Introdução
Este documento descreve o comportamento dos dispositivos Cisco Email Security Appliance (ESA) e Cloud Email Security (CES) quando um e-mail é sinalizado por vários serviços para quarentena e o fluxo do e-mail pelo restante do pipeline de e-mail.
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas no Cisco ESA com a versão 12.1.0 do AsyncOS.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
Os e-mails que fluem pelos dispositivos Cisco ESA e CES para filtragem seguem o pipeline da fila de trabalho de e-mail. O pipeline é estático e se houver várias ações de vários serviços definidos para sinalizar um e-mail para as quarentenas, ele não seguirá a ordem de acordo com o pipeline; em vez disso, o ESA/CES o coloca em quarentena com sua própria ordem.
Observação: os e-mails sinalizados com ações definidas como (ação final) terão precedência imediata e sairão do processamento da fila de trabalho.
O que acontece com o e-mail quando sinalizado por vários serviços para quarentena?
O e-mail é priorizado primeiro na quarentena do Policy Virus Outbreak (PVO). Não há uma ordem específica na qual a quarentena de política seja colocada, pois o PVO lista todas as outras quarentenas nas quais o e-mail também é mantido. Depois que o e-mail é liberado de uma das quarentenas do PVO, ele é mantido em qualquer quarentena respectiva para ser sinalizado.
Depois que o e-mail foi liberado (manualmente ou por meio do temporizador em que a ação padrão está definida como liberar), os e-mails entram na quarentena de spam. Quando o e-mail é liberado da quarentena de spam, ele é transferido para a fila de entrega para entrega final.
Observação: um e-mail que é excluído de uma quarentena PVO também removerá o e-mail de todas as quarentenas subsequentes em que ele está mantido.
- As mensagens liberadas das quarentenas de política e vírus são examinadas novamente pelos mecanismos antivírus, de proteção avançada contra malware e de correio de cinza.
- As mensagens liberadas da quarentena de detecção são examinadas novamente pelos mecanismos antisspam, antivírus e AMP.
- As mensagens liberadas da quarentena de análise de arquivo são examinadas novamente em busca de ameaças.
- As mensagens com anexos são examinadas novamente pelo serviço de reputação de arquivo após a liberação das quarentenas de política, vírus e epidemia.
Injeção inicial de e-mail com filtragem feita pelo ESA. Nesta saída, você verá que ela é sinalizada pela quarentena de spam, quarentena de vírus e quarentena de política:
Thu Jun 27 12:51:03 2019 Info: Start MID 378951 ICID 391696
Thu Jun 27 12:51:03 2019 Info: MID 378951 ICID 391696 From: <matt@lee2.com>
Thu Jun 27 12:51:10 2019 Info: MID 378951 ICID 391696 RID 0 To: <matthewtestdomain@cisco.com>
Thu Jun 27 12:51:14 2019 Info: MID 378951 Subject 'Test email with AV EICAR and other triggers'
Thu Jun 27 12:51:15 2019 Info: MID 378951 ready 3292 bytes from <matt@lee2.com>
Thu Jun 27 12:51:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
Thu Jun 27 12:51:15 2019 Info: MID 378951 interim verdict using engine: CASE spam positive
Thu Jun 27 12:51:15 2019 Info: MID 378951 using engine: CASE spam positive
Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine
Thu Jun 27 12:51:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
Thu Jun 27 12:51:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
Thu Jun 27 12:51:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
Thu Jun 27 12:51:15 2019 Info: MID 378951 attachment 'testAV.txt'
Thu Jun 27 12:51:15 2019 Info: MID 378951 URL https://ihaveabadreputation.com has reputation -9.3 matched Condition: URL Reputation Rule
Thu Jun 27 12:51:15 2019 Info: MID 378951 Custom Log Entry: - Match whole word filter
Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Policy" (content filter:contnet_quarantine)
Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Virus" (a/v verdict:VIRAL)
Thu Jun 27 12:51:15 2019 Info: Message finished MID 378951 done
Thu Jun 27 12:51:15 2019 Info: ICID 391696 close
Uma vez investigado dentro da quarentena, os e-mails mantidos na quarentena PVO que você marcou são vistos, bem como qualquer outra quarentena que ele sinaliza estar.
![](/c/dam/en/us/support/docs/security/email-security-appliance/214588-esa-ces-quarantine-order-when-flagged-by-00.png)
Depois de ser liberado dessa quarentena, ele registra esse evento em mail_logs e reflete sobre as outras quarentenas, bem como que não está mais disponível na outra quarentena.
Thu Jun 27 12:52:59 2019 Info: MID 378951 released from quarantine "Virus" (manual) t=104
![](/c/dam/en/us/support/docs/security/email-security-appliance/214588-esa-ces-quarantine-order-when-flagged-by-01.png)
Libere-o para fora da quarentena PVO que permanece e permita que os e-mails viajem para a quarentena de spam sinalizada posteriormente.
Thu Jun 27 12:54:15 2019 Info: MID 378951 released from quarantine "Policy" (manual) t=180
Thu Jun 27 12:54:15 2019 Info: MID 378951 released from all quarantines
Thu Jun 27 12:54:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
Thu Jun 27 12:54:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
Thu Jun 27 12:54:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
Thu Jun 27 12:54:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
Thu Jun 27 12:54:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
Thu Jun 27 12:54:15 2019 Info: MID 378951 queued for delivery
Thu Jun 27 12:54:15 2019 Info: RPC Delivery start RCID 13914 MID 378951 to local IronPort Spam Quarantine
Thu Jun 27 12:54:15 2019 Info: ISQ: Quarantined MID 378951
Thu Jun 27 12:54:15 2019 Info: RPC Message done RCID 13914 MID 378951
Thu Jun 27 12:54:15 2019 Info: Message finished MID 378951 done
![](/c/dam/en/us/support/docs/security/email-security-appliance/214588-esa-ces-quarantine-order-when-flagged-by-02.png)
Na versão final da quarentena de spam, o e-mail é destinado à fila de entrega.
Thu Jun 27 12:55:33 2019 Info: Start MID 378952 ICID 0 (ISQ Released Message)
Thu Jun 27 12:55:33 2019 Info: ISQ: Reinjected MID 378951 as MID 378952
Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 From: <matt@lee2.com>
Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 RID 0 To: <matthewtestdomain@cisco.com>
Thu Jun 27 12:55:33 2019 Info: MID 378952 Subject '[WARNING: MALWARE DETECTED][SPAM] Test email with AV EICAR'
Thu Jun 27 12:55:33 2019 Info: MID 378952 ready 9661 bytes from <matt@lee2.com>
Thu Jun 27 12:55:33 2019 Info: MID 378952 queued for delivery
Informações Relacionadas