Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit une analyse approfondie de la configuration Gold fournie pour Cisco Secure Email Cloud Gateway.
Cisco vous recommande de connaître les sujets suivants :
Les informations contenues dans ce document proviennent de la configuration Gold et des meilleures pratiques recommandées pour les clients et les administrateurs de Cisco Secure Email Cloud.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Ce document est également applicable avec :
Les quarantaines sont configurées et gérées sur Email and Web Manager pour les clients Cisco Secure Email Cloud. Connectez-vous à votre gestionnaire de messagerie et Web pour afficher les quarantaines :
Avertissement : toute modification apportée à une ou plusieurs configurations en fonction des meilleures pratiques décrites dans ce document doit être examinée et comprise avant de valider les modifications apportées à la configuration dans votre environnement de production. Veuillez consulter votre ingénieur Cisco CX, votre responsable de service désigné (DSM) ou votre équipe de compte avant de modifier la configuration.
La configuration Gold pour les clients du cloud Cisco Secure Email est la meilleure pratique et la configuration « zero-day » pour la passerelle cloud et Cisco Secure Email and Web Manager. Les déploiements Cisco Secure Email Cloud utilisent à la fois la ou les passerelles cloud et au moins un (1) gestionnaire de messagerie électronique et Web. Certaines parties de la configuration et des meilleures pratiques conseillent aux administrateurs d'utiliser les quarantaines situées sur le gestionnaire de messagerie et Web à des fins de gestion centralisée.
Politiques de messagerie > Tableau d'accès aux destinataires (TAD)
Le tableau d'accès aux destinataires définit les destinataires acceptés par un écouteur public. Au minimum, la table spécifie l'adresse et indique si elle doit être acceptée ou rejetée. Vérifiez le TAD pour ajouter et gérer vos domaines selon les besoins.
Réseau > Routes SMTP
Si la destination de la route SMTP est Microsoft 365, consultez Office365 Throttling CES New Instance with "4.7.500 Server busy. Veuillez réessayer ultérieurement".
Les services répertoriés sont configurés pour tous les clients Cisco Secure Email Cloud avec les valeurs fournies :
Antispam IronPort (IPAS)
Filtrage des URL
Détection Graymail
Filtres contre les attaques
Protection avancée contre les programmes malveillants > Analyse et réputation des fichiers
Suivi des messages
Utilisateurs (Administration système > Utilisateurs)
Inscriptions au journal (Administration système > Inscriptions au journal)
Services supplémentaires à examiner et à prendre en compte :
Administration système > LDAP
Défense des URL
FPS
exists:%{i}.spf.<allocation>.iphmx.com
Remarque : assurez-vous que l'enregistrement SPF se termine par ~all ou -all. Validez les enregistrements SPF pour vos domaines avant et après toute modification !
Exemples SPF supplémentaires
v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all
v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all
v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all
Filtre Anti-Usurpation
Ajouter un filtre d'en-tête
addHeaders: if (sendergroup != "RELAYLIST")
{
insert-header("X-IronPort-RemoteIP", "$RemoteIP");
insert-header("X-IronPort-MID", "$MID");
insert-header("X-IronPort-Reputation", "$Reputation");
insert-header("X-IronPort-Listener", "$RecvListener");
insert-header("X-IronPort-SenderGroup", "$Group");
insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}
Présentation de HAT > Groupes d'expéditeurs supplémentaires
Dans le groupe d'expéditeurs SUSPECTLIST prédéfini
Échantillon HAT agressif
Remarque : les exemples HAT montrent des stratégies de flux de messages (MFP) configurées en plus. Pour obtenir des informations complètes sur MFP, reportez-vous à la section « Understanding the Email Pipeline > Incoming/Receiving » du Guide de l'utilisateur pour la version appropriée d'AsyncOS pour la passerelle de messagerie sécurisée Cisco que vous avez déployée.
Exemple HAT :
Paramètres de stratégie par défaut
Paramètres de sécurité
Remarque : DMARC nécessite des réglages supplémentaires pour être configuré. Pour plus d'informations sur DMARC, veuillez vous reporter à la section « Authentification de messagerie électronique > Vérification DMARC » dans le Guide de l'utilisateur pour la version appropriée d'AsyncOS pour la passerelle de messagerie sécurisée Cisco que vous avez déployée.
La stratégie par défaut est configurée comme suit :
Antispam
Antivirus
AMPLI
Graymail
Filtres de contenu
Filtres contre les attaques
Noms des stratégies (affichés)
La stratégie de messagerie BLOCKLIST est configurée avec tous les services désactivés, à l'exception d'Advanced Malware Protection, et établit un lien vers un filtre de contenu avec l'action de QUARANTINE.
La stratégie de messagerie ALLOWLIST a les options Antispam, Graymail désactivé et Filtres de contenu activés pour URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, EXECUTIVE SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_LIMIT ou les filtres de contenu de votre choix et de votre configuration.
La stratégie de messagerie ALLOW_SPOOF a tous les services par défaut activés, avec les filtres de contenu activés pour les filtres URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, SDR ou de contenu de votre choix et de votre configuration.
La stratégie par défaut est configurée comme suit :
Antispam
Antivirus
Protection avancée contre les malwares
Graymail
Filtres de contenu
Filtres contre les attaques
DLP
Remarque : pour plus d'informations sur les filtres de contenu, reportez-vous à la section « Filtres de contenu » du Guide de l'utilisateur pour connaître la version appropriée d'AsyncOS pour la passerelle de messagerie sécurisée Cisco que vous avez déployée.
URL_QUARANTAINE_MALVEILLANTE
Condition : Réputation d'URL ; url-reputation(-10.00, -6.00, "bypass_urls", 1, 1)
Action : Quarantaine : quarantine("URL_MALICIOUS")
URL_REWRITE_SUSPECT
Condition : Réputation d'URL ; url-reputation(-5.90, -5.60, "bypass_urls", 0, 1)
Action : Réputation d'URL ; url-reputation-proxy-redirect(-5.90, -5.60,"",0)
URL_INAPPROPRIÉE
Condition : URL Category ; url-category (['Adulte', 'Contenu pédopornographique', 'Extrême', 'Discours haineux', 'Activités illégales', 'Téléchargements illégaux', 'Drogues illégales', 'Pornographie', 'Évitement de filtre'], "bypass_urls", 1, 1)
Action : quarantaine ; duplicata-quarantine("INAPPROPRIATE_CONTENT")
ÉCHEC_DKIM
Condition : Authentification DKIM ; dkim-authentication == hardfail
Action : Quarantaine ; duplicate-quarantine("DKIM_FAIL")
SPF_HARDFAIL
Condition : vérification SPF ; état spf == échec
Action : Quarantaine ; duplicate-quarantine("SPF_HARDFAIL")
SPOOF_EXÉCUTIF
Condition : Détection des e-mails falsifiés ; forged-email-detection("Executive_FED", 90, "")
Condition : Autre en-tête ; header("X-IronPort-SenderGroup") != "(?i)allowspoof"
* set Apply rule : uniquement si toutes les conditions correspondent
Action : Ajouter/Modifier un en-tête ; edit-header-text("Subject", "(.*)", "[EXTERNAL]\\1")
Action : Quarantaine ; duplicata-quarantine("FORGED_EMAIL")
DOMAINE_USURPATION
Condition : Autre en-tête ; header("X-Spoof")
Action : Quarantaine ; duplicate-quarantine("ANTI_SPOOF")
DTS
Condition : Réputation de domaine ; sdr-reputation (['awful'], "")
Condition : Réputation de domaine ; sdr-age ("days", <, 5, "")
* set Apply rule : si une ou plusieurs conditions correspondent
Action : Quarantaine ; duplicate-quarantine("SDR_DATA")
LIMITE_VITESSE_TG
Condition : Autre en-tête ; header("X-TG-RATELIMIT")
Action : Ajouter une entrée de journal ; log-entry("X-TG-RATELIMIT: $filenames")
BLOCKLIST_QUARANTINE
Condition : (Aucun)
Action : Quarantaine ; quarantine("BLOCKLIST")
TG_OUTBOUND_MALICIOUS
Condition : Autre en-tête ; header("X-TG-OUTBOUND") == MALWARE
Action : Quarantaine ; quarantaine("TG_OUTBOUND_MALWARE")
En-tête_secret_dépouille
Condition : Autre en-tête ; header("PLACEHOLDER") == PLACEHOLDER
Action : en-tête de bande ; strip-header("X-IronPort-Tenant")
EXTERNAL_SENDER_REMOVE
Condition : (Aucun)
Action : Ajouter/Modifier un en-tête ; edit-header-text("Subject", "\\[EXTERNAL\\]\\s ?", "")
PRISE_DE_COMPTE
Condition : Autre en-tête ; en-tête("X-AMP-Result") == (?i)malveillant
Condition : Réputation d'URL ; url-reputation(-10.00, -6.00, "", 1, 1)
*Définir la règle d'application : si une ou plusieurs conditions correspondent
Action : Notify;notify ("<Insérer l'adresse e-mail de l'administrateur ou du distributeur>", "POSSIBLE ACCOUNT TAKEOVER", "", "ACCOUNT_TAKEOVER_WARNING")
Action : duplicate-quarantine("ACCOUNT_TAKEOVER")
Pour les clients Cisco Secure Email Cloud, nous proposons des exemples de filtres de contenu inclus dans la configuration Gold et des recommandations de meilleures pratiques. En outre, veuillez consulter les filtres « SAMPLE_ » pour plus d'informations sur les conditions et les actions associées qui peuvent être bénéfiques dans votre configuration.
Cisco Live héberge de nombreuses sessions dans le monde entier et propose des sessions en personne et des sessions techniques qui couvrent les meilleures pratiques de sécurisation de la messagerie électronique Cisco. Pour accéder aux sessions précédentes, rendez-vous sur Cisco Live (connexion CCO requise) :
Sécurité de la messagerie électronique Cisco : bonnes pratiques et réglage fin - BRKSEC-2131
Si une session n'est pas disponible, Cisco Live se réserve le droit de la supprimer en raison de l'âge de la présentation.
Révision | Date de publication | Commentaires |
---|---|---|
3.0 |
31-Jul-2022 |
Mise à jour des dernières valeurs de la configuration Gold, reformulation pour répondre aux critères de publication, mise à jour des liens et des références. |
1.0 |
15-May-2017 |
Première publication |