Bèta-ESE configureren om productie-ESA-verkeer te accepteren

Inleiding

Dit document beschrijft hoe u een Bèta Cisco e-mail security applicatie (ESA) moet configureren om ESA-verkeer in productie via een berichtfilter te accepteren.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Bèta-applicatie configureren

Luisterconfiguratie voor Bèta ESA

De eerste luisteraarconfiguratie moet worden ingevuld op de bèta-ESA.

1. Navigeer vanuit de GUI naar Netwerk > Luisteraars.
2. Klik op Luidspreker toevoegen...
3. Naam en opstelling een Openbare Luisteraar die op TCP poort 25 loopt.
4. Klik op Indienen om de wijzigingen in de openbare Listener op te slaan.
5. Herhaal de zelfde stappen en voeg een tweede luisteraar toe.
6. Naam en opstelling een Private Listener die draait op TCP poort 26. (Deze luisteraar wordt gebruikt voor uitgaande mail.) U kunt poort 25 gebruiken als er een extra interface beschikbaar is die geconfigureerd is voor uw omgeving. CES Hosted Beta omgeving heeft poort 587 gereserveerd voor uitgaand.
7. Verzenden om wijzigingen in de Listener op te slaan.
8. Verbind zich ertoe alle wijzigingen in de configuratie op te slaan.

Sender Group voor Bèta ESA

Voor doorgifte van verkeers- of uitgaande berichten het (de) geëigende IP-adres(sen) van de Bèta-ESE invullen om berichten van de productie-ESA te ontvangen en door te geven.

1. Ga vanuit de GUI naar Mail Policies > HAT Overzicht.
2. Selecteer de juist genoemde Relay Sender Group. (Dit wordt gewoonlijk RELAY genoemd, of RELAYLIST.)
3. Klik op Verzender toevoegen...
4. Gebruik voor Afzender het IP-adres van de productie-ESE.
5. Voer indien nodig administratieve opmerkingen in.
6. Verzenden om wijzigingen in de Relay Sender Group op te slaan.
7. Verbind zich ertoe alle wijzigingen in de configuratie op te slaan.

Simple Mail Transfer Protocol (SMTP)-routers voor Bèta ESA

Wijzigingen in de SMTP-route die op de Bèta-ESA moeten worden aangebracht, zijn als volgt:

1. Navigeer vanuit de GUI naar Network > SMTP-routers.
2. Als er huidige SMTP-routes zijn, moet u deze mogelijk selecteren en verwijderen voordat u doorgaat. (Controleer of u de Bèta Lab Setup-handleiding kunt bekijken.)
3. Klik op Add Route... (Route toevoegen)
4. Stel het ontvangstdomein in als cisco.com en Bestemming als USEDNS.
5. Klik op Verzenden.
6. Herhaal dezelfde stappen en voeg toe in een tweede SMTP-route.
7. Stel het Ontvangende Domein voor aironport.com en Bestemming in zoals USEDNS.
8. Klik op Verzenden.
9. Selecteer tot slot Alle andere domeinen uit Ontvangend Domein.
10. Stel de Bestemming in als /dev/null. (Dit voorkomt het verzenden van e-mail vanuit het Bèta-apparaat voor alle domeinen die niet zijn geconfigureerd.)
11. Klik op Verzenden.
12. Verbind zich ertoe alle wijzigingen in de configuratie op te slaan.

Op dit moment zijn SMTP-routes op het bèta-apparaat zoals in het beeld:

Opmerking: voeg de juiste routes toe om e-mails te leveren om eindgebruikers te testen op domeinen zoals nodig.

Inkomende relay voor Bèta ESA

De inkomende relay-configuratie stelt de bèta in staat om de SBRS-score te halen boven die van de Production ESA.

De meeste configuraties werken met één hop.

1. GUI, navigeer naar netwerk inkomende relay.
2. Klik op "Inschakelen" om de kleur wit te maken.
3. Klik op Relay toevoegen.
4. Kies een naam.
5. "IP-adres"-waarde van de productie-ESE die aan de Beta-ESE levert. Gedeeltelijke hostname is acceptabel als meerdere hosts leveren.
6. "Hop:" 1
7. Veranderingen verzenden en doorvoeren

Inkomende relay: Gehandicapte staat.

Inkomende Relay: Ingeschakelde staat, gekleurd wit.

Inkomende relay: voorbeeldsjabloon

Inkomende relay: overzichtsweergave na verzenden.

Bemonstering in het e-maillogboek:

Mon apr 8 12:48:28 2019 Info: MID 2422822 IncomingRelay (PROD_hc2881-52): Kop ontvangen gevonden, IP 54.240.35.22 gebruikt, SBRS 3.5 land Verenigde Staten

Logkoppen inschakelen om het vonnis in spamming in de maillogbestanden op te nemen

• Webex > Systeembeheer > Log-abonnementen > Globale instellingen (onderkant) > Koppen >(toevoegen)   X-IronPort-anti-spam-resultaat

Koppen naar e-maillogbestanden loggen

EINDE VAN CONFIGURATIE BÈTAZIJDE.

Productie-applicatie configureren

Waarschuwing: u staat op het punt om wijzigingen aan te brengen in een productie-ESA. Zorg ervoor dat u een back-up maakt van de huidige configuratie.

1. Ga vanuit de GUI naar Systeembeheer > Configuratiebestand.
2. Selecteer in het gedeelte Huidige configuratie een van de opties voor het maken van een back-up van de huidige configuratie als bestand: 
   • Bestand downloaden naar lokale computer om op te slaan of weer te geven.
   • E-mailbestand naar: <your_email_address@domain.com>
3. Klik op Verzenden.

SMTP-routes voor productie-ESE’s

SMTP-routes moeten worden toegevoegd om BCC mogelijk te maken voor alle inkomende en uitgaande e-mails van de productie-ESA naar de bèta-ESA. Bij dit voorbeeld worden inbound.beta.com en outbound.beta.com gebruikt.

1. Navigeer vanuit de GUI naar Network > SMTP-routers.
2. Klik op Add Route... (Route toevoegen)
3. Stel het Ontvangende Domein in als inbound.beta.com met Bestemming als IP adres van het Beta-apparaat Openbare Luisteraar die vroeger, met de haven wordt geplaatst die aan 25 wordt geplaatst.
4. Klik op Indienen om wijzigingen in deze nieuwe SMTP-route op te slaan.
5. Herhaal dezelfde stappen, Route toevoegen...
6. Stel het ontvangstdomein in als outbound.beta.com, Destination Hosts als het IP-adres van het eerder gemaakte Bèta-apparaat private Listener, en de poort op 26.
7. Indienen om de wijzigingen in deze nieuwe SMTP-route op te slaan.
8. Verbind zich ertoe alle wijzigingen in de configuratie op te slaan.

Op dit moment, SMTP Routes op de Productie ESA zoals getoond in het beeld:

Creatie van bounce profiel

Een combinatie van Bounce Profiel en Bestemmingscontrole Profiel zal de productie e-mail stroom beschermen tegen complicaties die geassocieerd zijn met vertragingen of nalatigheden om berichten aan de Bèta Hosts te leveren. Deze configuratie is alleen van toepassing op de bèta-berichten.

1. Ga vanuit de GUI naar Netwerk > Bounce Profielen > Bounce profiel toevoegen.
2. Maximum aantal pogingen opnieuw: 15
3. Maximale tijd in wachtrij: 130
4. Eerste tijd om te wachten per bericht: 60
5. Maximale wachttijd per bericht: 60
6. Verzend Harde Bounce Berichten: NEE
7. Waarschuwingsberichten voor uitstel verzenden: NEE
8. Domain Key Signing gebruiken voor Bounce en Delay Berichten: NEE
9. Verzenden om de wijzigingen in dit nieuwe Bounce-profiel op te slaan.
10. Opslaan van alle wijzigingen in de configuratie. 

Creatie van bounce profiel

Opmerking: de bovenstaande genummerde waarden zijn zeer agressief geconfigureerd om back-ups van leveringswachtrijen te voorkomen in het geval van een leveringsonderbreking van de bètahosts. De waarden kunnen naar voorkeur worden gewijzigd. De meldingsinstellingen zijn opzettelijk ingesteld op NO om te voorkomen dat meldingen van gebruikers worden geleverd door de BCC Filters. 

Profiel doelgroepen maken

1. Ga vanuit de GUI naar Postbeleid > Bestemmingscontroles > Bestemming toevoegen.
2. Bestemming: inbound.beta.com
3. Bounce Verification: > Adres tagging uitvoeren: NO > or Default (NO)
4. Bounce Profiel: BÈTA_BOUNCE
5. De andere waarden kunnen worden geconfigureerd op basis van de voorkeur van de beheerder.
6. Verzenden om de wijzigingen in dit nieuwe doelcontroleprofiel op te slaan.
7. Herhaal stap 2-6 met het doelprogramma: outbound.beta.com
8. Verzenden om de wijzigingen in dit nieuwe doelcontroleprofiel op te slaan.
9. Verbind zich ertoe alle wijzigingen in de configuratie op te slaan.

Bestemmingscontroleprofielen toevoegen.Overzichtsweergave van nieuwe doelcontroleprofielen.

Berichtfilter Constructie voor productie ESA

Van de CLI op de productie ESA, construeer een berichtenfilter dat BCC e-mails kan naar de juiste Luisteraar op de Bèta ESA.

1. Navigeer naar Filters > NIEUW.
2. Kopieer en plak dit voorbeeld van een berichtfilter en breng waar nodig de wijzigingen aan:

   bcc-EFT: if sendergroup == "RELAY" {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "outbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
    } else {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "inbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
   }
   .

3. Ga terug naar de CLI-prompt.
4. Verbind zich ertoe alle wijzigingen in de configuratie op te slaan.

Opmerking: Beperk het verkeer dat gekopieerd is in het berichtfilter op basis van sendergroup, recv-luisteraar, mail-vanaf of andere beschikbare regels en syntaxis. Raadpleeg de ESA-gebruikershandleiding voor de volledige regels voor het berichtenfilter en de samenvatting van de regels voor het filteren.

Creatie van bounce profiel

Profiel doelgroepen maken

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

Op dit moment accepteert het Bèta-apparaat e-mailverkeer van het Productie-apparaat. Voer staartmail_logs uit om te verifiëren vanaf CLI op het bèta-apparaat:

Wed Mar 23 17:28:43 2016 Info: New SMTP ICID 2 interface Management (172.18.250.222) address 172.18.250.224 reverse dns host dhcp-172-18-250-224.cisco.com verified yes
Wed Mar 23 17:28:43 2016 Info: ICID 2 RELAY SG RELAY match 172.18.250.1/24 SBRS not enabled
Wed Mar 23 17:28:43 2016 Info: Start MID 2 ICID 2
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 From: <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 RID 0 To: <robsherw@ironport.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 Message-ID '<a033ed$2@9.9.5-038.local>'
Wed Mar 23 17:28:43 2016 Info: MID 2 Subject 'TEST 2'
Wed Mar 23 17:28:43 2016 Info: MID 2 ready 320 bytes from <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 matched all recipients for per-recipient policy DEFAULT in the outbound table
Wed Mar 23 17:28:43 2016 Info: MID 2 queued for delivery
Wed Mar 23 17:28:43 2016 Info: New SMTP DCID 3 interface 172.18.250.222 address 173.37.93.161 port 25
Wed Mar 23 17:28:43 2016 Info: Delivery start DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: Message done DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: MID 2 RID [0] Response '2.0.0 u2NHSipG018673 Message accepted for delivery'
Wed Mar 23 17:28:44 2016 Info: Message finished MID 2 done
Wed Mar 23 17:28:48 2016 Info: ICID 2 close
Wed Mar 23 17:28:49 2016 Info: DCID 3 close

In de SMTP-mededeling wordt op 172.18.250.222 (Bèta-apparaat) vastgesteld. Het adres van waaruit het verkeer wordt verzonden is 172.18.250.224 (Productieapparaat).

De afzendergroep die de communicatie ontvangt is RELAY, doorgestuurd verkeer van het 172.18.250.1/24 netwerk.

De rest is de communicatie van het TEST 2-bericht.

Controleer en voer staartmail_logs uit op het productieapparaat.  De MID verwerkt op productie zou tonen:

Wed Mar 23 14:50:10 2016 Info: MID 242 was generated based on MID 241 by bcc filter 'bcc-EFT'

Dit zou een duidelijke gesneden versplintering van het e-mailbericht zoals ontvangen en BCC'd over naar het Bèta-apparaat en test eindgebruiker zoals bedoeld voor ontvangst.

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Aanvullende informatie

Een content filter kan worden overwogen om het verschil te maken tussen Productie- en Bèta-e-mailverkeer voor testeindgebruikers.

1. Ga vanuit de GUI op de Bèta ESA naar Mail Policies > Inkomende contentfilters of mailbeleid > Uitgaande contentfilters.
2. Construeer een filter voor basisinhoud om een actie van Kop Toevoegen/Bewerken uit te voeren.
3. Klik op Indienen om de wijzigingen in het samengestelde inhoudsfilter op te slaan.
4. Mail Beleid > Inkomende Mail Beleid of Mail Beleid > Uitgaande Mail Beleid, inschakelen en toevoegen van de nieuwe content filter aan de Policy naam.
5. Klik op Indienen om het filter voor de inhoud op te slaan in dat beleid.
6. Klik op Commit om alle wijzigingen in de configuratie op te slaan.

Op dit moment is het inhoudsfilter op de Bèta-ESA zoals in de beelden:

Nu, wanneer een e-mailbericht wordt ontvangen op de Bèta ESA kunt u dit zien in de Onderwerpregel van de e-mail eenmaal verwerkt zoals getoond in de afbeelding:

Gerelateerde informatie

• Hoe een ESA/SMA te configureren voor testupdates

• Technische ondersteuning en documentatie – Cisco Systems