Ordine di quarantena ESA/CES se contrassegnato da più servizi

Opzioni per il download

  • PDF     (427.2 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (254.7 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (194.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:23 giugno 2020
ID documento:214588

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive il comportamento dei dispositivi Cisco Email Security Appliance (ESA) e Cloud Email Security (CES) quando un'e-mail è contrassegnata da più servizi per la messa in quarantena e il flusso della e-mail attraverso il resto della pipeline di posta elettronica.

    Prerequisiti

    Requisiti

    Nessun requisito specifico previsto per questo documento.

    Componenti usati

    Il riferimento delle informazioni contenute in questo documento è Cisco ESA con versione AsyncOS 12.1.0.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Le e-mail che passano attraverso i dispositivi Cisco ESA e CES per essere filtrate seguono la pipeline della coda di lavoro della posta elettronica. La pipeline è statica e se esistono più azioni da più servizi definiti per contrassegnare un'e-mail per le quarantene, non segue l'ordine come da pipeline; al contrario, l'ESA/CES lo mette in quarantena con il proprio ordine.

    Nota: le e-mail contrassegnate con azioni impostate su (Azione finale) avranno la precedenza immediata e usciranno dall'elaborazione della coda di lavoro.

    Cosa succede all'e-mail quando contrassegnato da più servizi per la quarantena?

    L'e-mail ha la priorità innanzitutto nella quarantena della Policy Virus Outbreak (PVO). Non c'è un ordine specifico in quale politica di quarantena va in come il PVO elenca ogni altra quarantena in cui è tenuto anche l'e-mail. Dopo che l'e-mail è stata rilasciata da una delle quarantene PVO, viene conservata in ogni quarantena rispettiva per essere contrassegnata.

    Dopo il rilascio dell'e-mail (manualmente o tramite il timer dove l'azione predefinita è impostata sul rilascio), le e-mail vengono messe in quarantena. Quando l'e-mail viene rilasciata dalla quarantena della posta indesiderata, viene trasferita nella coda di recapito per essere poi recapitata definitivamente.

    Nota: un'e-mail eliminata da una quarantena PVO rimuoverà anche l'e-mail da tutte le quarantene successive in cui è conservata.

    • I messaggi rilasciati dalle quarantene di policy e virus vengono rianalizzati dai motori antivirus, di protezione avanzata dal malware e di posta grigia.
    • I messaggi rilasciati dalla quarantena del focolaio vengono nuovamente analizzati dai motori antispam, antivirus e AMP.
    • I messaggi rilasciati dalla quarantena di analisi file vengono nuovamente analizzati per rilevare eventuali minacce.
    • I messaggi con allegati vengono rianalizzati dal servizio di reputazione dei file al momento del rilascio dalle quarantene per policy, virus ed epidemie.

    Iniezione iniziale via email con filtraggio effettuato dall’ESA. In questo output è indicato come contrassegnato dalla quarantena per la posta indesiderata, dalla quarantena per i virus e dalla quarantena per le policy:

    Thu Jun 27 12:51:03 2019 Info: Start MID 378951 ICID 391696
    Thu Jun 27 12:51:03 2019 Info: MID 378951 ICID 391696 From: <matt@lee2.com>
    Thu Jun 27 12:51:10 2019 Info: MID 378951 ICID 391696 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:51:14 2019 Info: MID 378951 Subject 'Test email with AV EICAR and other triggers'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 ready 3292 bytes from <matt@lee2.com>
    Thu Jun 27 12:51:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim verdict using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: MID 378951 using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:51:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:51:15 2019 Info: MID 378951 attachment 'testAV.txt'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 URL https://ihaveabadreputation.com has reputation -9.3 matched Condition: URL Reputation Rule
    Thu Jun 27 12:51:15 2019 Info: MID 378951 Custom Log Entry:  - Match whole word filter
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Policy" (content filter:contnet_quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Virus" (a/v verdict:VIRAL)
    Thu Jun 27 12:51:15 2019 Info: Message finished MID 378951 done
    Thu Jun 27 12:51:15 2019 Info: ICID 391696 close

    Una volta analizzato all'interno della quarantena, vengono visualizzate le e-mail conservate nella quarantena PVO contrassegnata e tutte le altre quarantene in cui è contrassegnato.

    Dopo il rilascio dalla quarantena, l'evento viene registrato nei log_posta e si riflette sulle altre quarantene e sul fatto che non è più disponibile nell'altra quarantena.

    Thu Jun 27 12:52:59 2019 Info: MID 378951 released from quarantine "Virus" (manual) t=104

    Rilasciarlo dalla quarantena PVO che rimane e consentire ai messaggi di posta elettronica di raggiungere la quarantena di posta indesiderata contrassegnata.

    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from quarantine "Policy" (manual) t=180
    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from all quarantines
    Thu Jun 27 12:54:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:54:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:54:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:54:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:54:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:54:15 2019 Info: MID 378951 queued for delivery
    Thu Jun 27 12:54:15 2019 Info: RPC Delivery start RCID 13914 MID 378951 to local IronPort Spam Quarantine
    Thu Jun 27 12:54:15 2019 Info: ISQ: Quarantined MID 378951
    Thu Jun 27 12:54:15 2019 Info: RPC Message done RCID 13914 MID 378951
    Thu Jun 27 12:54:15 2019 Info: Message finished MID 378951 done

    Qui, nella versione finale della quarantena, l'e-mail è destinata alla coda di recapito.

    Thu Jun 27 12:55:33 2019 Info: Start MID 378952 ICID 0 (ISQ Released Message)
    Thu Jun 27 12:55:33 2019 Info: ISQ: Reinjected MID 378951 as MID 378952
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 From: <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 Subject '[WARNING: MALWARE DETECTED][SPAM] Test email with AV EICAR'
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ready 9661 bytes from <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 queued for delivery

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    01-Jul-2019
    Versione iniziale

    Contributo di

    • Mathew Huynh
      Cisco Advanced Services

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti