Introduction
Ce document décrit comment dépanner et corriger les files d'attente sur l'appliance de sécurité de la messagerie (ESA) dans le cas où un compte utilisateur interne a été compromis et envoyé des e-mails non sollicités dans le monde entier.
Conditions préalables
Exigences
Aucune exigence spécifique n'est associée à ce document.
Composants utilisés
Les informations contenues dans ce document sont basées sur AsyncOS 7.6 et versions ultérieures pour ESA.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Dépannage
Il est conseillé de verrouiller le compte qui envoie le spam s'il est connu, sinon verrouiller le compte une fois découvert via l'enquête sur l'ESA.
Contrôles de file
Lorsque le compteur de files d'attente de travail contient un grand nombre de courriers électroniques et que le nombre de courriers électroniques qui entrent dans le système dépasse de loin le nombre de courriers qui sortent du système, cela indique un impact sur la file d'attente de travail. Vous pouvez utiliser la commande workqueue pour effectuer la vérification.
C370.lab> workqueue status
Status as of: Thu Feb 06 12:48:02 2014 GMT
Status: Operational
Messages: 48654
C370.lab> workqueue rate 5
Type Ctrl-C to return to the main prompt.
Time Pending In Out
12:48:04 48654 48 2
12:48:09 48700 31 0
L'expéditeur ou l'objet des e-mails dans la file d'attente est connu
Afin de supprimer les e-mails qui ont un impact sur la file d'attente de travail, l'utilisation d'un filtre de message est recommandée. L'utilisation d'un filtre de messages permettra à l'ESA d'agir sur ces e-mails au début de la file d'attente de travail plutôt qu'à la fin afin d'aider à la suppression des e-mails à un intervalle plus efficace.
Ce filtre peut être utilisé pour obtenir ceci :
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if (mail-from == 'abc@abc1.com')
{
drop();
}
.
OR
FilterName:
if (subject == "^SUBJECT NAME$")
{
drop();
}
.
Vérification de la file
La commande tophosts affiche les hôtes affectés actuels. Dans un environnement actif, vous verrez que l'hôte du destinataire (file d'attente de remise active actuelle) sera affecté par un grand nombre de destinataires actifs. Pour cette sortie, l'exemple est impactedhost.queue.
C370.lab> tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Thu Feb 06 12:52:17 2014 GMT
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1 impactedhost.queue 321550 50 440 75568 8984
2 the.euq.queue 0 0 0 0 0
3 the.euq.release.queue 0 0 0 0 0
Si l'hôte affecté est un domaine de destinataire inconnu où des informations supplémentaires sont requises avant la suppression de tous les e-mails, les commandes showreceppients, showmessage, et deleterecipients peuvent être utilisées. La commande showreceppients affiche l'ID de message (MID), la taille du message, les tentatives de remise, l'expéditeur du message, le ou les destinataires du message et l'objet du message.
C370.lab> showrecipients
Please select how you would like to show messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 1
Please enter the hostname for the messages you wish to show.
> impactedhost.queue
Si le MID suspecté dans la file d'attente de remise semble légitime, vous pouvez utiliser la commande showmessage afin d'afficher la source du message avant d'entreprendre toute action.
C370.lab> showmessage
Enter the MID to show.
[]>
Une fois confirmé comme spam, afin de supprimer ces e-mails, continuez et utilisez la commande deleterecipient. La commande fournit trois options de suppression des e-mails de la file d'attente de remise : Par expéditeur d'enveloppe, Par hôte destinataire ou Tous les e-mails de la file d'attente de remise.
C370.lab> deleterecipients
Please select how you would like to delete messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 2
Please enter the Envelope From address for the messages you wish to delete.
[]>
Surveillance et action proactives
Sur la version 9.0+ d'AsyncOS sur l'ESA, une nouvelle condition de filtre de message appelée Règle de répétition d'en-tête est disponible.
Règle des répétitions d'en-tête
La règle Répéter l'en-tête donne la valeur true si, à un moment donné, un nombre spécifié de messages est affiché :
- Avec le même sujet sont détectés dans la dernière heure.
- Les messages provenant du même expéditeur d'enveloppe ont été détectés au cours de la dernière heure.
- header-repeats(<cible>, <seuil> [, <direction>])
Pour plus d'informations sur cette condition, reportez-vous au Guide d'aide en ligne de votre périphérique.
Connectez-vous à l'interface de ligne de commande et déployez le filtre afin d'exécuter cette vérification et l'action souhaitée. Exemple de filtre permettant de supprimer des e-mails ou de notifier un administrateur lorsqu'un seuil est atteint.
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if header-repeats('mail-from',1000,'outgoing')
{
drop();
}
.
OR
FilterName:
if header-repeats('subject',1000,'outgoing')
{
notify('admin@xyz.com');
}
.
Informations connexes
Commentaires