Cómo enviar un mensaje de ejemplo para asegurarse de que el motor antivirus está analizando en un dispositivo de seguridad Cisco Email Security Appliance (ESA)

Opciones de descarga

  • PDF     (322.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (160.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (122.5 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de septiembre de 2017
ID del documento:118175

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo enviar un mensaje de ejemplo para asegurarse de que el antivirus de Sophos o el motor antivirus de McAfee está analizando en un dispositivo Cisco Email Security Appliance (ESA).

    Cómo enviar un mensaje de ejemplo para asegurarse de que el motor antivirus está analizando en un dispositivo de seguridad Cisco Email Security Appliance (ESA)

    Al enviar un mensaje de muestra con una carga viral de prueba a través del ESA, podemos activar el motor antivirus de Sophos o McAfee.  Antes de realizar los pasos enumerados en este documento, deberá configurar su política de correo entrante o saliente y configurar la política de correo para que el antivirus elimine o ponga en cuarentena los mensajes infectados por virus.  Este documento utiliza código ASCII proporcionado desde EICAR (www.eicar.org) que simulará un virus de prueba como adjunto:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    Nota: Según EICAR: este archivo de prueba se ha proporcionado a EICAR para su distribución como "archivo de prueba antivirus estándar EICAR" y cumple todos los criterios enumerados anteriormente. Es seguro pasarlo, porque no es un virus, y no incluye ningún fragmento de código viral. La mayoría de los productos reaccionan como si se tratara de un virus (aunque normalmente lo notifican con un nombre obvio, como "EICAR-AV-Test").

    Creación de un archivo TXT

    Con la cadena ASCII anterior, cree un archivo .txt y coloque la cadena tal como está escrita como el cuerpo del archivo.  Podrá enviar este archivo como datos adjuntos en el mensaje de ejemplo.

    Enviando mensaje de ejemplo

    Dependiendo de cómo trabaje, puede enviar el mensaje de ejemplo a través del ESA de varias maneras.  Dos métodos de ejemplo son a través de UNIX CLI usando el correo o desde Outlook (u otra aplicación de correo electrónico).

    UNIX CLI

    joe@unix.local:~$ echo "TEST MESSAGE w/ ATTACHMENT" | mail -s "A/V test example" -A av.txt bob@av.esa

    Su entorno UNIX deberá configurarse correctamente para enviar o retransmitir correo a través de su ESA.

    Perspectivas

    Con Outlook (u otra aplicación de correo electrónico), tiene dos opciones para enviar el código ASCII a través de: 1) el uso del archivo .txt creado, 2) la pegada directa de la cadena ASCII en el cuerpo del mensaje de correo.

    Uso del archivo .txt como archivo adjunto:

    118175-technote-esa-00-00.png

    Uso de la cadena ASCII en el cuerpo del mensaje de correo:

    118175-technote-esa-00-01.png

    Su Outlook (u otra aplicación de correo electrónico) tendrá que estar correctamente configurado para enviar o retransmitir correo a través de su ESA.

    Verificación

    En la CLI de ESA, utilice el comando tail mail_logs antes de enviar el mensaje de ejemplo.  Mientras observa el registro de correo, verá que McAfee analiza el mensaje y lo identifica como "VIRAL":

    Wed Sep 13 11:42:38 2017 Info: New SMTP ICID 306 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
    Wed Sep 13 11:42:38 2017 Info: ICID 306 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
    Wed Sep 13 11:42:38 2017 Info: Start MID 405 ICID 306
    Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 From: <joe@example.com>
    Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 RID 0 To: <bob@av.esa>
    Wed Sep 13 11:42:38 2017 Info: MID 405 Message-ID '<20170913153801.0EDA1A0121@example.com>'
    Wed Sep 13 11:42:38 2017 Info: MID 405 Subject 'A/V test attachment'
    Wed Sep 13 11:42:38 2017 Info: MID 405 ready 1057 bytes from <joe@example.com>
    Wed Sep 13 11:42:38 2017 Info: MID 405 attachment 'av.txt'
    Wed Sep 13 11:42:38 2017 Info: ICID 306 close
    Wed Sep 13 11:42:38 2017 Info: MID 405 matched all recipients for per-recipient policy my_av in the inbound table
    Wed Sep 13 11:42:38 2017 Info: MID 405 interim AV verdict using McAfee VIRAL
    Wed Sep 13 11:42:38 2017 Info: MID 405 antivirus positive 'EICAR test file'
    Wed Sep 13 11:42:38 2017 Info: MID 405 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
    Wed Sep 13 11:42:38 2017 Info: MID 405 queued for delivery
    Wed Sep 13 11:42:38 2017 Info: New SMTP DCID 239 interface 10.1.2.84 address 10.1.2.87 port 7025
    Wed Sep 13 11:42:38 2017 Info: DCID 239 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
    Wed Sep 13 11:42:38 2017 Info: Delivery start DCID 239 MID 405 to RID [0] to Centralized Policy Quarantine
    Wed Sep 13 11:42:38 2017 Info: Message done DCID 239 MID 405 to RID [0] (centralized policy quarantine)
    Wed Sep 13 11:42:38 2017 Info: MID 405 RID [0] Response 'ok:  Message 49 accepted'
    Wed Sep 13 11:42:38 2017 Info: Message finished MID 405 done
    Wed Sep 13 11:42:43 2017 Info: DCID 239 close

    El mismo mensaje enviado y analizado por Sophos:

    Wed Sep 13 11:44:24 2017 Info: New SMTP ICID 307 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
    Wed Sep 13 11:44:24 2017 Info: ICID 307 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
    Wed Sep 13 11:44:24 2017 Info: Start MID 406 ICID 307
    Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 From: <joe@example.com>
    Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 RID 0 To: <bob@av.esa>
    Wed Sep 13 11:44:24 2017 Info: MID 406 Message-ID '<20170913153946.E20C7A0121@example.com>'
    Wed Sep 13 11:44:24 2017 Info: MID 406 Subject 'A/V test attachment'
    Wed Sep 13 11:44:24 2017 Info: MID 406 ready 1057 bytes from <joe@example.com>
    Wed Sep 13 11:44:24 2017 Info: MID 406 attachment 'av.txt'
    Wed Sep 13 11:44:24 2017 Info: ICID 307 close
    Wed Sep 13 11:44:24 2017 Info: MID 406 matched all recipients for per-recipient policy my_av in the inbound table
    Wed Sep 13 11:44:24 2017 Info: MID 406 interim AV verdict using Sophos VIRAL
    Wed Sep 13 11:44:24 2017 Info: MID 406 antivirus positive 'EICAR-AV-Test'
    Wed Sep 13 11:44:24 2017 Info: MID 406 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
    Wed Sep 13 11:44:24 2017 Info: MID 406 queued for delivery
    Wed Sep 13 11:44:24 2017 Info: New SMTP DCID 240 interface 10.1.2.84 address 10.1.2.87 port 7025
    Wed Sep 13 11:44:24 2017 Info: DCID 240 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
    Wed Sep 13 11:44:24 2017 Info: Delivery start DCID 240 MID 406 to RID [0] to Centralized Policy Quarantine
    Wed Sep 13 11:44:24 2017 Info: Message done DCID 240 MID 406 to RID [0] (centralized policy quarantine)
    Wed Sep 13 11:44:24 2017 Info: MID 406 RID [0] Response 'ok:  Message 50 accepted'
    Wed Sep 13 11:44:24 2017 Info: Message finished MID 406 done
    Wed Sep 13 11:44:29 2017 Info: DCID 240 close

    En este ESA de laboratorio, los 'Mensajes infectados por virus' se configuran para poner en cuarentena la "Acción aplicada al mensaje" en la política de correo particular.  La acción en su ESA puede variar, en función de la acción tomada para los mensajes infectados por virus manejados por el antivirus en su política de correo.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    07-Aug-2014
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Stephan Fiebrandt
      Cisco TAC Engineer
    • Sandeep Minhas
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos