed Sep 13 11:42:38 2017 Info: MID 405 antivirus positive 'EICAR test file'
    Wed Sep 13 11:42:38 2017 Info: MID 405 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
    Wed Sep 13 11:42:38 2017 Info: MID 405 queued for delivery
    Wed Sep 13 11:42:38 2017 Info: New SMTP DCID 239 interface 10.1.2.84 address 10.1.2.87 port 7025
    Wed Sep 13 11:42:38 2017 Info: DCID 239 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
    Wed Sep 13 11:42:38 2017 Info: Delivery start DCID 239 MID 405 to RID [0] to Centralized Policy Quarantine
    Wed Sep 13 11:42:38 2017 Info: Message done DCID 239 MID 405 to RID [0] (centralized policy quarantine)
    Wed Sep 13 11:42:38 2017 Info: MID 405 RID [0] Response 'ok:  Message 49 accepted'
    Wed Sep 13 11:42:38 2017 Info: Message finished MID 405 done
    Wed Sep 13 11:42:43 2017 Info: DCID 239 close

    Dieselbe Nachricht wurde von Sophos gesendet und gescannt:

    Wed Sep 13 11:44:24 2017 Info: New SMTP ICID 307 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
    Wed Sep 13 11:44:24 2017 Info: ICID 307 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
    Wed Sep 13 11:44:24 2017 Info: Start MID 406 ICID 307
    Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 From: <joe@example.com>
    Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 RID 0 To: <bob@av.esa>
    Wed Sep 13 11:44:24 2017 Info: MID 406 Message-ID '<20170913153946.E20C7A0121@example.com>'
    Wed Sep 13 11:44:24 2017 Info: MID 406 Subject 'A/V test attachment'
    Wed Sep 13 11:44:24 2017 Info: MID 406 ready 1057 bytes from <joe@example.com>
    Wed Sep 13 11:44:24 2017 Info: MID 406 attachment 'av.txt'
    Wed Sep 13 11:44:24 2017 Info: ICID 307 close
    Wed Sep 13 11:44:24 2017 Info: MID 406 matched all recipients for per-recipient policy my_av in the inbound table
    Wed Sep 13 11:44:24 2017 Info: MID 406 interim AV verdict using Sophos VIRAL
    Wed Sep 13 11:44:24 2017 Info: MID 406 antivirus positive 'EICAR-AV-Test'
    Wed Sep 13 11:44:24 2017 Info: MID 406 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
    Wed Sep 13 11:44:24 2017 Info: MID 406 queued for delivery
    Wed Sep 13 11:44:24 2017 Info: New SMTP DCID 240 interface 10.1.2.84 address 10.1.2.87 port 7025
    Wed Sep 13 11:44:24 2017 Info: DCID 240 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
    Wed Sep 13 11:44:24 2017 Info: Delivery start DCID 240 MID 406 to RID [0] to Centralized Policy Quarantine
    Wed Sep 13 11:44:24 2017 Info: Message done DCID 240 MID 406 to RID [0] (centralized policy quarantine)
    Wed Sep 13 11:44:24 2017 Info: MID 406 RID [0] Response 'ok:  Message 50 accepted'
    Wed Sep 13 11:44:24 2017 Info: Message finished MID 406 done
    Wed Sep 13 11:44:29 2017 Info: DCID 240 close

    Auf dieser ESA-Übung wird 'Virus-infizierte Nachrichten' so konfiguriert, dass sie in die Quarantäne für die 'Aktion auf Nachricht angewendet' in der jeweiligen E-Mail-Richtlinie verschoben werden.  Die Aktion auf Ihrer ESA kann variieren, abhängig von der Aktion, die für vireninfizierte Nachrichten ausgeführt wird, die von Anti-Virus in Ihrer Mail-Richtlinie behandelt werden.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    07-Aug-2014
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Stephan Fiebrandt
      Cisco TAC Engineer
    • Sandeep Minhas
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.