ESA/CES-quarantaine orde bij markering door meerdere services

Downloadopties

  • PDF     (427.2 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (254.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (194.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:23 juni 2020
Document-id:214588

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft het gedrag van de apparaten van Cisco Email Security Applicatie (ESA) en Cloud Email Security (CES) wanneer een e-mail wordt gemarkeerd door meerdere services voor quarantaine en de stroom van de e-mail door de rest van de e-mailpijpleiding.

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op Cisco ESA met AsyncOS 12.1.0 versie.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    E-mails die door de Cisco ESA- en CES-apparaten stromen voor filtering volgen de e-mail werkwachtrij pijplijn. De pijpleiding is statisch en als er meerdere acties zijn van meerdere diensten die zijn gedefinieerd om een e-mail te markeren voor de quarantaine, volgt deze niet de volgorde zoals in de pijpleiding; in plaats daarvan de ESA/CES quarantaine het met zijn eigen orde.

    Opmerking: e-mails die zijn gemarkeerd met acties ingesteld op (Definitieve actie) krijgen onmiddellijke voorrang en gaan uit de werkvoorraad verwerking.

    Wat gebeurt er met de e-mail wanneer deze wordt gemarkeerd door meerdere services voor quarantaine?

    De e-mail wordt eerst in de Policy Virus Outbreak (PVO) quarantaine geplaatst. Er is geen specifieke volgorde waarin het beleid in quarantaine gaat als het PVO elke andere quarantaine de e-mail ook in wordt gehouden. Nadat de e-mail is vrijgegeven uit een van de PVO quarantaine, wordt het in elke van de desbetreffende quarantaine gehouden om te worden gemarkeerd in.

    Nadat de e-mail is vrijgegeven (handmatig of via de timer waarin de standaardactie is ingesteld om vrij te geven), voeren de e-mails vervolgens de spamquarantaine in. Wanneer de e-mail wordt vrijgegeven van de spamquarantaine, wordt het overgezet in de leveringsrij voor de definitieve levering daarna.

    Opmerking: Een e-mail die is verwijderd van één PVO quarantaine, zal de e-mail verwijderen uit alle volgende quarantaine die het heeft gehouden in ook.

    • Berichten die zijn vrijgegeven van Policy en Virus quarantaine worden opnieuw gescand door de anti-virus, geavanceerde malware bescherming en grijsmail machines.
    • Berichten die uit de Outbreak quarantaine zijn vrijgegeven, worden opnieuw gescand door de anti-spam, anti-virus, en AMP motoren.
    • Berichten die uit de quarantaine van de Bestandsanalyse worden vrijgegeven, worden opnieuw gescand voor bedreigingen.
    • Berichten met bijlagen worden door de bestandsreputatieservice opnieuw gescand bij vrijgave van Policy, Virus en Outbreak quarantaine.

    Eerste e-mail injectie met filtering uitgevoerd door de ESA. In deze output ziet u het door de spamquarantaine, virusquarantaine, en beleidsquarantaine wordt gemarkeerd:

    Thu Jun 27 12:51:03 2019 Info: Start MID 378951 ICID 391696
    Thu Jun 27 12:51:03 2019 Info: MID 378951 ICID 391696 From: <matt@lee2.com>
    Thu Jun 27 12:51:10 2019 Info: MID 378951 ICID 391696 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:51:14 2019 Info: MID 378951 Subject 'Test email with AV EICAR and other triggers'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 ready 3292 bytes from <matt@lee2.com>
    Thu Jun 27 12:51:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim verdict using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: MID 378951 using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:51:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:51:15 2019 Info: MID 378951 attachment 'testAV.txt'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 URL https://ihaveabadreputation.com has reputation -9.3 matched Condition: URL Reputation Rule
    Thu Jun 27 12:51:15 2019 Info: MID 378951 Custom Log Entry:  - Match whole word filter
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Policy" (content filter:contnet_quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Virus" (a/v verdict:VIRAL)
    Thu Jun 27 12:51:15 2019 Info: Message finished MID 378951 done
    Thu Jun 27 12:51:15 2019 Info: ICID 391696 close

    Na onderzoek in de quarantaine, e-mail in de PVO quarantaine die u gemarkeerd zijn, worden gezien, evenals alle andere quarantaine het vlaggen om te zijn in.

    Nadat het uit deze quarantaine is vrijgekomen, registreert het deze gebeurtenis in uw mail_logs en reflecteert op de andere quarantaine ook dat het niet meer beschikbaar is in de andere quarantaine.

    Thu Jun 27 12:52:59 2019 Info: MID 378951 released from quarantine "Virus" (manual) t=104

    Laat het vrij uit de PVO quarantaine die blijft toestaan de e-mails om te reizen naar de gemarkeerd spam quarantaine daarna.

    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from quarantine "Policy" (manual) t=180
    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from all quarantines
    Thu Jun 27 12:54:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:54:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:54:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:54:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:54:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:54:15 2019 Info: MID 378951 queued for delivery
    Thu Jun 27 12:54:15 2019 Info: RPC Delivery start RCID 13914 MID 378951 to local IronPort Spam Quarantine
    Thu Jun 27 12:54:15 2019 Info: ISQ: Quarantined MID 378951
    Thu Jun 27 12:54:15 2019 Info: RPC Message done RCID 13914 MID 378951
    Thu Jun 27 12:54:15 2019 Info: Message finished MID 378951 done

    Daar bij de definitieve versie van de spamquarantaine, is de e-mail bestemd voor de leveringsrij.

    Thu Jun 27 12:55:33 2019 Info: Start MID 378952 ICID 0 (ISQ Released Message)
    Thu Jun 27 12:55:33 2019 Info: ISQ: Reinjected MID 378951 as MID 378952
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 From: <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 Subject '[WARNING: MALWARE DETECTED][SPAM] Test email with AV EICAR'
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ready 9661 bytes from <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 queued for delivery

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    01-Jul-2019
    Eerste vrijgave

    Bijdrage van

    • Mathew Huynh
      Cisco geavanceerde services

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten