La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive un'analisi approfondita della configurazione Gold fornita per Cisco Secure Email Cloud Gateway.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni di questo documento provengono dalla configurazione ottimale e dai consigli sulle best practice per i clienti e gli amministratori di Cisco Secure Email Cloud.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Il presente documento si applica anche a:
Le quarantene vengono configurate e gestite su Email e Web Manager per i clienti Cisco Secure Email Cloud. Accedere a Email e Web Manager per visualizzare le quarantene:
Avviso: qualsiasi modifica apportata alle configurazioni in base alle best practice fornite in questo documento deve essere esaminata e compresa prima di eseguire il commit delle modifiche alla configurazione nell'ambiente di produzione. Consultare il tecnico Cisco CX, il DSM (Designated Service Manager) o l'Account Team prima di apportare modifiche alla configurazione.
La configurazione Gold per i clienti Cisco Secure Email cloud è la best practice e la configurazione a giorno zero sia per Cloud Gateway che per Cisco Secure Email e Web Manager. Le implementazioni Cisco Secure Email Cloud usano sia Cloud Gateway che almeno una (1) Email e Web Manager. Alcune parti della configurazione e delle procedure consigliate consentono agli amministratori di utilizzare la quarantena o le quarantene disponibili in Email and Web Manager per la gestione centralizzata.
Policy di posta > Tabella di accesso destinatari (RAT)
La tabella Accesso destinatario definisce i destinatari accettati da un listener pubblico. Nella tabella viene specificato almeno l'indirizzo e se accettarlo o rifiutarlo. Rivedi la RAT per aggiungere e gestire i tuoi domini secondo necessità.
Rete > Route SMTP
Se la destinazione della route SMTP è Microsoft 365, vedere Office365 Throttling CES New Instance con "4.7.500 Server occupato. Riprova più tardi".
I servizi elencati sono configurati per tutti i clienti Cisco Secure Email Cloud con i valori forniti:
IPAS (IronPort Anti-Spam)
Filtro URL
Rilevamento posta grigia
Filtri epidemie
Protezione avanzata dal malware > Reputazione e analisi dei file
Verifica messaggi
Utenti (Amministrazione sistema > Utenti)
Registra sottoscrizioni (Amministrazione sistema > Registra sottoscrizioni)
Servizi aggiuntivi da esaminare e valutare:
Amministrazione sistema > LDAP
Difesa URL
SPF
exists:%{i}.spf.<allocation>.iphmx.com
Nota: assicurarsi che il record SPF termini con ~all o -all. Convalidare i record SPF dei domini prima e dopo qualsiasi modifica.
Esempi aggiuntivi di SPF
v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all
v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all
v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all
Filtro anti-spoof
Aggiungi filtro intestazione
addHeaders: if (sendergroup != "RELAYLIST")
{
insert-header("X-IronPort-RemoteIP", "$RemoteIP");
insert-header("X-IronPort-MID", "$MID");
insert-header("X-IronPort-Reputation", "$Reputation");
insert-header("X-IronPort-Listener", "$RecvListener");
insert-header("X-IronPort-SenderGroup", "$Group");
insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}
Panoramica HAT > Gruppi di mittenti aggiuntivi
Nel gruppo mittente SUSPECTLIST predefinito
Esempio di HAT aggressivo
Nota: gli esempi di HAT mostrano inoltre i criteri di flusso della posta (MFP) configurati. Per informazioni complete su MFP, fare riferimento a "Understanding the Email Pipeline > Incoming/Receiving" nel Manuale dell'utente per la versione appropriata di AsyncOS per Cisco Secure Email Gateway implementato.
Esempio:
Parametri criteri predefiniti
Impostazioni protezione
Nota: DMARC richiede ulteriore ottimizzazione per la configurazione. Per ulteriori informazioni su DMARC, fare riferimento a "Email Authentication > DMARC Verification" (Autenticazione e-mail > Verifica DMARC) nel Manuale dell'utente per la versione appropriata di AsyncOS per Cisco Secure Email Gateway distribuito.
Il criterio predefinito è configurato in modo simile a:
Protezione da posta indesiderata
Antivirus
AMP
Graymail
Filtri dei contenuti
Filtri epidemie
Nomi criteri (visualizzati)
I criteri di posta BLOCKLIST sono configurati con tutti i servizi disabilitati, ad eccezione di Protezione avanzata da malware e sono collegati a un filtro contenuti con l'azione QUARANTENA.
Il criterio di posta ALLOWLIST dispone di Antispam, Graymail disabilitato e filtri contenuti abilitati per URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, EXECUTIVE SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_LIMIT o filtri contenuti a scelta e configurazione.
Per il criterio di posta ALLOW_SPOOF sono abilitati tutti i servizi predefiniti, con i filtri contenuti abilitati per URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, SDR o i filtri contenuti a scelta e configurazione.
Il criterio predefinito è configurato in modo simile a:
Protezione da posta indesiderata
Antivirus
Protezione avanzata da malware
Graymail
Filtri dei contenuti
Filtri epidemie
DLP
Nota: per ulteriori informazioni sui filtri contenuti, consultare "Filtri contenuti" nel Manuale dell'utente per la versione appropriata di AsyncOS per Cisco Secure Email Gateway distribuito.
URL_QUARANTINE_MALICIOUS
Condizione: reputazione dell'URL; reputazione dell'URL(-10.00, -6.00 , "bypass_urls", 1, 1)
Azione: quarantena: quarantena("URL_MALICIOUS")
URL_REWRITE_SUSPICIOUS
Condizione: reputazione dell'URL; reputazione dell'URL (-5,90, -5,60 , "bypass_urls", 0, 1)
Azione: reputazione dell'URL; URL-reputation-proxy-redirect(-5,90, -5,60,"",0)
URL_NON APPROPRIATO
Condizione: Categoria dell'URL; categoria dell'URL (['Adult', 'Child Abuse Content', 'Extreme', 'Hate Speech', 'Illegal Activities', 'Illegal Downloads', 'Illegal Drugs', 'Pornography', 'Filter Avoidance'], "bypass_urls", 1, 1)
Azione: quarantena; duplicato-quarantena("INAPPROPRIATE_CONTENT")
ERRORE_DKIM
Condizione: autenticazione DKIM; autenticazione dkim == hardfail
Azione: quarantena; quarantena-duplicati("DKIM_FAIL")
SPF_HARDFAIL
Condizione: verifica SPF; spf-status = non riuscita
Azione: quarantena; duplicato-quarantena("SPF_HARDFAIL")
ESECUTIVO
Condizione: Forged Email Detection; forged-email-detection("Executive_FED", 90, "")
Condizione: Altra intestazione; header("X-IronPort-SenderGroup") != "(?i)allowspoof"
* set Apply rule: Solo se tutte le condizioni corrispondono
Azione: Aggiungi/Modifica intestazione; modifica-intestazione-testo("Subject", "(.*)", "[EXTERNAL]\\1")
Azione: quarantena; quarantena-duplicati("FORGED_EMAIL")
SPOOF_DOMINIO
Condizione: Altra intestazione; header("X-Spoof")
Azione: quarantena; duplicazione-quarantena("ANTI_SPOOF")
DSP
Condizione: reputazione del dominio; reputazione sdr (['awful'], "")
Condizione: Reputazione dominio; sdr-age ("giorni", <, 5, "")
* set Apply rule: Se una o più condizioni corrispondono
Azione: quarantena; duplicato-quarantena("SDR_DATA")
TG_RATE_LIMIT
Condizione: Altra intestazione; header("X-TG-RATELIMIT")
Azione: Aggiungi voce log; log-entry("X-TG-RATELIMIT: $filenames")
ELENCO_BLOCCHI_QUARANTENA
Condizione: (Nessuna)
Azione: quarantena; quarantena("BLOCKLIST")
TG_OUTBOUND_MALICIOUS
Condizione: Altra intestazione; header("X-TG-OUTBOUND") == MALWARE
Azione: quarantena; quarantena("TG_OUTBOUND_MALWARE")
Strip_Secret_Header
Condizione: Altra intestazione; header("PLACEHOLDER") == PLACEHOLDER
Azione: Strip Header; strip-header("X-IronPort-Tenant")
ESTERNO_MITTENTE_RIMUOVI
Condizione: (Nessuna)
Azione: Aggiungi/Modifica intestazione; modifica-intestazione-testo("Subject", "\\[EXTERNAL\\]\\s?", "")
ACQUISIZIONE_ACCOUNT
Condizione: Altra intestazione; header("X-AMP-Result") == (?i)malicious
Condizione: reputazione dell'URL; reputazione-URL(-10.00, -6.00 , "", 1, 1)
*Impostare la regola di applicazione: se una o più condizioni corrispondono
Azione: Notify;notice ("<Indirizzo e-mail amministratore o destinatario>", "POSSIBILE ACQUISIZIONE ACCOUNT", "", "ACCOUNT_TAKEOVER_WARNING")
Azione: duplicate-quarantine("ACCOUNT_TAKEOVER")
Per i clienti Cisco Secure Email Cloud, abbiamo dei filtri di contenuto di esempio inclusi nella configurazione gold e nelle best practice consigliate. Consultare inoltre i filtri "SAMPLE_" per ulteriori informazioni sulle condizioni e le azioni associate che possono essere utili nella configurazione.
Cisco Live ospita molte sessioni in tutto il mondo e offre sessioni di persona e interruzioni tecniche che coprono le best practice di Cisco Secure Email. Per le sessioni precedenti e l'accesso, visita Cisco Live (è necessario l'accesso CCO):
Cisco Email Security: best practice e ottimizzazione - BRKSEC-2131
Se una sessione non è disponibile, Cisco Live si riserva il diritto di rimuoverla a causa dell'età della presentazione.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
3.0 |
31-Jul-2022 |
Aggiornamento dei valori di Gold Configuration più recenti, riformulazione per soddisfare i criteri di pubblicazione, aggiornamento di link e riferimenti. |
1.0 |
15-May-2017 |
Versione iniziale |