ESA/CES-Quarantänereihenfolge bei Markierung durch mehrere Services

Download-Optionen

  • PDF     (429.6 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (255.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (196.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:23. Juni 2020
Dokument-ID:214588

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird das Verhalten der Cisco E-Mail Security Appliance (ESA) und Cloud E-Mail Security (CES) beschrieben, wenn eine E-Mail zur Quarantäne durch mehrere Dienste gekennzeichnet wird. Außerdem wird der E-Mail-Fluss durch den Rest der E-Mail-Pipeline beschrieben.

    Voraussetzungen

    Anforderungen

    Es gibt keine spezifischen Anforderungen für dieses Dokument.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf der Cisco ESA mit der Version AsyncOS 12.1.0.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    E-Mails, die zur Filterung die Cisco ESA- und CES-Geräte durchlaufen, folgen der Pipeline für die E-Mail-Arbeitswarteschlange. Die Pipeline ist statisch, und wenn mehrere Aktionen von mehreren Diensten definiert wurden, um eine E-Mail für die Quarantänen zu markieren, folgt sie nicht der Bestellung gemäß der Pipeline, sondern wird von der ESA/CES mit einer eigenen Bestellung in Quarantäne gestellt.

    Hinweis: E-Mails, die mit Aktionen gekennzeichnet sind, die auf (Finale Aktion) gesetzt sind, haben sofort Vorrang und beenden die Verarbeitung der Arbeitswarteschlange.

    Was geschieht mit der E-Mail, wenn sie von mehreren Quarantänediensten gekennzeichnet wird?

    Die E-Mail wird zuerst in die Quarantäne des Policy Virus Outbreak (PVO) gesetzt. Es gibt keine bestimmte Reihenfolge für die Richtlinienquarantäne, da das PVO jede andere Quarantäne auflistet, in der die E-Mail ebenfalls gespeichert ist. Nachdem die E-Mail aus einer der PVO-Quarantänen entlassen wurde, wird sie in der jeweiligen Quarantäne gehalten, die markiert werden soll.

    Nachdem die E-Mail freigegeben wurde (entweder manuell oder über den Timer, für den die Standardaktion auf "release" (Freigeben) festgelegt ist), werden die E-Mails in die Spam-Quarantäne verschoben. Wenn die E-Mail aus der Spam-Quarantäne entlassen wird, wird sie in die Zustellungswarteschlange gestellt, wo sie anschließend zugestellt wird.

    Hinweis: Eine E-Mail, die aus einer PVO-Quarantäne gelöscht wird, entfernt die E-Mail auch aus allen nachfolgenden Quarantänen.

    • Nachrichten, die von der Quarantäne für Richtlinien und Viren freigesetzt werden, werden von den Antivirus-, Advanced Malware Protection- und Graumail-Engines erneut gescannt.
    • Von der Outbreak-Quarantäne freigegebene Nachrichten werden von den Anti-Spam-, Anti-Virus- und AMP-Engines erneut gescannt.
    • Nachrichten, die aus dem Quarantänebereich für die Dateianalyse freigegeben wurden, werden erneut auf Bedrohungen gescannt.
    • Nachrichten mit Anhängen werden vom Dateireputations-Service bei der Freigabe aus der Richtlinien-, Virus- und Outbreak-Quarantäne erneut gescannt.

    Erste E-Mail-Injektion mit Filterung durch die ESA. In dieser Ausgabe sehen Sie, dass sie von der Spam-Quarantäne, der Virus-Quarantäne und der Richtlinien-Quarantäne markiert wird:

    Thu Jun 27 12:51:03 2019 Info: Start MID 378951 ICID 391696
    Thu Jun 27 12:51:03 2019 Info: MID 378951 ICID 391696 From: <matt@lee2.com>
    Thu Jun 27 12:51:10 2019 Info: MID 378951 ICID 391696 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:51:14 2019 Info: MID 378951 Subject 'Test email with AV EICAR and other triggers'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 ready 3292 bytes from <matt@lee2.com>
    Thu Jun 27 12:51:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim verdict using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: MID 378951 using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:51:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:51:15 2019 Info: MID 378951 attachment 'testAV.txt'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 URL https://ihaveabadreputation.com has reputation -9.3 matched Condition: URL Reputation Rule
    Thu Jun 27 12:51:15 2019 Info: MID 378951 Custom Log Entry:  - Match whole word filter
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Policy" (content filter:contnet_quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Virus" (a/v verdict:VIRAL)
    Thu Jun 27 12:51:15 2019 Info: Message finished MID 378951 done
    Thu Jun 27 12:51:15 2019 Info: ICID 391696 close

    Sobald die E-Mail in der Quarantäne untersucht wurde, werden die in der von Ihnen markierten PVO-Quarantäne gehaltenen E-Mails sowie alle anderen Quarantänen angezeigt, für die sie markiert sind.

    Nach der Freigabe aus dieser Quarantäne protokolliert es dieses Ereignis in Ihrem mail_logs und gibt an, dass es in der anderen Quarantäne nicht mehr verfügbar ist.

    Thu Jun 27 12:52:59 2019 Info: MID 378951 released from quarantine "Virus" (manual) t=104

    Beenden Sie die E-Mail-Nachricht aus der PVO-Quarantäne, sodass die E-Mails anschließend in die gekennzeichnete Spam-Quarantäne verschoben werden können.

    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from quarantine "Policy" (manual) t=180
    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from all quarantines
    Thu Jun 27 12:54:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:54:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:54:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:54:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:54:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:54:15 2019 Info: MID 378951 queued for delivery
    Thu Jun 27 12:54:15 2019 Info: RPC Delivery start RCID 13914 MID 378951 to local IronPort Spam Quarantine
    Thu Jun 27 12:54:15 2019 Info: ISQ: Quarantined MID 378951
    Thu Jun 27 12:54:15 2019 Info: RPC Message done RCID 13914 MID 378951
    Thu Jun 27 12:54:15 2019 Info: Message finished MID 378951 done

    Nach der endgültigen Freigabe des Spam-Quarantänebereichs wird die E-Mail an die Zustellungswarteschlange weitergeleitet.

    Thu Jun 27 12:55:33 2019 Info: Start MID 378952 ICID 0 (ISQ Released Message)
    Thu Jun 27 12:55:33 2019 Info: ISQ: Reinjected MID 378951 as MID 378952
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 From: <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 Subject '[WARNING: MALWARE DETECTED][SPAM] Test email with AV EICAR'
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ready 9661 bytes from <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 queued for delivery

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    01-Jul-2019
    Erstveröffentlichung

    Beigetragen von

    • Mathew Huynh
      Cisco Advance Services

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.