Orden de cuarentena de ESA/CES cuando está marcado por varios servicios

Opciones de descarga

  • PDF     (428.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (256.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (197.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:23 de junio de 2020
ID del documento:214588

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    En este documento se describe el comportamiento de los dispositivos Cisco Email Security Appliance (ESA) y Cloud Email Security (CES) cuando varios servicios marcan un correo electrónico para ponerlo en cuarentena y el flujo del correo electrónico a través del resto del flujo de correo electrónico.

    Prerequisites

    Requirements

    No hay requisitos específicos para este documento.

    Componentes Utilizados

    La información de este documento se basa en Cisco ESA con AsyncOS versión 12.1.0.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Los correos electrónicos que fluyen a través de los dispositivos Cisco ESA y CES para filtrado siguen el flujo de cola de trabajo de correo electrónico. La canalización es estática y, si hay varias acciones de varios servicios definidos para marcar un correo electrónico para las cuarentenas, no sigue el orden según la canalización; en su lugar, el ESA/CES la pone en cuarentena con su propio orden.

    Nota: Los correos electrónicos marcados con acciones definidas en (Acción final) tendrán prioridad inmediata y saldrán del procesamiento de la cola de trabajo.

    ¿Qué ocurre con el correo electrónico cuando varios servicios lo marcan para cuarentena?

    Primero se asigna prioridad al correo electrónico en la cuarentena de brotes de virus de políticas (PVO). No hay un orden específico en qué cuarentena de políticas entra, ya que el PVO enumera todas las demás cuarentenas en las que también se encuentra el correo electrónico. Después de que el correo electrónico se libera de una de las cuarentenas de PVO, se mantiene en cualquier cuarentena respectiva para que se marque.

    Una vez liberado el correo electrónico (manualmente o a través del temporizador en el que la acción predeterminada está establecida para liberar), los correos electrónicos entran en la cuarentena de spam. Cuando el correo electrónico se libera de la cuarentena de spam, pasa a la cola de entrega para su entrega final a partir de entonces.

    Nota: un correo electrónico que se elimina de una cuarentena de PVO, eliminará el correo electrónico de todas las cuarentenas posteriores en las que se encuentre.

    • Los mensajes liberados de cuarentenas de virus y políticas son analizados de nuevo por los motores antivirus, de protección frente a malware avanzado y de graymail.
    • Los motores anti-spam, antivirus y AMP vuelven a analizar los mensajes liberados de la cuarentena de Outbreak.
    • Los mensajes liberados de la cuarentena de Análisis de archivos se vuelven a analizar en busca de amenazas.
    • El servicio de reputación de archivos vuelve a analizar los mensajes con archivos adjuntos cuando se liberan de las cuarentenas de brotes, virus y políticas.

    Inyección de correo electrónico inicial con filtrado realizado por el ESA. En este resultado, verá que está marcado por la cuarentena de spam, la cuarentena de virus y la cuarentena de políticas:

    Thu Jun 27 12:51:03 2019 Info: Start MID 378951 ICID 391696
    Thu Jun 27 12:51:03 2019 Info: MID 378951 ICID 391696 From: <matt@lee2.com>
    Thu Jun 27 12:51:10 2019 Info: MID 378951 ICID 391696 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:51:14 2019 Info: MID 378951 Subject 'Test email with AV EICAR and other triggers'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 ready 3292 bytes from <matt@lee2.com>
    Thu Jun 27 12:51:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim verdict using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: MID 378951 using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:51:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:51:15 2019 Info: MID 378951 attachment 'testAV.txt'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 URL https://ihaveabadreputation.com has reputation -9.3 matched Condition: URL Reputation Rule
    Thu Jun 27 12:51:15 2019 Info: MID 378951 Custom Log Entry:  - Match whole word filter
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Policy" (content filter:contnet_quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Virus" (a/v verdict:VIRAL)
    Thu Jun 27 12:51:15 2019 Info: Message finished MID 378951 done
    Thu Jun 27 12:51:15 2019 Info: ICID 391696 close

    Una vez investigado dentro de la cuarentena, el correo electrónico que se encuentra en la cuarentena de PVO que ha marcado se muestra, así como cualquier otra cuarentena en la que indique que se encuentra.

    Después de liberarse de esta cuarentena, registra este evento en mail_logs y también refleja en las otras cuarentenas que ya no está disponible en la otra cuarentena.

    Thu Jun 27 12:52:59 2019 Info: MID 378951 released from quarantine "Virus" (manual) t=104

    Libérela de la cuarentena de PVO que queda para permitir que los correos electrónicos viajen a la cuarentena de spam marcada a partir de entonces.

    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from quarantine "Policy" (manual) t=180
    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from all quarantines
    Thu Jun 27 12:54:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:54:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:54:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:54:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:54:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:54:15 2019 Info: MID 378951 queued for delivery
    Thu Jun 27 12:54:15 2019 Info: RPC Delivery start RCID 13914 MID 378951 to local IronPort Spam Quarantine
    Thu Jun 27 12:54:15 2019 Info: ISQ: Quarantined MID 378951
    Thu Jun 27 12:54:15 2019 Info: RPC Message done RCID 13914 MID 378951
    Thu Jun 27 12:54:15 2019 Info: Message finished MID 378951 done

    En la versión final de la cuarentena de spam, el correo electrónico está destinado a la cola de entrega.

    Thu Jun 27 12:55:33 2019 Info: Start MID 378952 ICID 0 (ISQ Released Message)
    Thu Jun 27 12:55:33 2019 Info: ISQ: Reinjected MID 378951 as MID 378952
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 From: <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 Subject '[WARNING: MALWARE DETECTED][SPAM] Test email with AV EICAR'
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ready 9661 bytes from <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 queued for delivery

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    01-Jul-2019
    Versión inicial

    Contribución realizada por

    • Mathew Huynh
      Cisco Advance Services

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos