Solucionar problemas de quarentena PVO centralizada no ESA e SMA

Introdução

Este documento descreve como solucionar problemas de entrega e conexão quando a quarentena centralizada de política, vírus e epidemia está habilitada.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Email Security Appliance (ESA) com AsyncOS 8.1 ou posterior
• Security Management Appliance (SMA) com AsyncOS 8.0 ou posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

O recurso de quarentenas de política, vírus e epidemia (PVO) centralizadas foi introduzido no AsyncOS 8.0 (ESA) / 8.1 (SMA). Esse recurso tem requisitos adicionais de conectividade de rede e apresenta alguns novos desafios para a solução de problemas.

Entender a comunicação

• A comunicação CPQ usa SMTP, mas com alguns comandos extras para transferir metadados
• O SMA ouvirá as conexões na interface e na porta definidas em Serviços centralizados -> Quarentenas de política, vírus e epidemia.  Por padrão, a porta é 7025, mas isso pode ter sido alterado pelo usuário administrador!
• O ESA ouvirá as conexões na interface e na porta definidas em Serviços de segurança -> Quarentenas de política, vírus e epidemia.  Novamente, por padrão, a porta é 7025, mas isso pode ter sido alterado pelo usuário administrador!
• O SMA também usa SSH (através do cliente de comando) para obter informações de configuração dos ESAs.  Em particular, isso é usado quando o SMA entrega emails liberados para o ESA. O SMA usará o SSH para consultar a configuração do ESA e determinar para qual interface/porta entregar o email liberado.

Ouvintes

• Tanto o ESA quanto o SMA terão um ouvinte oculto chamado 'cpq_listener' que ouvirá na porta especificada.
• Esses ouvintes podem ser vistos no arquivo de configuração.  Por exemplo:
  
  

  <listener>
        <listener_name>cpq_listener</listener_name>
        <protocol>CPQ</protocol>
        <interface_name>Incoming Mail</interface_name>
        <port>7025</port>
        <listen_queue_size>50</listen_queue_size>
        <type>private</type>
        <hat>
  $RELAYED
      RELAY {}
  $BLOCKED
      REJECT {}
  RELAYLIST:
      10.1.2.3
          $RELAYED (Only select hosts can relay from this box)
  ALL
      $BLOCKED (Everyone else)
        </hat>
        <rat>
          <rat_entry>
            <rat_address>ALL</rat_address>
            <access>ACCEPT</access>
          </rat_entry>
        </rat>
  
  

• Esses ouvintes serão suspensos se o usuário admin usar 'suspendlisteners all' ou 'suspend'.  Se a porta não estiver aceitando conexões, você deverá verificar se o status do sistema é 'offline' e retomar, se necessário.

Solucionar problemas de entrega de ESA para SMA

• Verifique se o ESA pode se conectar ao SMA na porta e na interface configuradas.  Isso pode ser feito usando o telnet.  Você deve receber um banner 220 se a comunicação for bem-sucedida.
• O ESA terá um objeto de destino chamado 'the.cpq.host', que contém mensagens enquanto elas são enfileiradas para entrega ao SMA. Você pode ver isso usando 'tophosts' ou Monitor -> Delivery Status.   Você não pode usar 'hoststatus' com ele, mas pode usar 'showrecipients' e 'deleterecipients', se necessário.

Solucionar problemas de entrega de SMA para ESA

• Verifique se o SMA pode se conectar ao ESA na porta e na interface configuradas.  Novamente, você pode usar o telnet e verá o banner 220, se for bem-sucedido.
• Ao usar clusters, é importante que a interface definida no nível do cluster em Serviços de segurança -> Quarentenas de política, vírus e epidemia exista para todos os dispositivos no nível da máquina.  (marque Rede -> Interfaces IP).
• O SMA terá um objeto de destino chamado 'the.cpq.release.host', que contém mensagens liberadas enquanto elas são enfileiradas para entrega ao ESA. Você pode ver isso usando 'tophosts'.  Parece que isso não funciona com 'hoststatus' ou 'showrecipients', e eu não testei 'deleterecipients' com ele, mas isso provavelmente também não funciona.
• Também pode haver problemas com a comunicação SSH entre o SMA e o ESA. Esses problemas nem sempre são necessariamente baseados em rede, por exemplo, em CSCus29647, um componente interno do SMA sai de operação.  Problemas como esses geralmente aparecem como falhas de aplicativo nos logs de e-mail e podem ser resolvidos com a reinicialização do SMA.

TLS/Certificados

• Todas as conexões CPQ em qualquer direção dependem de TLS e, como resultado, a configuração de cifra pode desempenhar um papel.
• Para que a conexão TLS seja bem-sucedida, o dispositivo que abre a conexão deve ser capaz de verificar se o dispositivo receptor está usando nosso certificado CPQ oculto.  Isso pode falhar se o dispositivo negociar uma cifra anônima.  Isso apareceria nos logs como algo assim:
  
  

  Mon Apr  1 12:00:00 2014 Info: New SMTP DCID 123456 interface 10.0.0.2 address 10.0.0.1 port 7025
  Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS failed: verify error: no certificate from server
  Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS was required but could not be successfully negotiated
  
  

• Você pode corrigir esses problemas simplesmente removendo cifras anônimas da lista de cifras de entrega de saída, o que é feito adicionando ':-aNULL' ao final da lista de cifras.  Por exemplo: HIGH:MEDIUM:-aNULL

Arquivo de log

• Se o SMA tiver uma assinatura de logs de e-mail (como padrão), você poderá revisar os logs de e-mail para obter informações adicionais.
• Os eventos de recebimento de CPQ terão esta aparência tanto para as mensagens que estão sendo colocadas em quarentena no SMA quanto para as mensagens liberadas para o ESA
  
  

  New CPQ ICID 12345 interface Management (10.10.10.1) address 10.10.20.1 reverse dns host unknown verified no
  
  

• Você pode pesquisar esses eventos usando grep, por exemplo: grep "CPQ ICID" mail_logs
• Os eventos de entrega de CPQ, tanto em quarentena do ESA quanto em quarentena do SMA, são semelhantes a qualquer outra entrega, com a exceção de que a porta personalizada está listada e algumas linhas incluem a frase "Quarentena de política centralizada". Exemplo abaixo:
  
  

  Fri Sep 13 15:08:02 2013 Info: New SMTP DCID 12345 interface 10.10.20.1 address 10.10.10.1 port 7025
  Fri Sep 13 15:08:02 2013 Info: DCID 12345 TLS success protocol TLSv1 cipher RC4-SHA the.cpq.host
  Fri Sep 13 15:08:02 2013 Info: Delivery start DCID 12345 MID 23456 to RID [0] to Centralized Policy Quarantine
  Fri Sep 13 15:08:02 2013 Info: Message done DCID 12345 MID 23456 to RID [0] (centralized policy quarantine)
  Fri Sep 13 15:08:07 2013 Info: DCID 12345 close
  
  

• Você pode localizar esses eventos usando o grep para procurar a porta, por exemplo: grep "port 7025" mail_logs

Botão 'Ativar' do ESA desativado

Ao tentar habilitar o PVO no ESA, você pode descobrir que o botão 'Enable' está esmaecido, apesar de todas as configurações de pré-requisito terem sido concluídas. Quando o ESA exibe a página PVO, ele se comunica com o SMA pela porta 7025 para verificar se a configuração está pronta para ser ativada.  Se essa comunicação falhar, o botão 'Habilitar' será desabilitado.  Você pode solucionar esse problema como qualquer comunicação da porta ESA -> SMA 7025 fazendo grepping para "porta 7025" no ESA. Para obter mais informações, consulte a nota técnica relacionada em Informações relacionadas.

Informações Relacionadas

• Requisitos para o Assistente de migração PVO quando o ESA é agrupado
• Não é possível ativar a quarentena de detecção, vírus e política de centralização (PVO) do ESA