Ordre de quarantaine ESA/CES marqué par plusieurs services

Options de téléchargement

  • PDF     (427.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (254.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (194.8 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:23 juin 2020
ID du document:214588

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit le comportement des dispositifs Cisco Email Security Appliance (ESA) et Cloud Email Security (CES) lorsqu'un e-mail est marqué par plusieurs services pour la mise en quarantaine et le flux de l'e-mail dans le reste du pipeline d'e-mails.

    Conditions préalables

    Exigences

    Aucune exigence spécifique n'est associée à ce document.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur la version 12.1.0 de Cisco ESA avec AsyncOS.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Les e-mails qui circulent via les périphériques Cisco ESA et CES pour le filtrage suivent le pipeline de file d'attente de travail des e-mails. Le pipeline est statique et s'il existe plusieurs actions de plusieurs services définis pour marquer un e-mail pour les quarantaines, il ne suit pas l'ordre selon le pipeline ; au lieu de cela, l'ESA/CES le met en quarantaine avec son propre ordre.

    Remarque : les e-mails signalés par des actions définies sur (Action finale) seront immédiatement prioritaires et quitteront le traitement de la file d'attente de travail.

    Qu'advient-il de l'e-mail marqué par plusieurs services pour la quarantaine ?

    L'e-mail est d'abord placé en priorité dans la quarantaine PVO (Policy Virus Outbreak). Il n'y a pas d'ordre spécifique dans lequel la stratégie de quarantaine est placée, car le PVO répertorie toutes les autres quarantaines dans lesquelles le courrier électronique est également stocké. Une fois que l'e-mail est libéré de l'une des quarantaines PVO, il est conservé dans les quarantaines respectives pour y être marqué.

    Une fois l'e-mail libéré (manuellement ou via le minuteur, lorsque l'action par défaut est définie sur Libérer), les e-mails entrent dans la quarantaine du spam. Lorsque l'e-mail est libéré de la quarantaine du spam, il est transféré dans la file d'attente de livraison pour une livraison finale.

    Remarque : un e-mail supprimé d'une quarantaine PVO supprimera également l'e-mail de toutes les quarantaines suivantes dans lesquelles il est conservé.

    • Les messages libérés des quarantaines des stratégies et des virus sont de nouveau analysés par les moteurs antivirus, de protection avancée contre les programmes malveillants et de messages gray.
    • Les messages libérés de la quarantaine des attaques sont de nouveau analysés par les moteurs antispam, antivirus et AMP.
    • Les messages libérés de la quarantaine d'analyse des fichiers sont de nouveau analysés à la recherche de menaces.
    • Les messages contenant des pièces jointes sont de nouveau analysés par le service de réputation de fichiers après avoir été libérés des quarantaines des stratégies, des virus et des attaques.

    Injection initiale des e-mails avec filtrage effectué par l'ESA. Dans ce résultat, vous voyez qu'il est marqué par la quarantaine du spam, la quarantaine des virus et la quarantaine des stratégies :

    Thu Jun 27 12:51:03 2019 Info: Start MID 378951 ICID 391696
    Thu Jun 27 12:51:03 2019 Info: MID 378951 ICID 391696 From: <matt@lee2.com>
    Thu Jun 27 12:51:10 2019 Info: MID 378951 ICID 391696 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:51:14 2019 Info: MID 378951 Subject 'Test email with AV EICAR and other triggers'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 ready 3292 bytes from <matt@lee2.com>
    Thu Jun 27 12:51:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim verdict using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: MID 378951 using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:51:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:51:15 2019 Info: MID 378951 attachment 'testAV.txt'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 URL https://ihaveabadreputation.com has reputation -9.3 matched Condition: URL Reputation Rule
    Thu Jun 27 12:51:15 2019 Info: MID 378951 Custom Log Entry:  - Match whole word filter
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Policy" (content filter:contnet_quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Virus" (a/v verdict:VIRAL)
    Thu Jun 27 12:51:15 2019 Info: Message finished MID 378951 done
    Thu Jun 27 12:51:15 2019 Info: ICID 391696 close

    Une fois les recherches effectuées dans la quarantaine, les e-mails conservés dans la quarantaine PVO que vous avez marquée s'affichent, ainsi que les autres quarantaines dans lesquelles ils sont marqués.

    Une fois libéré de cette quarantaine, il consigne cet événement dans vos mail_logs et réfléchit sur les autres quarantaines ainsi qu'il n'est plus disponible dans l'autre quarantaine.

    Thu Jun 27 12:52:59 2019 Info: MID 378951 released from quarantine "Virus" (manual) t=104

    Libérez-le de la quarantaine PVO qui reste et autorisez les e-mails à passer ensuite à la quarantaine de spam marquée.

    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from quarantine "Policy" (manual) t=180
    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from all quarantines
    Thu Jun 27 12:54:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:54:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:54:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:54:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:54:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:54:15 2019 Info: MID 378951 queued for delivery
    Thu Jun 27 12:54:15 2019 Info: RPC Delivery start RCID 13914 MID 378951 to local IronPort Spam Quarantine
    Thu Jun 27 12:54:15 2019 Info: ISQ: Quarantined MID 378951
    Thu Jun 27 12:54:15 2019 Info: RPC Message done RCID 13914 MID 378951
    Thu Jun 27 12:54:15 2019 Info: Message finished MID 378951 done

    Le courrier électronique est alors destiné à la file d'attente de remise lors de la libération finale de la quarantaine du spam.

    Thu Jun 27 12:55:33 2019 Info: Start MID 378952 ICID 0 (ISQ Released Message)
    Thu Jun 27 12:55:33 2019 Info: ISQ: Reinjected MID 378951 as MID 378952
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 From: <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 Subject '[WARNING: MALWARE DETECTED][SPAM] Test email with AV EICAR'
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ready 9661 bytes from <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 queued for delivery

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    01-Jul-2019
    Première publication

    Contribution de

    • Mathew Huynh
      Services avancés Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits