Introdução
Este documento descreve como solucionar problemas e corrigir as filas no ESA (Email Security Appliance) caso uma conta de usuário interno tenha sido comprometida e enviado e-mails não solicitados globalmente.
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas no AsyncOS 7.6 e posterior para ESA.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Troubleshooting
É aconselhável bloquear a conta que envia o spam, se ela for conhecida, caso contrário, bloqueie a conta depois de detectada por meio da investigação no ESA.
Verificações da fila de trabalho
Quando há um grande número de e-mails no contador da fila de trabalho e a taxa de e-mails que entram no sistema excede muito a taxa que sai do sistema, isso indica que há um impacto na fila de trabalho. Você pode usar o comando workqueue para executar a verificação.
C370.lab> workqueue status
Status as of: Thu Feb 06 12:48:02 2014 GMT
Status: Operational
Messages: 48654
C370.lab> workqueue rate 5
Type Ctrl-C to return to the main prompt.
Time Pending In Out
12:48:04 48654 48 2
12:48:09 48700 31 0
O remetente ou o assunto dos e-mails na fila de trabalho é conhecido
Para remover os e-mails que afetam a fila de trabalho, o uso de um filtro de mensagem é recomendado. O uso de um filtro de mensagem permitirá que o ESA acione esses e-mails no início da fila de trabalho, em vez do final, para ajudar na remoção dos e-mails em um intervalo mais eficiente.
Esse filtro pode ser usado para fazer isso:
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if (mail-from == 'abc@abc1.com')
{
drop();
}
.
OR
FilterName:
if (subject == "^SUBJECT NAME$")
{
drop();
}
.
Verificação da Fila de Entrega
O comando tophosts mostrará os hosts afetados no momento. Em um ambiente ativo, você verá que o host do destinatário (fila de entrega ativa atual) será afetado por um grande número de destinatários ativos. Para essa saída, o exemplo é impactedhost.queue.
C370.lab> tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Thu Feb 06 12:52:17 2014 GMT
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1 impactedhost.queue 321550 50 440 75568 8984
2 the.euq.queue 0 0 0 0 0
3 the.euq.release.queue 0 0 0 0 0
Se o host afetado for um domínio de destinatário não familiar no qual são necessárias mais informações antes da remoção de todos os emails, os comandos showreceipients, showmessage e deleterecipients poderão ser usados. O comando show receipients exibirá o ID da mensagem (MID), o tamanho da mensagem, as tentativas de entrega, o remetente do envelope, os destinatários do envelope e o assunto do e-mail.
C370.lab> showrecipients
Please select how you would like to show messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 1
Please enter the hostname for the messages you wish to show.
> impactedhost.queue
Caso o MID suspeito na fila de entrega pareça legítimo, você poderá usar o comando show message para exibir a origem da mensagem antes de executar qualquer ação.
C370.lab> showmessage
Enter the MID to show.
[]>
Uma vez confirmado como spam, para remover esses e-mails, continue e use o comando deleterecipient. O comando fornecerá três opções para exclusão de e-mail da fila de entrega: Por remetente do envelope, Por host do destinatário ou Todos os e-mails na fila de entrega.
C370.lab> deleterecipients
Please select how you would like to delete messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 2
Please enter the Envelope From address for the messages you wish to delete.
[]>
Monitoramento e ação proativos
Na versão 9.0+ do AsyncOS no ESA, uma nova condição de filtro de mensagem chamada Regra de repetição de cabeçalho está disponível.
Regra de repetições de cabeçalho
A regra de repetição de cabeçalho é avaliada como verdadeira se, em um determinado momento, um número especificado de mensagens:
- Com o mesmo assunto são detectados na última hora.
- Do mesmo remetente de envelope são detectados na última hora.
- header-repeat(<target>, <threshold> [, <direction>])
Mais informações sobre essa condição estão disponíveis no Guia de ajuda on-line do seu dispositivo.
Faça login na CLI e implante o filtro para executar essa verificação e a ação desejada. Um filtro de exemplo para descartar e-mails ou notificar um administrador depois que um limite for atingido.
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if header-repeats('mail-from',1000,'outgoing')
{
drop();
}
.
OR
FilterName:
if header-repeats('subject',1000,'outgoing')
{
notify('admin@xyz.com');
}
.
Informações Relacionadas
Feedback