Erros comuns de configuração no ESA

Introduction

Este documento descreve erros comuns de configuração no Email Security Appliance (ESA).

Quais são os erros comuns de configuração no ESA?

Se você estiver configurando uma nova avaliação ou pesquisando uma configuração existente, poderá consultar esta lista de verificação de erros comuns de configuração.

HAT

• Não coloque pontuações SBRS positivas como +5 ou +7 na ALLOWLIST. Uma faixa de 9.0-10.0 seria OK, mas incluir pontuações mais baixas só aumentará a probabilidade de o spam passar.
• Desative a UNKNOWNLIST, a Verificação de DNS do remetente de envelope e a Verificação de DNS do host de conexão, a menos que você realmente precise e entenda isso.
• Em vez de alterar o tamanho da mensagem e outras configurações de política em cada Política de fluxo de e-mail, vá para o menu Políticas de fluxo de e-mail e escolha a última opção, "Parâmetros de política padrão".
• Limite o máximo de conexões a três para a maioria dos remetentes e torne-o o padrão para novas Políticas de fluxo de e-mail.
• Verifique se as pontuações SenderBase de -10.0 a -2.0 estão incluídas na BLOCKLIST. Os assistentes de documentação e configuração são excessivamente conservadores; atualmente, não temos falsos positivos nesta área.

Política

• Nomeie as políticas depois de quem as recebe, não o que elas fazem. Nomeie todos os filtros de conteúdo após o que eles fazem e use abreviações como Q_basic_attachment, D_spoofers, Strip_Multi-Media, em que Q significa quarentena e D significa descarte.
• As políticas não padrão devem "Usar configurações padrão" para antisspam, antivírus, filtros de conteúdo e filtros de epidemia, exceto quando você realmente precisa de configurações especiais. Não recrie essas configurações em cada diretiva, se não for necessário.
• Desmarque "Eliminar anexos infectados" ou, caso contrário, irá transmitir muitos e-mails em branco onde o vírus foi removido.
• As configurações de antivírus para saída devem notificar o remetente, não o destinatário
• Os filtros de detecção e o antisspam devem ser desativados na saída

Relés de entrada

Se "Monitor > Overview" mostrar conexões de seus próprios servidores e domínios, você precisará adicioná-las à configuração de Incoming Relays. Um erro muito comum, ao usar a GUI, é pensar que você ativou o recurso Relé de Entrada quando tudo o que você fez foi adicionar as entradas à tabela. Além disso:

• Adicione um grupo de remetente HAT especial para eles, acima de ALLOWLIST, para fins de geração de relatórios.  Não escolha nenhuma limitação de taxa ou DHAP, mas a detecção de spam e vírus está OK.
• Adicione um filtro de mensagem para corresponder à ação da política BLOCKLIST. Por exemplo:
  
  

  Drop_Low_Reputation_Relayed_Mail:
  if reputation <= -2.0
  { drop();}

Em casos raros em que você está reinjetando e-mails (por exemplo, reprocessando e-mails entre assinantes através da política de e-mails de entrada), seu filtro também precisará isentar a interface de reinjeção. Normalmente, isso não é necessário.

DNS

Muitos clientes forçam o ESA a consultar seus servidores DNS internos fora do hábito. Na maioria das instalações, 100% dos registros de DNS necessários estão na Internet, não no DNS interno. Faz mais sentido consultar os servidores raiz da Internet, reduzindo a carga de encaminhamento no DNS interno.

Filtros de mensagem e conteúdo

O erro mais comum é colocar condições correspondentes em Filtros de conteúdo onde eles não são necessários.  A maioria dos filtros deve listar algumas ações, mas a condição deve ser deixada em branco. O filtro será verdadeiro sempre e sempre será executado. Você controla quais usuários/políticas recebem essas ações criando novas políticas de entrada ou saída de e-mails conforme necessário e aplicando esse filtro à política. Aqui estão exemplos incorretos e corretos:

• É quase sempre um erro usar a condição rcpt-to em um filtro de mensagens. O procedimento correto é gravar um filtro de conteúdo de entrada e torná-lo específico para um usuário específico adicionando uma política de recebimento de e-mail baseada no destinatário.
• É quase sempre um erro ter um teste de filtro de conteúdo para verificar a presença de um anexo e, em seguida, soltar o anexo. O método correto é sempre descartar esse anexo, sem testar sua presença.
• É quase sempre um erro usar delivery(). Entregar significa ignorar os filtros restantes e entregar. Se você quiser apenas entregar sem ignorar o resto dos filtros, nenhuma ação explícita será necessária (entrega implícita).

Prevenção de relé aberta

Alguns serviços verificarão se o Agente de Transferência de Mensagens (MTA) aceita endereços que podem resultar em condições de retransmissão abertas. Como deixar seu MTA como um retransmissão aberta em funcionamento é ruim, esses sites podem adicioná-lo a uma BLOCKLIST a menos que você rejeite esses endereços perigosos na conversação SMTP.

Adicione um grupo de remetente HAT especial para eles, acima de ALLOWLIST, para fins de geração de relatórios. Escolha sem limite de taxa ou DHAP, mas permita detecção de spam e vírus.

• Altere para Análise de endereço estrita (Soltar é o padrão). Isso é necessário para evitar sinais @ duplos em endereços.
• Rejeitar (não retirar) caracteres inválidos. Isso também é necessário para evitar sinais @ duplos em endereços.
• Rejeitar (não aceitar) literais e inserir os seguintes caracteres: *%!\/?

Informações Relacionadas

• Suporte Técnico e Documentação - Cisco Systems