Configuración de ESA beta para aceptar tráfico ESA de producción

Opciones de descarga

  • PDF     (1.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (563.5 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:16 de mayo de 2019
ID del documento:200413

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar un dispositivo de seguridad Cisco Email Security Appliance (ESA) beta para aceptar el tráfico ESA de producción a través de un filtro de mensajes.

    Prerequisites

    Requirements

    No hay requisitos específicos para este documento.

    Componentes Utilizados

    Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar dispositivo beta

    Configuración del Receptor para Beta ESA

    La configuración inicial del receptor debe completarse en el ESA beta.

    1. Desde la GUI, navegue hasta Network > Listeners.
    2. Haga clic en Agregar receptor...
    3. Asigne un nombre y configure un receptor público que se ejecute en el puerto TCP 25.
    4. Haga clic en Enviar para guardar los cambios en el receptor público.
    5. Repita los mismos pasos y agregue un segundo receptor.
    6. Asigne un nombre y configure un receptor privado que se ejecute en el puerto TCP 26. (Este receptor se utiliza para el correo saliente.) Puede utilizar el puerto 25 si hay una interfaz adicional disponible y configurada para su entorno. El entorno CES Hosted Beta tiene reservado el puerto 587 para el tráfico saliente.
    7. Enviar para guardar los cambios en el receptor.
    8. Confirme que desea guardar todos los cambios realizados en la configuración.

    Grupo de Remitentes para ESA Beta

    Para el tráfico transmitido o los mensajes salientes, agregue las direcciones IP apropiadas para el ESA beta para aceptar y transmitir mensajes del ESA de producción.

    1. Desde la GUI, navegue hasta Políticas de correo > Descripción general de HAT.
    2. Seleccione el grupo de remitentes de retransmisión con el nombre adecuado. (Normalmente se denomina RELAY o RELAYLIST.)
    3. Haga clic en Agregar remitente...
    4. Para el remitente, utilice la dirección IP del ESA de producción.
    5. Introduzca los comentarios administrativos que sean necesarios.
    6. Enviar para guardar los cambios en el Grupo de remitentes de retransmisión.
    7. Confirme que desea guardar todos los cambios realizados en la configuración.

    Rutas de protocolo simple de transferencia de correo (SMTP) para ESA beta

    Los cambios de ruta SMTP que deben realizarse en el ESA beta son los siguientes:

    1. Desde la GUI, navegue hasta Red > Rutas SMTP.
    2. Si hay rutas SMTP actuales, es posible que deba seleccionarlas y Eliminar antes de continuar. (Asegúrese de revisar la Guía de configuración de Beta Lab.)
    3. Haga clic en Agregar ruta...
    4. Establezca el Dominio de recepción como cisco.com y el Destino como USEDNS.
    5. Haga clic en Submit (Enviar).
    6. Repita los mismos pasos y agregue una segunda ruta SMTP.
    7. Establezca el Dominio de recepción para ironport.com y el Destino como USEDNS.
    8. Haga clic en Submit (Enviar).
    9. Por último, seleccione Todos los demás dominios del dominio de recepción.
    10. Establezca el Destino como /dev/null. (Esto evita el enrutamiento de correo desde el dispositivo Beta para los dominios no configurados.)
    11. Haga clic en Submit (Enviar).
    12. Confirme que desea guardar todos los cambios realizados en la configuración.

    En este momento, las rutas SMTP en el dispositivo Beta son como se muestra en la imagen:

    Nota: agregue las rutas apropiadas para enviar correos electrónicos a los usuarios finales de prueba para dominios según sea necesario.

    Relay entrante para ESA beta

    La configuración de retransmisión entrante permite que la beta recupere la puntuación SBRS más allá de la del ESA de producción.

    La mayoría de las configuraciones funcionarán con un salto.

    1. GUI, vaya a Network Incoming Relay.
    2. Haga clic en "Activar" para que se vuelva de color blanco.
    3. Haga clic en Agregar retransmisión.
    4. "Nombre" elija un nombre.
    5. Valor de "dirección IP" del ESA de producción que se entrega al ESA beta. Se acepta un nombre de host parcial si se entregan varios hosts.
    6. "Salto:" 1
    7. Enviar y registrar cambios

    Retransmisión entrante: estado deshabilitado.

    Retransmisión entrante: estado habilitado, de color blanco.

    Relay entrante: plantilla de ejemplo

    Transmisión entrante: vista de resumen tras el envío.

    Entrada de registro de correo de ejemplo:

    Lun 8 Abr 12:48:28 2019 Info: MID 2422822 IncomingRelay(PROD_hc2881-52): Se ha encontrado el encabezado recibido, se está utilizando IP 54.240.35.22, país SBRS 3.5 Estados Unidos

    Habilitar encabezados de registro para capturar el veredicto de spam en los registros de correo

    • WebBui > Administración del sistema > Suscripciones de registro > Configuración global (inferior) > Encabezados >(agregar)   X-IronPort-Anti-Spam-Result

    Registrar encabezados de spam en registros de correo

    FINAL DE LA CONFIGURACIÓN DEL LADO BETA.

    Configurar dispositivo de producción

    Precaución: está a punto de realizar cambios en un ESA de producción. Asegúrese de realizar una copia de seguridad de la configuración actual.

    1. Desde la GUI, navegue hasta Administración del sistema > Archivo de configuración.
    2. En la sección Configuración actual, seleccione una de las opciones para realizar una copia de seguridad de la configuración actual como archivo: 
      • Descargue el archivo en el equipo local para verlo o guardarlo.
      • Enviar un correo electrónico a: <your_email_address@domain.com>
    3. Haga clic en Submit (Enviar).

    Rutas SMTP para ESA de producción

    Se deben agregar rutas SMTP para permitir BCC para todos los correos electrónicos entrantes y salientes desde el ESA de producción al ESA beta. Para este ejemplo, se utilizan inbound.beta.com y outbound.beta.com.

    1. Desde la GUI, navegue hasta Red > Rutas SMTP.
    2. Haga clic en Agregar ruta...
    3. Establezca Dominio de recepción como inbound.beta.com con Destino como la dirección IP del Receptor público del dispositivo beta creado anteriormente, con el puerto establecido en 25.
    4. Haga clic en Enviar para guardar los cambios a esta nueva ruta SMTP.
    5. Repita los mismos pasos, Add Route...
    6. Establezca el dominio de recepción como outbound.beta.com, los hosts de destino como la dirección IP del receptor privado del dispositivo beta creado anteriormente y el puerto en 26.
    7. Enviar para guardar los cambios realizados en esta nueva ruta SMTP.
    8. Confirme que desea guardar todos los cambios realizados en la configuración.

    En este momento, las rutas SMTP en el ESA de producción como se muestra en la imagen:

    Creación de perfil de rebote

    Una combinación de perfil de rebote y perfil de control de destino protegerá el flujo de correo de producción de las complicaciones asociadas con retrasos o fallos en la entrega de mensajes a los hosts beta. Esta configuración sólo se aplicará a los mensajes beta.

    1. Desde la GUI, navegue hasta Red > Perfiles de rebote > Agregar perfil de rebote.
    2. Número máximo de reintentos: 15
    3. Tiempo máximo en cola: 130
    4. Tiempo inicial de espera por mensaje: 60
    5. Tiempo máximo de espera por mensaje: 60
    6. Enviar mensajes de rebote duro: NO
    7. Enviar mensajes de advertencia de retraso: NO
    8. Utilizar firma de clave de dominio para mensajes de rebote y retraso: NO
    9. Enviar para guardar los cambios realizados en este nuevo perfil de rebote.
    10. Compromiso para guardar todos los cambios en la configuración. 

    Creación de perfil de rebote

    Nota: Los valores numerados anteriores se configuran de forma muy agresiva para evitar las copias de seguridad de la cola de entrega en caso de que se produzca una interrupción en la entrega a los hosts beta. Los valores se pueden modificar según sus preferencias. La configuración de notificación se establece intencionadamente en NO para evitar que las notificaciones de usuario se envíen desde los filtros BCC. 

    Creación de perfiles de controles de destino

    1. Desde la GUI, navegue hasta Políticas de correo > Controles de destino > Agregar destino.
    2. Destino: inbound.beta.com
    3. Verificación de rebote: > Realizar etiquetado de dirección: NO > o Predeterminado (NO)
    4. Perfil de rebote: BETA_BOUNCE
    5. Los otros valores se pueden configurar según las preferencias del administrador.
    6. Enviar para guardar los cambios realizados en este nuevo perfil de control de destino.
    7. Repita los pasos del 2 al 6 con Destination (Destino): outbound.beta.com
    8. Enviar para guardar los cambios realizados en este nuevo perfil de control de destino.
    9. Confirme que desea guardar todos los cambios realizados en la configuración.

    Agregue perfiles de control de destino.Vista de resumen de los nuevos perfiles de control de destino.

    Construcción de filtros de mensajes para ESA de producción

    Desde la CLI en el ESA de producción, cree un filtro de mensajes que pueda enviar correos electrónicos CCO al receptor adecuado en el ESA beta.

    1. Vaya a Filtros > NUEVO.
    2. Copie y pegue este ejemplo de filtro de mensajes y realice los cambios necesarios: 
      bcc-EFT: if sendergroup == "RELAY" {
       bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "outbound.beta.com");
       log-entry("<=====BCC COPY TO BETA ESA=====>");
       } else {
       bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "inbound.beta.com");
       log-entry("<=====BCC COPY TO BETA ESA=====>");
      }
      .
    3. Vuelva hasta que vuelva al indicador principal de CLI.
    4. Confirme que desea guardar todos los cambios realizados en la configuración.

    Nota: Limite el tráfico copiado en el filtro de mensajes según el grupo de remitentes, el receptor de recepción, el remitente de correo u otras reglas y sintaxis disponibles. Consulte la guía del usuario de ESA para obtener el resumen completo de reglas de filtro de mensajes y reglas de filtro.

    Creación de perfil de rebote

    Creación de perfiles de controles de destino

    Verificación

    Utilize esta sección para confirmar que su configuración funcione correctamente.

    En este momento, el dispositivo Beta acepta el tráfico de correo electrónico del dispositivo de producción. Para verificar desde CLI en el dispositivo Beta, ejecute tail mail_logs:

    Wed Mar 23 17:28:43 2016 Info: New SMTP ICID 2 interface Management (172.18.250.222) address 172.18.250.224 reverse dns host dhcp-172-18-250-224.cisco.com verified yes
    Wed Mar 23 17:28:43 2016 Info: ICID 2 RELAY SG RELAY match 172.18.250.1/24 SBRS not enabled
    Wed Mar 23 17:28:43 2016 Info: Start MID 2 ICID 2
    Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 From: <test@test.com>
    Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 RID 0 To: <robsherw@ironport.com>
    Wed Mar 23 17:28:43 2016 Info: MID 2 Message-ID '<a033ed$2@9.9.5-038.local>'
    Wed Mar 23 17:28:43 2016 Info: MID 2 Subject 'TEST 2'
    Wed Mar 23 17:28:43 2016 Info: MID 2 ready 320 bytes from <test@test.com>
    Wed Mar 23 17:28:43 2016 Info: MID 2 matched all recipients for per-recipient policy DEFAULT in the outbound table
    Wed Mar 23 17:28:43 2016 Info: MID 2 queued for delivery
    Wed Mar 23 17:28:43 2016 Info: New SMTP DCID 3 interface 172.18.250.222 address 173.37.93.161 port 25
    Wed Mar 23 17:28:43 2016 Info: Delivery start DCID 3 MID 2 to RID [0]
    Wed Mar 23 17:28:44 2016 Info: Message done DCID 3 MID 2 to RID [0]
    Wed Mar 23 17:28:44 2016 Info: MID 2 RID [0] Response '2.0.0 u2NHSipG018673 Message accepted for delivery'
    Wed Mar 23 17:28:44 2016 Info: Message finished MID 2 done
    Wed Mar 23 17:28:48 2016 Info: ICID 2 close
    Wed Mar 23 17:28:49 2016 Info: DCID 3 close

    La comunicación SMTP se establece en 172.18.250.222 (dispositivo beta). La dirección desde la que se envía el tráfico es 172.18.250.224 (Dispositivo de producción).

    El Grupo de Enviadores que recibe la comunicación es RELAY, que retransmite el tráfico desde la red 172.18.250.1/24.

    El resto es la comunicación del mensaje TEST 2.

    En el dispositivo Production, verifique y ejecute tail mail_logs.  La MID procesada en Producción mostraría:

    Wed Mar 23 14:50:10 2016 Info: MID 242 was generated based on MID 241 by bcc filter 'bcc-EFT'

    Se trataría de una división clara del mensaje de correo electrónico tal y como se recibió y se enviaría por CCO al dispositivo beta y al usuario final de prueba tal y como se esperaba para la recepción.

    Troubleshoot

    Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

    Additional Information

    Se puede considerar un filtro de contenido para ayudar a diferenciar el tráfico de correo electrónico de producción frente al tráfico de correo electrónico beta para los usuarios finales de prueba.

    1. Desde la GUI en el ESA Beta, navegue hasta Políticas de correo > Filtros de contenido entrante o Políticas de correo > Filtros de contenido saliente.
    2. Construya un filtro de contenido básico para realizar una acción de Agregar/Editar encabezado.
    3. Haga clic en Enviar para guardar los cambios en el filtro de contenido construido.
    4. Políticas de correo > Políticas de correo entrante o Políticas de correo > Políticas de correo saliente, habilite y agregue el nuevo filtro de contenido al nombre de la política.
    5. Haga clic en Enviar para guardar el filtro de contenido en esa política.
    6. Haga clic en Commit para guardar todos los cambios en la configuración.

    En este momento, el filtro de contenido en el ESA beta es como se muestra en las imágenes:

    Ahora, cuando se recibe un mensaje de correo electrónico en el ESA Beta, puede ver esto en la línea Asunto del correo electrónico una vez procesado, como se muestra en la imagen:

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    30-Mar-2016
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Robert Sherwin
      Cisco TAC Engineer
    • Chris Arellano
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos