Einleitung
In diesem Dokument wird die Fehlerbehebung und Korrektur der Warteschlangen auf der E-Mail-Security-Appliance (ESA) für den Fall beschrieben, dass ein internes Benutzerkonto kompromittiert und nicht angeforderte E-Mails weltweit versendet wurden.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf AsyncOS 7.6 und höher für die ESA.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Fehlerbehebung
Es ist ratsam, das Konto zu sperren, das den Spam sendet, wenn bekannt, sonst sperren Sie das Konto, sobald über die Untersuchung auf der ESA entdeckt.
Arbeitswarteschlangen-Prüfungen
Wenn der Arbeitswarteschlangen-Zähler eine große Anzahl von E-Mails enthält und die Rate der in das System eingehenden E-Mails die Rate, die das System verlässt, bei weitem übersteigt, weist dies auf Auswirkungen auf die Arbeitswarteschlange hin. Sie können die Prüfung mit dem Befehl workqueue durchführen.
C370.lab> workqueue status
Status as of: Thu Feb 06 12:48:02 2014 GMT
Status: Operational
Messages: 48654
C370.lab> workqueue rate 5
Type Ctrl-C to return to the main prompt.
Time Pending In Out
12:48:04 48654 48 2
12:48:09 48700 31 0
Absender oder Betreff der E-Mails in der Arbeitswarteschlange ist bekannt
Um die E-Mails zu entfernen, die sich auf die Arbeitswarteschlange auswirken, wird die Verwendung eines Nachrichtenfilters empfohlen. Die Verwendung eines Nachrichtenfilters ermöglicht es der ESA, diese E-Mails am Anfang der Arbeitswarteschlange und nicht am Ende zu bearbeiten, um das Entfernen der E-Mails in einem effizienteren Intervall zu unterstützen.
Dieser Filter kann verwendet werden, um dies zu erreichen:
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if (mail-from == 'abc@abc1.com')
{
drop();
}
.
OR
FilterName:
if (subject == "^SUBJECT NAME$")
{
drop();
}
.
Überprüfung der Zustellungswarteschlange
Der Befehl tophosts zeigt die aktuell betroffenen Hosts an. In einer Live-Umgebung ist der Empfänger-Host (die aktuelle aktive Zustellungswarteschlange) betroffen, und es ist eine große Anzahl aktiver Empfänger vorhanden. Für diese Ausgabe ist das Beispiel impactedhost.queue.
C370.lab> tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Thu Feb 06 12:52:17 2014 GMT
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1 impactedhost.queue 321550 50 440 75568 8984
2 the.euq.queue 0 0 0 0 0
3 the.euq.release.queue 0 0 0 0 0
Sollte es sich bei dem betroffenen Host um eine unbekannte Empfängerdomäne handeln, in der vor dem Entfernen aller E-Mails weitere Informationen erforderlich sind, können die Befehle showReceipients, showmessage und deleterecipients verwendet werden. Mit dem Befehl showReceipients werden die Nachrichten-ID (MID), die Nachrichtengröße, die Zustellversuche, der Umschlagabsender, der Umschlagempfänger und der Betreff der E-Mail angezeigt.
C370.lab> showrecipients
Please select how you would like to show messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 1
Please enter the hostname for the messages you wish to show.
> impactedhost.queue
Falls die verdächtige MID in der Zustellungswarteschlange als legitim angesehen wird, können Sie den Befehl showmessage verwenden, um die Nachrichtenquelle anzuzeigen, bevor Sie eine Aktion ausführen.
C370.lab> showmessage
Enter the MID to show.
[]>
Um diese E-Mails zu entfernen, nachdem sie als Spam bestätigt wurden, fahren Sie fort und verwenden Sie den Befehl deleterecipient. Der Befehl stellt drei Optionen zum Löschen von E-Mails aus der Zustellungswarteschlange bereit: Nach Umschlagabsender, Nach Empfängerhost oder Alle E-Mails in der Zustellungswarteschlange.
C370.lab> deleterecipients
Please select how you would like to delete messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 2
Please enter the Envelope From address for the messages you wish to delete.
[]>
Proaktive Überwachung und Aktion
In Version 9.0+ AsyncOS auf der ESA steht eine neue Nachrichtenfilterbedingung mit dem Namen Header Repeats Rule (Regel für wiederholte Header-Meldungen) zur Verfügung.
Überschrift Wiederholungsregel
Die Header Repeats-Regel ergibt Wahr, wenn zu einem bestimmten Zeitpunkt eine bestimmte Anzahl von Meldungen angezeigt wird:
- Mit dem gleichen Thema werden in der letzten Stunde erkannt.
- Absender desselben Umschlags werden in der letzten Stunde erkannt.
- header-repeats(<Ziel>, <Schwellenwert> [, <Richtung>])
Weitere Informationen zu diesem Zustand finden Sie in der Online-Hilfe Ihres Geräts.
Melden Sie sich bei der CLI an, und stellen Sie den Filter bereit, um diese Überprüfung und die gewünschte Aktion auszuführen. Ein Beispielfilter, um E-Mails zu verwerfen oder einen Administrator zu benachrichtigen, wenn ein Schwellenwert erreicht wurde.
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if header-repeats('mail-from',1000,'outgoing')
{
drop();
}
.
OR
FilterName:
if header-repeats('subject',1000,'outgoing')
{
notify('admin@xyz.com');
}
.
Zugehörige Informationen
Feedback