Fehlerbehebung bei zentralisierter PVO-Quarantäne auf ESA und SMA

Einleitung

In diesem Dokument wird die Fehlerbehebung bei Zustellungs- und Verbindungsproblemen beschrieben, wenn die zentrale Richtlinie sowie die Virus- und Outbreak-Quarantäne aktiviert sind.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• E-Mail Security Appliance (ESA) mit AsyncOS 8.1 oder höher
• Security Management Appliance (SMA) mit AsyncOS 8.0 oder höher

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Hintergrundinformationen

Die Quarantänefunktion für zentralisierte Richtlinien, Viren und Outbreaks (PVO) wurde in AsyncOS 8.0 (ESA)/8.1 (SMA) eingeführt. Diese Funktion stellt zusätzliche Anforderungen an die Netzwerkkonnektivität und neue Herausforderungen bei der Fehlerbehebung.

Verständnis der Kommunikation

• Die CPQ-Kommunikation verwendet SMTP, jedoch mit einigen zusätzlichen Befehlen zum Übertragen von Metadaten
• Die SMA überwacht Verbindungen an der Schnittstelle und dem Port, die unter Centralized Services -> Policy, Virus and Outbreak Quarantines (Zentrale Dienste -> Richtlinien, Virus und Outbreak-Quarantäne) definiert sind.  Standardmäßig ist der Port 7025, aber dies wurde möglicherweise vom Administrator-Benutzer geändert!
• Die ESA überwacht Verbindungen auf der Schnittstelle und dem Port, die unter Sicherheitsdienste -> Richtlinien, Virus- und Outbreak-Quarantänen definiert sind.  Auch hier ist der Port standardmäßig 7025, dies wurde jedoch möglicherweise vom Administrator-Benutzer geändert!
• Die SMA verwendet außerdem SSH (über Command Client), um Konfigurationsinformationen von den ESAs abzurufen.  Dies wird insbesondere verwendet, wenn die SMA freigegebene E-Mails an die ESA liefert. Die SMA verwendet SSH, um die ESA-Konfiguration abzufragen und zu bestimmen, an welche Schnittstelle/welchen Port die freigegebene E-Mail gesendet werden soll.

Listener

• Sowohl die ESA als auch die SMA verfügen über einen verborgenen Listener mit dem Namen "cpq_listener", der auf dem angegebenen Port lauscht.
• Diese Listener sind in der Konfigurationsdatei zu sehen.  Beispiele:
  
  

  <listener>
        <listener_name>cpq_listener</listener_name>
        <protocol>CPQ</protocol>
        <interface_name>Incoming Mail</interface_name>
        <port>7025</port>
        <listen_queue_size>50</listen_queue_size>
        <type>private</type>
        <hat>
  $RELAYED
      RELAY {}
  $BLOCKED
      REJECT {}
  RELAYLIST:
      10.1.2.3
          $RELAYED (Only select hosts can relay from this box)
  ALL
      $BLOCKED (Everyone else)
        </hat>
        <rat>
          <rat_entry>
            <rat_address>ALL</rat_address>
            <access>ACCEPT</access>
          </rat_entry>
        </rat>
  
  

• Diese Listener werden ausgesetzt, wenn der Administrator 'Suspendierlistener alle' oder 'Suspendieren' verwendet.  Wenn der Port keine Verbindungen zulässt, sollten Sie überprüfen, ob der Systemstatus "offline" ist, und ggf. den Vorgang fortsetzen.

Fehlerbehebung bei Bereitstellung von ESA an SMA

• Überprüfen Sie, ob die ESA an dem konfigurierten Port und der Schnittstelle eine Verbindung mit der SMA herstellen kann.  Dies ist über Telnet möglich.  Sie sollten einen 220 Banner erhalten, wenn die Kommunikation erfolgreich ist.
• Die ESA verfügt über ein Zielobjekt mit dem Namen 'the.cpq.host', das Nachrichten enthält, während diese in die Warteschlange für die Zustellung an die SMA gestellt werden. Sie können dies mithilfe von 'tophosts' oder 'Monitor -> Delivery Status' sehen.   Sie können damit nicht 'hoststatus' verwenden, aber Sie können 'showempfänger' und 'deleterecipients' verwenden, wenn nötig.

Fehlerbehebung bei Bereitstellung von SMA an die ESA

• Überprüfen Sie, ob SMA über den konfigurierten Port und die Schnittstelle mit der ESA verbunden werden kann.  Auch hier können Sie Telnet verwenden. Bei Erfolg wird das 220-Banner angezeigt.
• Bei der Verwendung von Clustern ist es wichtig, dass die unter Sicherheitsdienste -> Richtlinien-, Virus- und Outbreak-Quarantänen auf Clusterebene definierte Schnittstelle für alle Appliances auf Computerebene vorhanden ist.  (aktivieren Sie Netzwerk -> IP-Schnittstellen).
• Die SMA verfügt über ein Zielobjekt mit dem Namen "the.cpq.release.host", das freigegebene Nachrichten enthält, während sie in die Warteschlange für die Zustellung an die ESA gestellt werden. Dies wird durch "tophosts" angezeigt.  Das scheint nicht mit 'hoststatus' oder 'showempfängern' zu funktionieren, und ich habe 'deleterecipients' damit nicht getestet, aber das funktioniert wahrscheinlich auch nicht.
• Auch bei der SSH-Kommunikation zwischen der SMA und der ESA können Probleme auftreten, die nicht unbedingt netzwerkbasiert sind, z.B. bei CSCus29647 geht eine interne Komponente der SMA außer Betrieb.  Derartige Probleme werden in der Regel als Anwendungsfehler in den E-Mail-Protokollen angezeigt und können in der Regel durch einen Neustart der SMA behoben werden.

TLS/Zertifikate

• Alle CPQ-Verbindungen in beide Richtungen basieren auf TLS, sodass die Konfiguration der Verschlüsselungstechniken eine Rolle spielen kann.
• Damit die TLS-Verbindung erfolgreich hergestellt werden kann, muss das Gerät, das die Verbindung öffnet, überprüfen können, ob das empfangende Gerät unser verstecktes CPQ-Zertifikat verwendet.  Dies kann fehlschlagen, wenn die Appliance eine anonyme Verschlüsselung aushandelt.  Dies würde in den Protokollen wie folgt angezeigt:
  
  

  Mon Apr  1 12:00:00 2014 Info: New SMTP DCID 123456 interface 10.0.0.2 address 10.0.0.1 port 7025
  Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS failed: verify error: no certificate from server
  Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS was required but could not be successfully negotiated
  
  

• Sie können diese Probleme beheben, indem Sie einfach anonyme Chiffren aus der Liste der ausgehenden Zustellchiffren entfernen. Dies geschieht, indem Sie ':-aNULL' zum Ende der Verschlüsselungsliste hinzufügen.  Beispiel: HIGH:MEDIUM:-aNULL

Protokolldatei

• Wenn die SMA über ein Abonnement für E-Mail-Protokolle verfügt (dies ist standardmäßig der Fall), können Sie die E-Mail-Protokolle überprüfen, um weitere Informationen zu erhalten.
• Die CPQ-Empfangsereignisse sehen für Nachrichten, die in die SMA-Quarantäne verschoben werden, und für Nachrichten, die an die ESA weitergeleitet werden, folgendermaßen aus:
  
  

  New CPQ ICID 12345 interface Management (10.10.10.1) address 10.10.20.1 reverse dns host unknown verified no
  
  

• Sie können nach diesen Ereignissen mit grep suchen, z. B. grep "CPQ ICID" mail_logs
• CPQ-Übermittlungsereignisse, sowohl Quarantäne von der ESA als auch Freigabe von Quarantäne von SMA, ähneln jeder anderen Übermittlungsart, mit der Ausnahme, dass der benutzerdefinierte Port aufgeführt ist und einige Zeilen die Bezeichnung "Zentrale Richtlinienquarantäne" enthalten. Beispiel unten:
  
  

  Fri Sep 13 15:08:02 2013 Info: New SMTP DCID 12345 interface 10.10.20.1 address 10.10.10.1 port 7025
  Fri Sep 13 15:08:02 2013 Info: DCID 12345 TLS success protocol TLSv1 cipher RC4-SHA the.cpq.host
  Fri Sep 13 15:08:02 2013 Info: Delivery start DCID 12345 MID 23456 to RID [0] to Centralized Policy Quarantine
  Fri Sep 13 15:08:02 2013 Info: Message done DCID 12345 MID 23456 to RID [0] (centralized policy quarantine)
  Fri Sep 13 15:08:07 2013 Info: DCID 12345 close
  
  

• Sie können diese Ereignisse finden, indem Sie grep verwenden, um nach dem Port zu suchen, z. B.: grep "port 7025" mail_logs

Schaltfläche "Aktivieren" für ESA deaktiviert

Beim Versuch, PVO auf der ESA zu aktivieren, stellen Sie möglicherweise fest, dass die Schaltfläche "Enable" (Aktivieren) ausgegraut ist, obwohl alle erforderlichen Konfigurationsschritte abgeschlossen wurden. Wenn die ESA die PVO-Seite anzeigt, kommuniziert sie mit dem SMA über Port 7025, um zu überprüfen, ob die Konfiguration aktiviert werden kann.  Wenn diese Kommunikation fehlschlägt, wird die Schaltfläche "Aktivieren" deaktiviert.  Sie können diese genau wie jede ESA -> SMA-Port 7025-Kommunikation beheben, indem Sie auf der ESA nach "Port 7025" suchen. Weitere Informationen finden Sie in der TechNote unter Related Information (Zugehörige Informationen).

Zugehörige Informationen

• Anforderungen für den PVO-Migrationsassistenten bei geclusterter ESA
• ESA-Zentralisierung von Richtlinien, Virus und Outbreak-Quarantäne (PVO) kann nicht aktiviert werden