Determinación de disposición de mensajes ESA

Opciones de descarga

  • PDF     (260.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (85.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (69.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:26 de junio de 2014
ID del documento:117853

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo determinar la disposición de un mensaje con los registros de correo recuperados de varios comandos en el dispositivo de seguridad Cisco Email Security Appliance (ESA).

Prerequisites

La información de este documento se basa en:

  • ESA
  • Todas las versiones de AsyncOS

Rastreo de mensajes

Si ejecuta AsyncOS para la versión de correo electrónico 6.0 o posterior, la forma más eficaz de determinar qué ha ocurrido con un mensaje determinado es utilizar la página Rastreo de mensajes de la ficha Monitor. Esto le permite buscar con una variedad de opciones en una interfaz web fácil de usar.

Si ejecuta una versión anterior o necesita recopilar todas las líneas de registro para solucionar problemas, utilice los comandos grep o findevent como se detalla en las siguientes secciones.

Comando Findevent

Si tiene AsyncOS para la versión 5.1.2 o posterior del correo electrónico, el comando findevent de la CLI facilita la búsqueda de un mensaje específico. Findevent permite buscar por el sobre de, el destinatario del sobre o el asunto del mensaje. Esto también se puede hacer independientemente del caso. Una vez que encuentre el mensaje, puede devolver todas las líneas del registro relevantes para ese mensaje. Si ejecuta findevent sin argumentos, inicia un asistente para guiarle a través del proceso. Como siempre, puede utilizar el comando help para aprender la forma corta:

> help findevent
findevent [-i] [-f from | -s subject | -t to] log_name
findevent -m mid log_name

El primer formulario realiza una búsqueda de un sobre específico desde, asunto o sobre hasta dentro del nombre log_name y enumera los ID de mensaje (MID) que coinciden. El indicador -i se puede utilizar para búsquedas que no distinguen entre mayúsculas y minúsculas.

El segundo formulario muestra todas las líneas de registro para la MID dada.

Si tiene una versión anterior, se puede utilizar el comando CLI grep para lograr lo mismo. Sin embargo, el uso del comando grep requiere un conocimiento más detallado de cómo los ESA registran los eventos de mensajes.

Comando Grep

El primer desafío al buscar registros de correo es encontrar su mensaje. Puede hacerlo si busca al remitente, al destinatario o al asunto. Una vez que haya encontrado el mensaje, es importante entender cómo se organizan los registros de correo. Los eventos de registro de correo de Seguridad de contenido reciben acrónimos. Los eventos más importantes son ICID, MID, RID y DCID.

ID de conexión de inyección (ICID): cuando un host remoto establece una conexión con el dispositivo, a esa conexión se le asigna un ICID. Un ICID puede generar muchos MID.

Nota: ICID 0 define un mensaje que fue inyectado desde sí mismo. De hecho, el número 0 después de un ICID o DCID se refiere a las sesiones abiertas hacia o desde la dirección de loop local del dispositivo.

MID: una vez establecida la conexión, cada correo SMTP (protocolo simple de transferencia de correo) desde: crea un nuevo MID. Una sola MID puede generar muchos RID.

ID de destinatario (RID): cada destinatario (To: Cc: o Bcc) obtiene un RID. Los RID solo generan varios DCID si hay un rebote suave (error de conexión) y se vuelve a intentar la entrega.

ID de conexión de entrega (DCID): cada destinatario que va al mismo dominio de destino recibe el mismo DCID hasta los límites del sistema receptor. Por lo tanto, si todos los destinatarios de un mensaje van al mismo dominio, entonces hay un DCID para todos los RID. Si, en cambio, cada RID va a un dominio separado, entonces hay una correlación uno a uno.

Nota: DCID 0 define un mensaje que nunca se envió. De hecho, el número 0 después de un ICID o DCID se refiere a las sesiones abiertas hacia o desde la dirección de loop local del dispositivo.

Generalmente, cuando encuentra su mensaje, encuentra su MID. A continuación, vaya rápido para la MID y determine el ICID y el RID. Con el ICID, puede determinar el SenderBase Reputation Score (SBRS) para el remitente. Con el RID y luego el DCID, puede determinar qué sucedió cuando el ESA intentó la entrega.

Nota: Una vez que tenga el MID, ICID y DCID, puede recuperar todas las filas para ese mensaje en un grep, si el origen del mensaje no es anterior a su registro de correo más antiguo.

example.com> grep -e " MID 11123" -e " ICID 11092" -e " DCID 23349" mail_logs

Ejemplo:

  1. Busque el asunto del mensaje:

    example.com> grep
    Currently configured logs:
    16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
    Enter the number of the log you wish to grep.
    []> 16
    Enter the regular expression to grep.
    []> test
    Do you want this search to be case insensitive? [Y]>
    Do you want to tail the logs? [N]>
    Do you want to paginate the output? [N]>
    Mon Jan 23 10:25:03 2006 Info: SMTP listener testpairlist starting
    Tue Jan 24 12:10:15 2006 Info: Message aborted MID 8 Dropped by filter
    'testdrop'
    Tue Jan 31 23:55:38 2006 Info: MID 32 Subject 'testmsgquarantine'
    Wed Feb 1 00:23:59 2006 Info: MID 62 Subject 'testmsgquarantine'
    Wed Feb 1 00:27:48 2006 Info: MID 64 Subject 'testmsg2'
    Wed Feb 1 22:30:37 2006 Info: MID 80 Subject 'test zip'
    Wed Feb 1 22:37:51 2006 Info: MID 83 Subject 'FW: test zip'
    Wed Feb 1 22:41:50 2006 Info: MID 84 Subject 'FW: test zip'
    Fri Feb 3 15:17:47 2006 Info: MID 94 Subject 'test'
    Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'


    Esto generó varias coincidencias que contenían test en el sujeto. El mensaje se envió aproximadamente a las 3:42 p.m., por lo que puede utilizar la MID para la siguiente búsqueda.

    Estos son algunos puntos importantes a tener en cuenta sobre las preguntas:

    • ¿Desea que esta búsqueda no distinga entre mayúsculas y minúsculas? [Y]>
      Si responde a esta pregunta, encontrará entradas independientemente del caso.

    • ¿Quieres seguir los registros? [N]>
      Si responde a esta pregunta, sólo encontrará las entradas nuevas a medida que se generan. No busca en todos los archivos de registro. Elija No para buscar todos los registros.

    • ¿Desea paginar el resultado? [N]>
      Si responde a esta pregunta, las entradas se mostrarán de página en página. Esto es útil si necesita realizar una búsqueda general y espera recuperar muchas entradas. Esto impide que las entradas se desplacen fuera de la pantalla.


  2. Busque la MID:

    mail.example.com> grep
    Currently configured logs:
    16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
    Enter the number of the log you wish to grep.
    []> 16
    Enter the regular expression to grep.
    []> MID 96
    Do you want this search to be case insensitive? [Y]>
    Do you want to tail the logs? [N]>
    Do you want to paginate the output? [N]>
    Fri Feb 3 15:41:43 2006 Info: Start MID 96 ICID 10394
    Fri Feb 3 15:41:43 2006 Info: MID 96 ICID 10394 From: <bob@example.net>
    Fri Feb 3 15:41:58 2006 Info: MID 96 ICID 10394 RID 0 To:
    <nasir@example.com>
    Fri Feb 3 15:42:06 2006 Info: MID 96 Message-ID
    <4o8836$30@mail.example.com>
    Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
    Fri Feb 3 15:42:06 2006 Info: MID 96 ready 23 bytes from
    <bob@example.net>
    Fri Feb 3 15:42:06 2006 Info: MID 96 matched all recipients for
    per-recipient policy DEFAULT in the outbound table
    Fri Feb 3 15:42:06 2006 Info: MID 96 antivirus negative
    Fri Feb 3 15:42:06 2006 Info: MID 96 queued for delivery
    Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
    Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
    Fri Feb 3 15:42:06 2006 Info: MID 96 RID [0] Response '2.6.0
    <4o8836$30@mail.example.com> Queued mail for delivery'
    Fri Feb 3 15:42:06 2006 Info: Message finished MID 96 done


    Observe que las entradas MID proporcionan más información sobre cómo se procesa el mensaje. Las entradas MID también hacen referencia a ICID y DCID. Si desea saber más sobre la conexión entrante, grep para el ICID. Si desea saber más sobre lo que sucedió cuando el ESA intentó la entrega, grep para el DCID.

  3. Para determinar dónde se entregó el mensaje, busque el DCID.

    mail.example.com> grep
    Currently configured logs:
    16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
    Enter the number of the log you wish to grep.
    []> 16
    Enter the regular expression to grep.
    []> DCID 14
    Do you want this search to be case insensitive? [Y]>
    Do you want to tail the logs? [N]>
    Do you want to paginate the output? [N]>
    Fri Feb 3 15:42:06 2006 Info: New SMTP DCID 14 interface 192.168.0.199
    address 10.1.1.112 port 25
    Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
    Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
    Fri Feb 3 15:42:11 2006 Info: DCID 14 close


    Observe que el mensaje fue entregado desde la interfaz 192.168.0.199 al host con la dirección IP 10.1.1.112 sobre el puerto 25.

    Si no se intentó la entrega, pero el mensaje se puso en cola para entrega, indica que el sistema podría tener dificultades en las comunicaciones con el servidor de destino. Puede utilizar hoststatus desde la CLI para ver si el estado del host del destinatario es Down y para verificar que las IP ordenadas coincidan con sus rutas SMTP para el dominio de destino o los registros MX públicos, según corresponda.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
26-Jun-2014
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Nasir Shakour and Robert Sherwin
    Cisco TAC Engineers.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos