Introducción
Este documento describe cómo resolver problemas y corregir las colas en el dispositivo de seguridad Email Security Appliance (ESA) en caso de que una cuenta de usuario interna se haya visto comprometida y enviado correos electrónicos no solicitados globalmente.
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información de este documento se basa en AsyncOS 7.6 y versiones posteriores para ESA.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Troubleshoot
Es recomendable bloquear la cuenta que envía el spam si se conoce, de lo contrario, bloquear la cuenta una vez descubierta a través de la investigación en el ESA.
Verificaciones de cola de trabajo
Cuando hay un gran número de correos electrónicos en el contador de cola de trabajo y la tasa de correos electrónicos que ingresan al sistema excede con creces la tasa de salida del sistema, esto indica que hay un impacto en la cola de trabajo. Puede utilizar el comando workqueue para realizar la comprobación.
C370.lab> workqueue status
Status as of: Thu Feb 06 12:48:02 2014 GMT
Status: Operational
Messages: 48654
C370.lab> workqueue rate 5
Type Ctrl-C to return to the main prompt.
Time Pending In Out
12:48:04 48654 48 2
12:48:09 48700 31 0
Se conoce el remitente o el asunto de los correos electrónicos de la cola de trabajo
Para eliminar los correos electrónicos que afectan a la cola de trabajo, se recomienda el uso de un filtro de mensajes. El uso de un filtro de mensajes permitirá al ESA actuar sobre estos correos electrónicos al principio de la cola de trabajo en lugar de al final para ayudar con la eliminación de los correos electrónicos en un intervalo más eficiente.
Este filtro se puede utilizar para lograr lo siguiente:
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if (mail-from == 'abc@abc1.com')
{
drop();
}
.
OR
FilterName:
if (subject == "^SUBJECT NAME$")
{
drop();
}
.
Comprobación de cola de entrega
El comando tophosts mostrará los hosts afectados actuales. En un entorno activo, verá que el host del destinatario (la cola de entrega activa actual) se verá afectado por un gran número de destinatarios activos. Para este resultado, el ejemplo es impactedhost.queue.
C370.lab> tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Thu Feb 06 12:52:17 2014 GMT
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1 impactedhost.queue 321550 50 440 75568 8984
2 the.euq.queue 0 0 0 0 0
3 the.euq.release.queue 0 0 0 0 0
Si el host afectado es un dominio de destinatario desconocido donde se requiere más información antes de la eliminación de todos los correos electrónicos, se pueden utilizar los comandos show Receipients, show message y deleterecipients. El comando show Receipients mostrará el ID de mensaje (MID), el tamaño del mensaje, los intentos de entrega, el remitente del sobre, los destinatarios del sobre y el asunto del correo electrónico.
C370.lab> showrecipients
Please select how you would like to show messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 1
Please enter the hostname for the messages you wish to show.
> impactedhost.queue
En caso de que el MID sospechoso en la cola de entrega parezca legítimo, puede utilizar el comando show message para mostrar el origen del mensaje antes de realizar cualquier acción.
C370.lab> showmessage
Enter the MID to show.
[]>
Una vez confirmado como spam, para eliminar estos correos electrónicos, continúe y utilice el comando deleterecipient. El comando proporcionará tres opciones para la eliminación de correo electrónico de la cola de entrega: Por remitente de sobre, Por host de destinatario o Todos los correos electrónicos de la cola de entrega.
C370.lab> deleterecipients
Please select how you would like to delete messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 2
Please enter the Envelope From address for the messages you wish to delete.
[]>
Supervisión y acción proactivas
En la versión 9.0+ de AsyncOS en el ESA, está disponible una nueva condición de filtro de mensajes llamada Regla de repetición de encabezados.
Regla de repetición de encabezado
La regla Repeticiones de encabezado se evalúa como verdadera si en un momento dado, un número especificado de mensajes:
- Con el mismo sujeto se detectan en la última hora.
- Se detectan remitentes del mismo sobre en la última hora.
- header-repeats(<target>, <threshold> [, <direction>])
Para obtener más información sobre esta condición, consulte la Guía de ayuda en línea del dispositivo.
Inicie sesión en la CLI e implemente el filtro para ejecutar esta comprobación y la acción deseada. Un filtro de ejemplo para descartar correos electrónicos o notificar a un administrador cuando se alcanza un umbral.
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if header-repeats('mail-from',1000,'outgoing')
{
drop();
}
.
OR
FilterName:
if header-repeats('subject',1000,'outgoing')
{
notify('admin@xyz.com');
}
.
Información Relacionada
Comentarios