複数のサービスによってフラグが付けられた場合のESA/CES隔離順序

ダウンロード オプション

  • PDF     (497.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (250.4 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (190.9 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2020 年 6 月 23 日
Document ID:214588

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、複数のサービスによって隔離の対象となるEメールにフラグが付けられた場合のCisco Eメールセキュリティアプライアンス(ESA)およびクラウドEメールセキュリティ(CES)デバイスの動作と、残りのEメールパイプラインを通過するEメールのフローについて説明します。

    前提条件

    要件

    このドキュメントに関する固有の要件はありません。

    使用するコンポーネント

    このドキュメントの情報は、AsyncOS 12.1.0バージョンが稼働するCisco ESAに基づくものです。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    フィルタリングのためにCisco ESAおよびCESデバイスを通過する電子メールは、電子メールのワークキューパイプラインに従います。パイプラインは静的であり、検疫用の電子メールにフラグを付けるために定義された複数のサービスから複数のアクションが発生した場合、パイプラインに従った順序には従わず、ESA/CESはそれ自体の順序で検疫を行います。

    :アクションが(最終処理)に設定されたフラグが付いた電子メールは、ただちに優先され、作業キュー処理を終了します。

    複数のサービスによって隔離のフラグが付けられた場合の電子メールの動作

    電子メールは、最初にポリシーのウイルス発生(PVO)隔離に優先順位付けされます。PVOは、電子メールが保持されている他のすべての隔離をリストするため、ポリシー隔離の順序は特にありません。いずれかのPVO検疫から電子メールが解放された後、その電子メールはフラグが設定されるそれぞれの検疫に保持されます。

    電子メールがリリースされた後(手動で、またはデフォルトアクションがリリースに設定されているタイマーを介して)、電子メールはスパム検疫に入ります。電子メールは、スパム隔離から解放されると、それ以降の最終的な配信のために配信キューに移動します。

    :1つのPVO検疫から削除された電子メールは、それ以降に保留されるすべての検疫からも削除されます。

    • ポリシーおよびウイルス検疫から解放されたメッセージは、アンチウイルス、高度なマルウェア防御、およびグレイメールエンジンによって再スキャンされます。
    • アウトブレイク隔離から解放されたメッセージは、アンチスパム、アンチウイルス、およびAMPエンジンによって再スキャンされます。
    • ファイル分析検疫から解放されたメッセージは、脅威に対して再スキャンされます。
    • 添付ファイルを含むメッセージは、ポリシー、ウイルス、およびアウトブレイク隔離からのリリース時にファイルレピュテーションサービスによって再スキャンされます。

    ESAによるフィルタリングを使用した最初の電子メールインジェクション。この出力では、スパム検疫、ウイルス検疫、およびポリシー検疫によってフラグが付けられていることがわかります。

    Thu Jun 27 12:51:03 2019 Info: Start MID 378951 ICID 391696
    Thu Jun 27 12:51:03 2019 Info: MID 378951 ICID 391696 From: <matt@lee2.com>
    Thu Jun 27 12:51:10 2019 Info: MID 378951 ICID 391696 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:51:14 2019 Info: MID 378951 Subject 'Test email with AV EICAR and other triggers'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 ready 3292 bytes from <matt@lee2.com>
    Thu Jun 27 12:51:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim verdict using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: MID 378951 using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:51:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:51:15 2019 Info: MID 378951 attachment 'testAV.txt'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 URL https://ihaveabadreputation.com has reputation -9.3 matched Condition: URL Reputation Rule
    Thu Jun 27 12:51:15 2019 Info: MID 378951 Custom Log Entry:  - Match whole word filter
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Policy" (content filter:contnet_quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Virus" (a/v verdict:VIRAL)
    Thu Jun 27 12:51:15 2019 Info: Message finished MID 378951 done
    Thu Jun 27 12:51:15 2019 Info: ICID 391696 close

    隔離の内部を調査すると、マークを付けたPVO隔離に保持されている電子メールと、その電子メールがマークされている他の隔離が表示されます。

    この隔離が解除されると、このイベントがmail_logsに記録され、他の隔離にも反映されて、他の隔離では使用できなくなります。

    Thu Jun 27 12:52:59 2019 Info: MID 378951 released from quarantine "Virus" (manual) t=104

    残りのPVO隔離から解放し、それ以降、電子メールがフラグが設定されたスパム隔離に移動できるようにします。

    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from quarantine "Policy" (manual) t=180
    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from all quarantines
    Thu Jun 27 12:54:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:54:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:54:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:54:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:54:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:54:15 2019 Info: MID 378951 queued for delivery
    Thu Jun 27 12:54:15 2019 Info: RPC Delivery start RCID 13914 MID 378951 to local IronPort Spam Quarantine
    Thu Jun 27 12:54:15 2019 Info: ISQ: Quarantined MID 378951
    Thu Jun 27 12:54:15 2019 Info: RPC Message done RCID 13914 MID 378951
    Thu Jun 27 12:54:15 2019 Info: Message finished MID 378951 done

    スパム検疫の最終リリースでは、電子メールは配信キュー宛てに送信されます。

    Thu Jun 27 12:55:33 2019 Info: Start MID 378952 ICID 0 (ISQ Released Message)
    Thu Jun 27 12:55:33 2019 Info: ISQ: Reinjected MID 378951 as MID 378952
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 From: <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 Subject '[WARNING: MALWARE DETECTED][SPAM] Test email with AV EICAR'
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ready 9661 bytes from <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 queued for delivery

    関連情報

    更新履歴

    改定 発行日 コメント
    1.0
    01-Jul-2019
    初版

    提供

    • マシュー・フイン
      シスコアドバンスドサービス

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています