Como enviar uma mensagem de exemplo para garantir que o mecanismo antivírus esteja verificando em um Cisco Email Security Appliance (ESA)

Opções de download

  • PDF     (324.4 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (157.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (119.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:13 de setembro de 2017
ID do documento:118175

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como enviar uma mensagem de exemplo para garantir que o antivírus Sophos ou o mecanismo antivírus McAfee esteja fazendo a varredura em um Cisco Email Security Appliance (ESA).

    Como enviar uma mensagem de exemplo para garantir que o mecanismo antivírus esteja verificando em um Cisco Email Security Appliance (ESA)

    Enviando uma mensagem de exemplo com uma carga de vírus de teste através do ESA, podemos acionar o mecanismo antivírus Sophos ou McAfee.  Antes de executar as etapas listadas neste documento, você precisará configurar sua Política de recebimento ou envio de e-mail e configurar a política de e-mail para que as mensagens de antivírus infectadas sejam removidas ou colocadas em quarentena.  Este documento usa o código ASCII fornecido pela EICAR (www.eicar.org) que simulará um vírus de teste como um anexo:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    Observação: de acordo com a EICAR: este arquivo de teste foi fornecido à EICAR para distribuição como o "Arquivo de teste antivírus padrão EICAR" e atende a todos os critérios listados acima. É seguro passar por aí, porque não é um vírus e não inclui fragmentos de código viral. A maioria dos produtos reage a ele como se fosse um vírus (embora eles normalmente o relatam com um nome óbvio, como "EICAR-AV-Test").

    Criar um arquivo TXT

    Usando a sequência de caracteres ASCII acima, crie um arquivo .txt e coloque a sequência de caracteres escrita como o corpo do arquivo.  Você poderá enviar este arquivo como um anexo em sua mensagem de exemplo.

    Enviando mensagem de exemplo

    Dependendo de como você trabalha, você pode enviar a mensagem de amostra através do ESA de várias maneiras.  Dois métodos de exemplo são via CLI do UNIX usando o correio ou do Outlook (ou outro aplicativo de e-mail).

    CLI UNIX

    joe@unix.local:~$ echo "TEST MESSAGE w/ ATTACHMENT" | mail -s "A/V test example" -A av.txt bob@av.esa

    Seu ambiente UNIX precisará ser configurado corretamente para enviar ou retransmitir e-mails através de seu ESA.

    Outlook

    Usando o Outlook (ou outro aplicativo de e-mail), você tem duas opções para enviar o código ASCII por: 1) usando o arquivo .txt criado, 2) colagem direta da string ASCII no corpo da mensagem de e-mail.

    Usando o arquivo .txt como anexo:

    118175-technote-esa-00-00.png

    Usando a string ASCII no corpo da mensagem de e-mail:

    118175-technote-esa-00-01.png

    Seu Outlook (ou outro aplicativo de e-mail) precisará ser configurado corretamente para enviar ou retransmitir e-mails através de seu ESA.

    Verificação

    Na CLI do ESA, use o comando tail mail_logs antes de enviar a mensagem de exemplo.  Enquanto estiver observando o registro de e-mail, você verá que a mensagem foi verificada e capturada pela McAfee como "VIRAL":

    Wed Sep 13 11:42:38 2017 Info: New SMTP ICID 306 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
    Wed Sep 13 11:42:38 2017 Info: ICID 306 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
    Wed Sep 13 11:42:38 2017 Info: Start MID 405 ICID 306
    Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 From: <joe@example.com>
    Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 RID 0 To: <bob@av.esa>
    Wed Sep 13 11:42:38 2017 Info: MID 405 Message-ID '<20170913153801.0EDA1A0121@example.com>'
    Wed Sep 13 11:42:38 2017 Info: MID 405 Subject 'A/V test attachment'
    Wed Sep 13 11:42:38 2017 Info: MID 405 ready 1057 bytes from <joe@example.com>
    Wed Sep 13 11:42:38 2017 Info: MID 405 attachment 'av.txt'
    Wed Sep 13 11:42:38 2017 Info: ICID 306 close
    Wed Sep 13 11:42:38 2017 Info: MID 405 matched all recipients for per-recipient policy my_av in the inbound table
    Wed Sep 13 11:42:38 2017 Info: MID 405 interim AV verdict using McAfee VIRAL
    Wed Sep 13 11:42:38 2017 Info: MID 405 antivirus positive 'EICAR test file'
    Wed Sep 13 11:42:38 2017 Info: MID 405 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
    Wed Sep 13 11:42:38 2017 Info: MID 405 queued for delivery
    Wed Sep 13 11:42:38 2017 Info: New SMTP DCID 239 interface 10.1.2.84 address 10.1.2.87 port 7025
    Wed Sep 13 11:42:38 2017 Info: DCID 239 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
    Wed Sep 13 11:42:38 2017 Info: Delivery start DCID 239 MID 405 to RID [0] to Centralized Policy Quarantine
    Wed Sep 13 11:42:38 2017 Info: Message done DCID 239 MID 405 to RID [0] (centralized policy quarantine)
    Wed Sep 13 11:42:38 2017 Info: MID 405 RID [0] Response 'ok:  Message 49 accepted'
    Wed Sep 13 11:42:38 2017 Info: Message finished MID 405 done
    Wed Sep 13 11:42:43 2017 Info: DCID 239 close

    A mesma mensagem enviada e digitalizada pelo Sophos:

    Wed Sep 13 11:44:24 2017 Info: New SMTP ICID 307 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
    Wed Sep 13 11:44:24 2017 Info: ICID 307 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
    Wed Sep 13 11:44:24 2017 Info: Start MID 406 ICID 307
    Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 From: <joe@example.com>
    Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 RID 0 To: <bob@av.esa>
    Wed Sep 13 11:44:24 2017 Info: MID 406 Message-ID '<20170913153946.E20C7A0121@example.com>'
    Wed Sep 13 11:44:24 2017 Info: MID 406 Subject 'A/V test attachment'
    Wed Sep 13 11:44:24 2017 Info: MID 406 ready 1057 bytes from <joe@example.com>
    Wed Sep 13 11:44:24 2017 Info: MID 406 attachment 'av.txt'
    Wed Sep 13 11:44:24 2017 Info: ICID 307 close
    Wed Sep 13 11:44:24 2017 Info: MID 406 matched all recipients for per-recipient policy my_av in the inbound table
    Wed Sep 13 11:44:24 2017 Info: MID 406 interim AV verdict using Sophos VIRAL
    Wed Sep 13 11:44:24 2017 Info: MID 406 antivirus positive 'EICAR-AV-Test'
    Wed Sep 13 11:44:24 2017 Info: MID 406 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
    Wed Sep 13 11:44:24 2017 Info: MID 406 queued for delivery
    Wed Sep 13 11:44:24 2017 Info: New SMTP DCID 240 interface 10.1.2.84 address 10.1.2.87 port 7025
    Wed Sep 13 11:44:24 2017 Info: DCID 240 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
    Wed Sep 13 11:44:24 2017 Info: Delivery start DCID 240 MID 406 to RID [0] to Centralized Policy Quarantine
    Wed Sep 13 11:44:24 2017 Info: Message done DCID 240 MID 406 to RID [0] (centralized policy quarantine)
    Wed Sep 13 11:44:24 2017 Info: MID 406 RID [0] Response 'ok:  Message 50 accepted'
    Wed Sep 13 11:44:24 2017 Info: Message finished MID 406 done
    Wed Sep 13 11:44:29 2017 Info: DCID 240 close

    Neste ESA de laboratório, 'Mensagens infectadas por vírus' são configuradas como Quarentena para "Ação aplicada à mensagem" na política de e-mail específica.  A ação no seu ESA pode variar, com base na ação realizada para mensagens infectadas por vírus manipuladas pelo antivírus em sua política de e-mail.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    07-Aug-2014
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Stephan Fiebrandt
      Engenheiro do Cisco TAC
    • Sandeep Minhas
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos