Configurer Bêta ESA pour accepter le trafic ESA de production

Introduction

Ce document décrit comment configurer un appareil de sécurité de la messagerie électronique Cisco (ESA) bêta afin d'accepter le trafic ESA de production via un filtre de messages.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configurer l'appliance bêta

Configuration de l'écouteur pour Bêta ESA

La configuration initiale de l'écouteur doit être effectuée sur le ESA bêta.

1. Dans l'interface graphique utilisateur, accédez à Network > Listeners.
2. Cliquez sur Ajouter un écouteur...
3. Nommez et configurez un écouteur public qui s'exécute sur le port TCP 25.
4. Cliquez sur Submit afin d'enregistrer les modifications apportées au récepteur public.
5. Répétez les mêmes étapes et ajoutez un deuxième écouteur.
6. Nommez et configurez un écouteur privé qui s'exécute sur le port TCP 26. (Cet écouteur est utilisé pour le courrier sortant.) Vous pouvez utiliser le port 25 si une interface supplémentaire est disponible et configurée pour votre environnement. L'environnement CES Hosted Beta a réservé le port 587 pour les appels sortants.
7. Envoyer pour enregistrer les modifications apportées au récepteur.
8. Validez pour enregistrer toutes les modifications apportées à la configuration.

Groupe d'expéditeurs pour Bêta ESA

Pour le trafic relayé ou les messages sortants, ajoutez la ou les adresses IP appropriées pour le ESA bêta afin d'accepter et de relayer les messages du ESA de production.

1. Dans l'interface graphique utilisateur, accédez à Politiques de messagerie > Vue d'ensemble de HAT.
2. Sélectionnez le groupe d'expéditeurs relais approprié. (généralement appelé RELAY ou RELAYLIST).
3. Cliquez sur Ajouter un expéditeur...
4. Pour l'expéditeur, utilisez l'adresse IP de l'ESA de production.
5. Saisissez les commentaires administratifs, le cas échéant.
6. Envoyer pour enregistrer les modifications apportées au groupe d'expéditeurs relais.
7. Validez pour enregistrer toutes les modifications apportées à la configuration.

Routes SMTP (Simple Mail Transfer Protocol) pour Bêta ESA

Les modifications de routage SMTP qui doivent être effectuées sur la Bêta ESA sont les suivantes :

1. Dans l'interface utilisateur graphique, accédez à Network > SMTP Routes.
2. S'il existe des routes SMTP actuelles, vous devrez peut-être les sélectionner et Supprimer avant de continuer. (Assurez-vous de consulter le guide de configuration des travaux pratiques bêta.)
3. Cliquez sur Add Route… (ajouter une route…).
4. Définissez le domaine de réception sur cisco.com et la destination sur USEDNS.
5. Cliquez sur Submit.
6. Répétez les mêmes étapes et ajoutez une deuxième route SMTP.
7. Définissez le domaine de réception pour ironport.com et la destination sur USEDNS.
8. Cliquez sur Submit.
9. Enfin, sélectionnez Tous les autres domaines du domaine de réception.
10. Définissez Destination sur /dev/null. (Cela empêche le routage des messages à partir de l'appliance bêta pour les domaines non configurés.)
11. Cliquez sur Submit.
12. Validez pour enregistrer toutes les modifications apportées à la configuration.

À ce stade, les routes SMTP sur l'appliance bêta sont comme indiqué dans l'image :

Remarque : ajoutez les routes appropriées pour envoyer des e-mails afin de tester les utilisateurs finaux pour les domaines, le cas échéant.

Relais entrant pour Bêta ESA

La configuration du relais entrant permet à la version bêta de récupérer le score SBRS au-delà de celui de l'ESA de production.

La plupart des configurations fonctionnent avec un seul saut.

1. GUI, accédez à Network Incoming Relay.
2. Cliquez sur "Activer" pour le rendre blanc.
3. Cliquez sur Ajouter un relais.
4. "Nom", choisissez un nom.
5. Valeur d'« adresse IP » de l'ESA de production fournie à l'ESA bêta. Un nom d’hôte partiel est acceptable si plusieurs hôtes sont fournis.
6. "Saut :" 1
7. Soumettre et valider les modifications

Relais entrant : état Désactivé.

Relais entrant : état activé, couleur blanche.

Relais entrant : exemple de modèle

Relais entrant : vue récapitulative après envoi.

Exemple d'entrée de journal de messagerie :

lun 8 avril 12:48:28 2019 Info : MID 2422822 IncomingRelay(PROD_hc2881-52) : Header Received found, IP 54.240.35.22 being used, SBRS 3.5 country United States

Activer les en-têtes de journal pour capturer le verdict de spam dans les journaux de messagerie

• Webui > Administration système > Inscriptions au journal > Paramètres généraux (bas) > En-têtes >(ajouter)   X-IronPort-Anti-Spam-Result

Consigner les en-têtes de spam dans les journaux de messagerie

FIN DE LA CONFIGURATION BÊTA.

Configurer l'appliance de production

Attention : vous êtes sur le point d'apporter des modifications à un ESA de production. Assurez-vous de sauvegarder la configuration actuelle.

1. Dans l'interface graphique utilisateur, accédez à Administration système > Fichier de configuration.
2. Dans la section Current Configuration, sélectionnez l'une des options de sauvegarde de la configuration actuelle sous forme de fichier : 
   • Téléchargez le fichier sur l'ordinateur local pour l'afficher ou l'enregistrer.
   • Envoyer le fichier par e-mail à : <your_email_address@domain.com>
3. Cliquez sur Submit.

Routes SMTP pour ESA de production

Des routes SMTP doivent être ajoutées afin de permettre le BCC pour tous les e-mails entrants et sortants de l'ESA de production vers l'ESA bêta. Dans cet exemple, inbound.beta.com et outbound.beta.com sont utilisés.

1. Dans l'interface utilisateur graphique, accédez à Network > SMTP Routes.
2. Cliquez sur Add Route… (ajouter une route…).
3. Définissez le domaine de réception comme inbound.beta.com avec Destination comme adresse IP de l'écouteur public de l'appliance bêta créé précédemment, avec le port défini sur 25.
4. Cliquez sur Submit pour enregistrer les modifications apportées à cette nouvelle route SMTP.
5. Répétez les mêmes étapes, Ajouter une route...
6. Définissez le domaine de réception sur outbound.beta.com, les hôtes de destination sur l'adresse IP de l'écouteur privé de l'appliance bêta créé précédemment et le port sur 26.
7. Envoyer pour enregistrer les modifications apportées à cette nouvelle route SMTP.
8. Validez pour enregistrer toutes les modifications apportées à la configuration.

À ce stade, les routes SMTP sur l'ESA de production comme illustré dans l'image :

Création du profil de renvoi

Une combinaison des profils de renvoi et de contrôle de la destination protège le flux de messages de production contre les complications associées aux retards ou aux échecs de remise des messages aux hôtes bêta. Cette configuration s'applique uniquement aux messages bêta.

1. Dans l'interface graphique utilisateur, accédez à Réseau > Profils de renvoi > Ajouter un profil de renvoi.
2. Nombre maximal de tentatives : 15
3. Durée maximale dans la file d'attente : 130
4. Délai d'attente initial par message : 60
5. Délai d'attente maximum par message : 60
6. Envoyer des messages de renvoi direct : NON
7. Envoyer des messages d'avertissement de délai : NON
8. Utiliser la signature de clé de domaine pour les messages de renvoi et de délai : NON
9. Soumettre pour enregistrer les modifications apportées à ce nouveau profil de renvoi.
10. S'engager à enregistrer toutes les modifications apportées à la configuration. 

Création du profil de renvoi

Remarque : les valeurs numérotées ci-dessus sont configurées de manière très agressive pour empêcher les sauvegardes de la file d'attente de livraison en cas d'interruption de la livraison aux hôtes bêta. Les valeurs peuvent être modifiées de préférence. Les paramètres de notification sont intentionnellement définis sur NON pour empêcher toute notification utilisateur d'être transmise à partir des filtres CCI. 

Création du profil des contrôles de destination

1. Dans l'interface utilisateur graphique, accédez à Politiques de messagerie > Contrôles de la destination > Ajouter une destination.
2. Destination : inbound.beta.com
3. Vérification du renvoi : > Marquage d'adresse : NON > ou par défaut (NON)
4. Profil de renvoi : BETA_BOUNCE
5. Les autres valeurs peuvent être configurées en fonction des préférences de l'administrateur.
6. Envoyer pour enregistrer les modifications apportées à ce nouveau profil de contrôle de la destination.
7. Répétez les étapes 2 à 6 en utilisant la destination suivante : outbound.beta.com
8. Envoyer pour enregistrer les modifications apportées à ce nouveau profil de contrôle de la destination.
9. Validez pour enregistrer toutes les modifications apportées à la configuration.

Ajoutez des profils de contrôle de destination.Vue récapitulative des nouveaux profils de contrôle de destination.

Construction de filtre de message pour la production ESA

À partir de l'interface de ligne de commande de l'ESA de production, créez un filtre de message qui peut envoyer des e-mails en copie cachée au récepteur approprié sur l'ESA bêta.

1. Accédez à Filters > NEW.
2. Copiez et collez cet exemple de filtre de message et apportez les modifications appropriées :

   bcc-EFT: if sendergroup == "RELAY" {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "outbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
    } else {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "inbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
   }
   .

3. Retournez jusqu'à ce que vous reveniez à l'invite CLI principale.
4. Validez pour enregistrer toutes les modifications apportées à la configuration.

Remarque : limitez le trafic copié dans le filtre de messages en fonction de sendergroup, recv-listener, mail-from ou d'autres règles et syntaxes disponibles. Consultez le Guide de l'utilisateur ESA pour obtenir le récapitulatif complet des règles de filtre de message et des règles de filtre.

Création du profil de renvoi

Création du profil des contrôles de destination

Vérifier

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

À ce stade, l'appliance bêta accepte le trafic de messagerie de l'appliance de production. Afin de vérifier à partir de la CLI sur l'appliance bêta, exécutez tail mail_logs :

Wed Mar 23 17:28:43 2016 Info: New SMTP ICID 2 interface Management (172.18.250.222) address 172.18.250.224 reverse dns host dhcp-172-18-250-224.cisco.com verified yes
Wed Mar 23 17:28:43 2016 Info: ICID 2 RELAY SG RELAY match 172.18.250.1/24 SBRS not enabled
Wed Mar 23 17:28:43 2016 Info: Start MID 2 ICID 2
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 From: <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 RID 0 To: <robsherw@ironport.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 Message-ID '<a033ed$2@9.9.5-038.local>'
Wed Mar 23 17:28:43 2016 Info: MID 2 Subject 'TEST 2'
Wed Mar 23 17:28:43 2016 Info: MID 2 ready 320 bytes from <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 matched all recipients for per-recipient policy DEFAULT in the outbound table
Wed Mar 23 17:28:43 2016 Info: MID 2 queued for delivery
Wed Mar 23 17:28:43 2016 Info: New SMTP DCID 3 interface 172.18.250.222 address 173.37.93.161 port 25
Wed Mar 23 17:28:43 2016 Info: Delivery start DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: Message done DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: MID 2 RID [0] Response '2.0.0 u2NHSipG018673 Message accepted for delivery'
Wed Mar 23 17:28:44 2016 Info: Message finished MID 2 done
Wed Mar 23 17:28:48 2016 Info: ICID 2 close
Wed Mar 23 17:28:49 2016 Info: DCID 3 close

La communication SMTP s'établit sur 172.18.250.222 (appliance bêta). L'adresse à partir de laquelle le trafic est envoyé est 172.18.250.224 (appareil de production).

Le groupe d’expéditeurs qui reçoit la communication est le trafic relayé RELAY du réseau 172.18.250.1/24.

Le reste est la communication du message TEST 2.

Sur l'appliance de production, vérifiez et exécutez tail mail_logs.  Le MID traité sur Production montrerait :

Wed Mar 23 14:50:10 2016 Info: MID 242 was generated based on MID 241 by bcc filter 'bcc-EFT'

Il s'agirait d'un fractionnement clair du message électronique tel qu'il a été reçu, puis d'un transfert en copie cachée vers l'appliance Bêta et de tester l'utilisateur final tel qu'il est prévu pour la réception.

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Additional Information

Un filtre de contenu peut être envisagé afin d'aider à différencier le trafic de messagerie de production du trafic de messagerie bêta pour les utilisateurs finaux de test.

1. Dans l'interface graphique utilisateur de la version bêta de ESA, accédez à Politiques de messagerie > Filtres de contenu entrant ou Politiques de messagerie > Filtres de contenu sortant.
2. Créez un filtre de contenu de base afin d'effectuer une action d'ajout/modification d'en-tête.
3. Cliquez sur Submit afin d'enregistrer les modifications apportées au filtre de contenu construit.
4. Politiques de messagerie > Politiques de messages entrants ou Politiques de messages > Politiques de messages sortants, activez et ajoutez le nouveau filtre de contenu au nom de la Politique.
5. Cliquez sur Submit afin d'enregistrer le filtre de contenu dans cette stratégie.
6. Cliquez sur Commit afin d'enregistrer toutes les modifications apportées à la configuration.

À ce stade, le filtre de contenu de la Bêta ESA est comme illustré dans les images :

Maintenant, lorsqu'un e-mail est reçu sur la bêta ESA, vous pouvez voir ceci dans la ligne d'objet de l'e-mail une fois traité comme indiqué dans l'image :

Informations connexes

• Configuration d'un ESA/SMA pour les mises à jour intermédiaires

• Assistance et documentation techniques - Cisco Systems