ESA および SMA での一元的 PVO 検疫のトラブルシューティング

はじめに

このドキュメントでは、中央集中型のポリシー、ウイルス、およびアウトブレイク隔離が有効になっている場合に、配信と接続の問題をトラブルシューティングする方法について説明します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• AsyncOS 8.1以降が稼働するEメールセキュリティアプライアンス(ESA)
• AsyncOS 8.0以降が稼働するセキュリティ管理アプライアンス(SMA)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

背景説明

Centralized Policy, Virus and Outbreak(PVO)隔離機能は、AsyncOS 8.0(ESA)/8.1(SMA)で導入されました。この機能には追加のネットワーク接続要件があり、トラブルシューティングに関する新しい課題があります。

コミュニケーションを理解する

• CPQ通信はSMTPを使用しますが、メタデータを転送するための追加のコマンドを使用します
• SMAは、Centralized Services -> Policy, Virus and Outbreak Quarantinesで定義されているインターフェイスおよびポートで接続をリッスンします。  デフォルトではポートは7025ですが、adminユーザによって変更されている可能性があります。
• ESAは、セキュリティサービス – >ポリシー、ウイルスおよびアウトブレイク隔離で定義されたインターフェイスおよびポートで接続をリッスンします。  ここでも、デフォルトではポートは7025ですが、これはadminユーザによって変更されている可能性があります。
• また、SMAはSSH（コマンドクライアント経由）を使用してESAから設定情報を取得します。  特に、これはSMAがリリースされた電子メールをESAに配信する場合に使用されます。SMAはSSHを使用してESA設定を照会し、リリースされた電子メールを配信するインターフェイス/ポートを決定します。

リスナー

• ESAとSMAの両方に、指定されたポートでリッスンする「cpq_listener」と呼ばれる非表示のリスナーがあります。
• これらのリスナーは、コンフィギュレーションファイルで確認できます。  例：
  
  

  <listener>
        <listener_name>cpq_listener</listener_name>
        <protocol>CPQ</protocol>
        <interface_name>Incoming Mail</interface_name>
        <port>7025</port>
        <listen_queue_size>50</listen_queue_size>
        <type>private</type>
        <hat>
  $RELAYED
      RELAY {}
  $BLOCKED
      REJECT {}
  RELAYLIST:
      10.1.2.3
          $RELAYED (Only select hosts can relay from this box)
  ALL
      $BLOCKED (Everyone else)
        </hat>
        <rat>
          <rat_entry>
            <rat_address>ALL</rat_address>
            <access>ACCEPT</access>
          </rat_entry>
        </rat>
  
  

• 管理者ユーザーが「suspendlisteners all」または「suspend」を使用している場合、これらのリスナーは中断されます。  ポートが接続を受け入れない場合は、システムステータスが「オフライン」かどうかを確認し、必要に応じて再開します。

ESAからSMAへの配信のトラブルシューティング

• ESAが設定されたポートおよびインターフェイスでSMAに接続できることを確認します。  これはtelnetを使用して実行できます。  通信が成功した場合は、220のバナーが表示されます。
• ESAには、'the.cpq.host'という宛先オブジェクトがあります。このオブジェクトには、SMAへの配信のためにキューに入れられたメッセージが含まれています。これは、'tophosts'またはMonitor -> Delivery Statusを使用して確認できます。   必要に応じて、'hoststatus'を使用することはできませんが、'showrecipients'および'deleterecipients'を使用できます。

SMAからESAへの配信のトラブルシューティング

• SMAが設定されたポートおよびインターフェイスでESAに接続できることを確認します。  ここでもTelnetを使用でき、成功した場合は220のバナーが表示されます。
• クラスタを使用する場合は、「セキュリティサービス」 – >「ポリシー、ウイルス、およびアウトブレイク隔離」でクラスタレベルで定義されたインターフェイスが、マシンレベルですべてのアプライアンスに対して存在することが重要です。  （Network -> IP Interfacesをチェックします）。
• SMAには、'the.cpq.release.host'という宛先オブジェクトが含まれます。このオブジェクトには、ESAへの配信のためにキューに入れられる間に解放されたメッセージが含まれます。これは、'tophosts'を使用して確認できます。  これは'hoststatus'や'showrecipients'では動作しないようなので、'deletelecipients'でテストしていませんが、おそらく動作しません。
• SMAとESAの間のSSH通信にも問題がある可能性があります。これらの問題は必ずしもネットワークベースではありません。たとえばCSCus29647では、SMAの内部コンポーネントが動作しなくなります。  このような問題は通常、メールログにアプリケーションの障害として表示され、通常はSMAをリブートすることで解決できます。

TLS/証明書

• どちらの方向のCPQ接続もTLSに依存するため、暗号設定が役割を果たすことができます。
• TLS接続が成功するためには、接続を開いているデバイスが、受信側デバイスが隠れCPQ証明書を使用していることを確認できる必要があります。  アプライアンスが匿名の暗号をネゴシエートする場合、これが失敗する可能性があります。  これは、ログに次のように表示されます。
  
  

  Mon Apr  1 12:00:00 2014 Info: New SMTP DCID 123456 interface 10.0.0.2 address 10.0.0.1 port 7025
  Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS failed: verify error: no certificate from server
  Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS was required but could not be successfully negotiated
  
  

• これらの問題を解決するには、単に発信配信暗号リストから匿名の暗号を削除します。これを行うには、暗号リストの最後に「:-aNULL」を追加します。  例：HIGH:MEDIUM:-aNULL

ログファイル

• SMAにメールログサブスクリプションがある場合（デフォルト）、メールログを確認して詳細な情報を収集できます。
• SMAに隔離されているメッセージとESAにリリースされたメッセージの両方に対するCPQ受信イベントは次のようになります
  
  

  New CPQ ICID 12345 interface Management (10.10.10.1) address 10.10.20.1 reverse dns host unknown verified no
  
  

• grepを使用してこれらのイベントを検索できます。例：grep "CPQ ICID" mail_logs
• ESAからの隔離とSMAからの隔離からのリリースの両方を含むCPQ配信イベントは、カスタムポートがリストされ、数行に「一元化されたポリシー隔離」という文言が含まれるという点を除き、他の配信と似ています。次に例を示します。
  
  

  Fri Sep 13 15:08:02 2013 Info: New SMTP DCID 12345 interface 10.10.20.1 address 10.10.10.1 port 7025
  Fri Sep 13 15:08:02 2013 Info: DCID 12345 TLS success protocol TLSv1 cipher RC4-SHA the.cpq.host
  Fri Sep 13 15:08:02 2013 Info: Delivery start DCID 12345 MID 23456 to RID [0] to Centralized Policy Quarantine
  Fri Sep 13 15:08:02 2013 Info: Message done DCID 12345 MID 23456 to RID [0] (centralized policy quarantine)
  Fri Sep 13 15:08:07 2013 Info: DCID 12345 close
  
  

• これらのイベントを確認するには、grepを使用してポートを検索します。例：grep "port 7025" mail_logs

ESAの「Enable」ボタンが無効

ESAでPVOを有効にしようとすると、前提条件となるすべての設定が完了しているにもかかわらず、「Enable」ボタンがグレー表示されることがあります。ESAがPVOページを表示すると、ポート7025を介してSMAと通信し、設定を有効にする準備ができていることを確認します。  この通信が失敗すると、[有効]ボタンは無効になります。  ESAで「port 7025」をgreppingすることにより、ESA -> SMAポート7025通信と同様に、これをトラブルシューティングできます。詳細については、「関連情報」に記載されているテクニカルノートを参照してください。

関連情報

• ESA がクラスタ化されている場合の PVO 移行ウィザードの要件
• ESA 一元化ポリシー、ウイルスおよびアウトブレイク隔離（PVO）を有効にできない