Hoe een voorbeeldbericht te verzenden om er zeker van te zijn dat een antivirusprogramma op een Cisco e-mail security applicatie (ESA) wordt gescand
Inhoud
Inleiding
Dit document beschrijft hoe u een voorbeeldbericht kunt verzenden om er zeker van te zijn dat de antivirusprogramma's van Sophos of de antivirusprogramma's van McAfee op een Cisco e-mail security applicatie (ESA) scannen.
Hoe een voorbeeldbericht te verzenden om er zeker van te zijn dat een antivirusprogramma op een Cisco e-mail security applicatie (ESA) wordt gescand
Door een voorbeeldbericht met een testvirale lading door de ESA te verzenden, kunnen we de Sophos of McAfee anti-virus motor activeren. Voorafgaand aan het uitvoeren van de stappen die in dit document worden vermeld, moet u uw Inkomende of Uitgaande Mail Beleid instellen en het e-mailbeleid configureren om anti-virus drop of quarantaine virus geïnfecteerde berichten te hebben. In dit document wordt de ASCII-code gebruikt die is verstrekt door het EICAR (www.eicar.org) dat een testvirus als bijlage zal simuleren:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Een TXT-bestand maken
Maak met behulp van de ASCII-string hierboven een .txt-bestand en plaats de string zoals deze geschreven is als de hoofdtekst van het bestand. U kunt dit bestand als een bijlage in uw voorbeeldbericht verzenden.
Bemonsteringsbericht verzenden
Afhankelijk van hoe u werkt, kunt u het voorbeeldbericht via de ESA op verschillende manieren verzenden. Twee voorbeeldmethoden zijn via UNIX CLI met behulp van de mail of vanuit Outlook (of andere e-mailtoepassing).
UNIX CLI
joe@unix.local:~$ echo "TEST MESSAGE w/ ATTACHMENT" | mail -s "A/V test example" -A av.txt bob@av.esa
Uw UNIX-omgeving moet correct worden ingesteld om e-mail via uw ESA te verzenden of door te geven.
Vooruitzichten
Met Outlook (of een andere e-mailtoepassing) hebt u twee keuzes bij het verzenden van de ASCII-code: 1) met behulp van het gemaakte .txt-bestand, 2) direct plakken van de ASCII-string in de hoofdtekst van het e-mailbericht.
Het .txt-bestand als een bijlage gebruiken:
De ASCII-tekenreeks gebruiken in de hoofdtekst van het e-mailbericht:
Uw Outlook (of een andere e-mailtoepassing) moet correct worden ingesteld om e-mail te verzenden of door te geven via uw ESA.
Verificatie
Gebruik in de ESA CLI de opdracht tail mail_logs voordat u het voorbeeldbericht verstuurt. Tijdens het bekijken van het e-maillogbestand ziet u dat het bericht gescand en door McAfee als "VIRAL" gepakt wordt:
Wed Sep 13 11:42:38 2017 Info: New SMTP ICID 306 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
Wed Sep 13 11:42:38 2017 Info: ICID 306 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
Wed Sep 13 11:42:38 2017 Info: Start MID 405 ICID 306
Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 From: <joe@example.com>
Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 RID 0 To: <bob@av.esa>
Wed Sep 13 11:42:38 2017 Info: MID 405 Message-ID '<20170913153801.0EDA1A0121@example.com>'
Wed Sep 13 11:42:38 2017 Info: MID 405 Subject 'A/V test attachment'
Wed Sep 13 11:42:38 2017 Info: MID 405 ready 1057 bytes from <joe@example.com>
Wed Sep 13 11:42:38 2017 Info: MID 405 attachment 'av.txt'
Wed Sep 13 11:42:38 2017 Info: ICID 306 close
Wed Sep 13 11:42:38 2017 Info: MID 405 matched all recipients for per-recipient policy my_av in the inbound table
Wed Sep 13 11:42:38 2017 Info: MID 405 interim AV verdict using McAfee VIRAL
Wed Sep 13 11:42:38 2017 Info: MID 405 antivirus positive 'EICAR test file'
Wed Sep 13 11:42:38 2017 Info: MID 405 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
Wed Sep 13 11:42:38 2017 Info: MID 405 queued for delivery
Wed Sep 13 11:42:38 2017 Info: New SMTP DCID 239 interface 10.1.2.84 address 10.1.2.87 port 7025
Wed Sep 13 11:42:38 2017 Info: DCID 239 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
Wed Sep 13 11:42:38 2017 Info: Delivery start DCID 239 MID 405 to RID [0] to Centralized Policy Quarantine
Wed Sep 13 11:42:38 2017 Info: Message done DCID 239 MID 405 to RID [0] (centralized policy quarantine)
Wed Sep 13 11:42:38 2017 Info: MID 405 RID [0] Response 'ok: Message 49 accepted'
Wed Sep 13 11:42:38 2017 Info: Message finished MID 405 done
Wed Sep 13 11:42:43 2017 Info: DCID 239 close
Hetzelfde bericht verzonden en gescand door Sophos:
Wed Sep 13 11:44:24 2017 Info: New SMTP ICID 307 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
Wed Sep 13 11:44:24 2017 Info: ICID 307 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
Wed Sep 13 11:44:24 2017 Info: Start MID 406 ICID 307
Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 From: <joe@example.com>
Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 RID 0 To: <bob@av.esa>
Wed Sep 13 11:44:24 2017 Info: MID 406 Message-ID '<20170913153946.E20C7A0121@example.com>'
Wed Sep 13 11:44:24 2017 Info: MID 406 Subject 'A/V test attachment'
Wed Sep 13 11:44:24 2017 Info: MID 406 ready 1057 bytes from <joe@example.com>
Wed Sep 13 11:44:24 2017 Info: MID 406 attachment 'av.txt'
Wed Sep 13 11:44:24 2017 Info: ICID 307 close
Wed Sep 13 11:44:24 2017 Info: MID 406 matched all recipients for per-recipient policy my_av in the inbound table
Wed Sep 13 11:44:24 2017 Info: MID 406 interim AV verdict using Sophos VIRAL
Wed Sep 13 11:44:24 2017 Info: MID 406 antivirus positive 'EICAR-AV-Test'
Wed Sep 13 11:44:24 2017 Info: MID 406 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
Wed Sep 13 11:44:24 2017 Info: MID 406 queued for delivery
Wed Sep 13 11:44:24 2017 Info: New SMTP DCID 240 interface 10.1.2.84 address 10.1.2.87 port 7025
Wed Sep 13 11:44:24 2017 Info: DCID 240 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
Wed Sep 13 11:44:24 2017 Info: Delivery start DCID 240 MID 406 to RID [0] to Centralized Policy Quarantine
Wed Sep 13 11:44:24 2017 Info: Message done DCID 240 MID 406 to RID [0] (centralized policy quarantine)
Wed Sep 13 11:44:24 2017 Info: MID 406 RID [0] Response 'ok: Message 50 accepted'
Wed Sep 13 11:44:24 2017 Info: Message finished MID 406 done
Wed Sep 13 11:44:29 2017 Info: DCID 240 close
Op dit lab ESA, 'Virus Infected Messages' zijn geconfigureerd voor quarantaine voor "Actie toegepast op bericht" op het specifieke mailbeleid. De actie op uw ESA kan variëren, gebaseerd op de actie die is ondernomen voor virus geïnfecteerde berichten die worden verwerkt door anti-virus in uw e-mailbeleid.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
07-Aug-2014 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)