Introducción
Este documento describe cómo probar la opción de modificación de mensajes de filtros de brote de virus (OF) para la reescritura de URL.
Antecedentes
Si el nivel de amenaza del mensaje excede el umbral de modificación del mensaje, la función Filtros de brote de virus reescribe todas las URL del mensaje para redirigir al usuario a la página de inicio del proxy de seguridad web de Cisco si hacen clic en cualquiera de ellas. AsyncOS reescribe todas las URL dentro de un mensaje excepto las que apuntan a dominios omitidos.
Las siguientes opciones están disponibles para la reescritura de URL:
- Habilitar sólo para mensajes sin firmar. Esta opción permite a AsyncOS reescribir URL en mensajes no firmados que cumplen o exceden el umbral de modificación del mensaje, pero no mensajes firmados. Cisco recomienda utilizar esta configuración para la reescritura de URL.
Nota: El dispositivo Email Security puede reescribir las URL en un mensaje firmado por DKIM/DomainKeys e invalidar la firma del mensaje si un servidor o dispositivo de su red que no sea el dispositivo Email Security es responsable de verificar la firma DomainKeys/DKIM. El dispositivo considera un mensaje firmado si está cifrado mediante S/MIME o si contiene una firma S/MIME.
-
El dispositivo Email Security puede reescribir las URL en un mensaje firmado por DKIM/DomainKeys e invalidar la firma del mensaje si un servidor o dispositivo de su red que no sea el dispositivo Email Security es responsable de verificar la firma DomainKeys/DKIM.
El dispositivo considera un mensaje firmado si está cifrado mediante S/MIME o si contiene una firma S/MIME.
- Habilitar para todos los mensajes. Esta opción permite a AsyncOS reescribir URL en todos los mensajes que cumplen o exceden el umbral de modificación del mensaje, incluidos los firmados. Si AsyncOS modifica un mensaje firmado, la firma se vuelve inválida.
- Inhabilitar. Esta opción inhabilita la reescritura de URL para los filtros de brote de virus.
Puede modificar una política para excluir de la modificación las direcciones URL de ciertos dominios. Para omitir dominios, introduzca la dirección IPv4, la dirección IPv6, el intervalo CIDR, el nombre de host, el nombre de host parcial o el dominio en el campo Omitir escaneo de dominios. Separe varias entradas utilizando comas.
La función Omitir escaneo de dominio es similar, pero independiente, a la lista de permitidos global utilizada por el filtrado de URL. Para obtener más información sobre esa lista de permitidos, consulte "Creación de listas blancas para el filtrado de URL" en la Guía del usuario de ESA.
Prueba de reescritura de URL del filtro de brotes
Hay dos opciones para probar el uso de ESA.
Prueba de la primera parte
Incluya una URL maliciosa en el cuerpo del correo electrónico. URL de prueba segura que se puede utilizar:
http://malware.testing.google.test/testing/malware/
Cuando se envía, el ejemplo de registros de correo debe contener similar a lo siguiente:
Tue Jul 3 09:31:38 2018 Info: MID 185843 Outbreak Filters: verdict positive
Tue Jul 3 09:31:38 2018 Info: MID 185843 Threat Level=5 Category=Malware Type=Malware
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten to MID 185844 by url-threat-protection filter 'Threat Protection'
Tue Jul 3 09:31:38 2018 Info: Message finished MID 185843 done
Tue Jul 3 09:31:38 2018 Info: MID 185844 Virus Threat Level=5
Tue Jul 3 09:31:38 2018 Warning: MID 185844 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul 3 09:31:38 2018 Info: MID 185844 rewritten to MID 185845 by add-heading filter 'Heading Stamping'
Tue Jul 3 09:31:38 2018 Info: Message finished MID 185844 done
Tue Jul 3 09:31:38 2018 Info: Message finished MID 185846 done
Tue Jul 3 09:31:38 2018 Info: MID 185845 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Malware: Malware)
Tue Jul 3 09:31:38 2018 Info: MID 185845 queued for delivery
Tenga en cuenta que los registros de correo nos muestran "URL reescrita", indicando que OF ha reescrito esta URL a través del proxy de seguridad web de Cisco. Además, tenga en cuenta que el mensaje puede estar en la cuarentena de brotes, como se muestra aquí en nuestro ejemplo.
El resultado final tendrá el cuerpo del correo electrónico entregado que muestra lo siguiente:
Cuando el usuario final recibe el correo electrónico, hace clic en la URL reescrita, se redirige al proxy de seguridad web de Cisco y consulte:
Nota: "No se puede generar la vista previa del sitio" se mostrará en función del HTML/codificación de la URL o el sitio web original. Un sitio web con CSS, paneles HTML o representación compleja no podrá generar una vista previa del sitio.
Prueba de la segunda parte
La segunda opción es incluir datos con el cuerpo del correo electrónico o el archivo adjunto para tener el activador OF.
Hay dos opciones para tener éxito:
- Cree un archivo (el archivo de texto simple lo hará) con el nombre "hello.voftest" entre el tamaño de 25000 y 30000 bytes, y adjunte ese archivo al correo electrónico de prueba. Esto activará las reglas de conexión de virus.
- Coloque el siguiente texto de cadena de prueba de 72 bytes GTUBE ("Prueba genérica de correo electrónico masivo no solicitado") en el cuerpo de un correo electrónico:
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTPHISH-STANDARD-ANTI-PHISH-TEST-EMAIL*C.34X
Esto activará las reglas OF y phish. El ejemplo de registros de correo debe contener algo similar a lo siguiente:
Tue Jul 3 09:44:12 2018 Info: MID 185880 Outbreak Filters: verdict positive
Tue Jul 3 09:44:12 2018 Info: MID 185880 Threat Level=5 Category=Phish Type=Phish
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten to MID 185881 by url-threat-protection filter 'Threat Protection'
Tue Jul 3 09:44:12 2018 Info: Message finished MID 185880 done
Tue Jul 3 09:44:12 2018 Info: MID 185881 Virus Threat Level=5
Tue Jul 3 09:44:12 2018 Warning: MID 185881 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul 3 09:44:12 2018 Info: MID 185881 rewritten to MID 185882 by add-heading filter 'Heading Stamping'
Tue Jul 3 09:44:12 2018 Info: Message finished MID 185881 done
Tue Jul 3 09:44:13 2018 Info: MID 185882 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Phish: Phish)
Tue Jul 3 09:44:13 2018 Info: MID 185882 queued for delivery
Tenga en cuenta que los registros de correo nos muestran "URL reescrita", indicando que OF ha reescrito esta URL a través del proxy de seguridad web de Cisco. Además, tenga en cuenta que el mensaje puede estar en la cuarentena de brotes, como se muestra aquí en nuestro ejemplo.
El resultado final tendrá el cuerpo del correo electrónico entregado que muestra lo siguiente:
Cuando el usuario final recibe el correo electrónico, hace clic en la URL reescrita, se redirige al proxy de seguridad web de Cisco y consulte:
Nota: "No se puede generar la vista previa del sitio" se mostrará en función del HTML/codificación de la URL o el sitio web original. Un sitio web con CSS, paneles HTML o representación compleja no podrá generar una vista previa del sitio.
Información Relacionada