Introduction
Este documento descreve como solucionar o erro "Categoria não verificável = Erro de mensagem, Motivo não verificável = Erro de arquivo: Excedido o limite de tamanho total dos arquivos não arquivados" em um ESA (Email Security Appliance).
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- ESA
- Cisco Advanced Malware Protection (AMP)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- ESA AsyncOS 11.1.2-023
- ESA AsyncOS 12.0.0-419
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
Quando uma mensagem com um anexo alcança a AMP no pipeline, o ESA tenta analisar o anexo da mensagem e verifica os cabeçalhos da mensagem (verifique a conformidade com o RFC 2045). Mesmo que a mensagem não seja totalmente compatível, o ESA ainda faz o melhor esforço para analisar o anexo.
A próxima etapa é verificar se um anexo é um arquivo compactado e, se for o caso, o ESA tentará descompactá-lo, considerando vários fatores para determinar o tamanho do arquivo compactado para garantir que o anexo seja legítimo e não um arquivo zip.
Quando uma reputação de arquivo não é encontrada e o arquivo atende aos critérios de análise, ele é colocado em quarentena e carregado na área protegida.
Em seguida, o ESA abre uma conexão com os servidores AMP e faz o upload do arquivo e espera por atualizações de veredito, como mostrado na imagem:
O ESA fornece um veredicto com base nestes cenários:
- Se um dos arquivos extraídos for mal-intencionado, o serviço de reputação de arquivos retornará um veredito de Mal-intencionado para o arquivo compactado ou de arquivamento.
- Se o arquivo compactado ou de arquivamento for mal-intencionado e todos os arquivos extraídos estiverem limpos, o serviço de reputação de arquivo retornará um veredito de Mal-intencionado para o arquivo compactado ou de arquivamento.
- Se o veredito de qualquer um dos arquivos extraídos for desconhecido, os arquivos extraídos serão enviados opcionalmente (se configurados e o tipo de arquivo for suportado para análise de arquivo) para análise de arquivo.
- Se a conclusão de qualquer arquivo ou anexo extraído for de baixo risco, o arquivo não será enviado para análise.
- Se a extração de um arquivo falhar quando ele for descompactado e depois for compactado ou um arquivo morto, o serviço de reputação de arquivo retornará um veredito de Não verificável para o arquivo compactado ou morto. Lembre-se de que, nesse cenário, se um dos arquivos extraídos for mal-intencionado, o serviço de reputação de arquivos retornará um veredito de Mal-intencionado para o arquivo compactado ou de arquivamento (o veredito de Mal-intencionado tem precedência sobre o veredito de Não Verificação).
Arquivos altamente compactados como csv, xml e txt podem exceder o tamanho máximo de arquivo codificado em ESA, algoritmos de compactação, como Lempel-Ziv, geram um mapa digital que conta o número e a posição de caracteres no documento completo e isso produz tamanhos de arquivo muito pequenos.
Por outro lado, arquivos que contêm gráficos, formato de texto como pdf, jpg, png, eles não são compactados da mesma forma, por isso eles mantêm quase o tamanho do arquivo original.
Problema
Quando o ESA recebe um e-mail em um anexo que está compactado e isso excede a taxa de compactação máxima e o ESA não calcula o tamanho do arquivo do anexo, a consequência é este log de erros:
"Qua Fev 13 20:03:47 2019 Informações: Não foi possível verificar o anexo. Nome do arquivo = 'ACTS Chopped ISO 88591 encod_NoSchema.XML.zip', MID = 226, SHA256 =7efa6154b7519872055cff10a69067dcad88562f708b284a390a9abcf5e99b8f, Categoria não verificável = Erro de mensagem, Motivo não verificável = Erro de arquivo: Excedido o limite de tamanho total dos arquivos não arquivados"
Solução 1
Inclua mensagens não verificáveis no assunto para alertar os usuários de que o arquivo não foi analisado pelos serviços da AMP, como mostrado na imagem.
Solução 2
Quarentena não verificável em quarentenas de vírus e epidemia (PVO) para análise adicional. conforme mostrado na imagem.
Informações Relacionadas