Guia de práticas recomendadas para filtros de conteúdo de entrada e saída

Introduction

Os filtros de conteúdo permitem que você inspecione os detalhes complexos de um e-mail e execute ações (ou nenhuma ação) no e-mail. Quando o filtro de conteúdo de entrada ou saída for criado, você o aplicará a uma política de e-mail de entrada ou saída. Quando qualquer e-mail corresponder ao filtro de conteúdo, o relatório "Filtros de conteúdo" no Cisco Email Security Appliance (ESA) e no Security Management Appliance (SMA) poderá mostrar todos os e-mails correspondentes a qualquer filtro de conteúdo. Portanto, mesmo que nenhuma ação seja tomada, é uma excelente maneira de obter informações valiosas sobre o tipo de e-mails que entram e saem da sua organização - permitindo que você "Padrão" o fluxo de e-mail.

Como há muitas "Condições" e "Ações" de filtros de conteúdo diferentes, este documento o guiará por alguns filtros de conteúdo de entrada e saída muito comuns e recomendados.

Visão geral das etapas

Passo 1: Importar os dicionários necessários

Este documento fornecerá as etapas necessárias para que você implemente alguns filtros de conteúdo de entrada e saída de práticas recomendadas. Os filtros de conteúdo que vamos criar farão referência a alguns dicionários - portanto, precisamos importar esses dicionários primeiro. O ESA acompanha os dicionários e você só precisa importá-los para a configuração para referenciá-los nos Filtros de conteúdo que criaremos.

Etapa 2: Criar quarentenas centralizadas

Para a maioria dos filtros de conteúdo, nós criaremos, definiremos a "Ação" para colocar em quarentena o e-mail (ou uma cópia do e-mail) em uma nova quarentena personalizada (designada) especificada — e, portanto, precisamos primeiro criar essas quarentenas no SMA — pois este documento pressupõe que você ativou quarentenas de PVO (política, vírus e epidemia) centralizadas entre o ESA e o SMA.

Passo 3: Crie os filtros de conteúdo de entrada e saída e aplique-se às políticas

Depois que os dicionários forem importados e as quarentenas criadas, criaremos os Filtros de conteúdo de entrada e os aplicaremos às Políticas de e-mail de entrada e, em seguida, criaremos os Filtros de conteúdo de saída e os aplicaremos às Políticas de envio de e-mail.

PASSO 1: IMPORTAÇÃO DOS DICIONÁRIOS NECESSÁRIOS

Importando os dicionários que referenciaremos em nossos filtros de conteúdo:

• No dispositivo ESA, navegue para "Políticas de e-mail > Dicionários"
• Clique no botão "Importar dicionário" no lado direito da página. 

Profanação:

• Selecione "Importar do diretório de configuração no aplicativo IronPort"
• Selecione "profanity.txt" e clique em "Avançar".
• Nome: Profanity
• Clique em "Corresponder palavras inteiras" (MUITO IMPORTANTE)
• Modificar os termos (adicionar novos termos ou remover termos indesejados)
• Clique em "Enviar"

Conteúdo Sexual:

• Selecione "Importar do diretório de configuração no aplicativo IronPort" 
• Selecione "conteúdo_sexual.txt" e clique em "Avançar".
• Nome: ConteúdoSexual
• Clique em "Corresponder palavras inteiras" (MUITO IMPORTANTE)
• Modificar os termos (adicionar novos termos ou remover termos indesejados)
• Clique em "Enviar"

Proprietário:

• Selecione "Importar do diretório de configuração no aplicativo IronPort" 
• Selecione "proprietario_content.txt" e clique em "Next".
• Nome: Proprietário
• Clique em "Corresponder palavras inteiras" (MUITO IMPORTANTE)
• Modificar os termos (adicionar novos termos ou remover termos indesejados)
• Clique em "Enviar"

PASSO 2: CRIAÇÃO DAS QUARENTENAS CENTRALIZADAS

• No SMA, navegue para "Guia Email > Quarentena de mensagem > Quarentenas de PVO"
• É assim que a tabela de quarentenas deve ser antes de começarmos. Todas as quarentenas são padrão.

• Clique no botão "Adicionar quarentena de política..." botão
• Crie as quarentenas abaixo. 
• Alguns serão usados por filtros de conteúdo de entrada e outros serão usados por filtros de conteúdo de saída. Você os cria da mesma maneira.

Quarentenas de PVO - usadas por filtros de conteúdo de entrada
URL de entrada mal-intencionada:   Nome: URL de entrada mal-intencionada   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable	Falha no SPF:   Nome: Falha no disco rígido SPF   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable
Entrada de categoria de URL:   Nome: Entrada de categoria de URL   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable	Falha suave do SPF:   Nome: Falha suave do SPF   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable
Entrada de dados bancários:   Nome: Dados do banco de entrada   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable	Correio eletrônico:   Nome: SpoofMail   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable
Entrada SSN:   Nome: Entrada SSN   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable	Falha de disco rígido DKIM:   Nome: Falha de disco rígido DKIM   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable
Entrada Inadequada:   Nome: Entrada Inadequada   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable	Entrada protegida por senha:   Nome: Entrada Protegida Pwd   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable

Quarentenas de PVO - usadas por filtros de conteúdo de saída
Dados bancários de saída:   Nome: Dados bancários de saída   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable	URL de saída mal-intencionada:   Nome: URL de saída mal-intencionada   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable
Saída SSN:   Nome: Saída SSN   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable	Saída de categoria de URL:   Nome: Saída de categoria de URL   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable
Saída Inapropriada:   Nome: Saída Inapropriada   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable	Saída protegida por senha:   Nome: Saída protegida por Pwd   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable
Saída proprietária:   Nome: Saída proprietária   Período de retenção: 14 dias   Ação padrão: excluir   Liberar espaço: Enable

• Veja como a sua tabela de PVO deve ser após a criação de todas as quarentenas de PVO.

PASSO 3: CRIANDO OS FILTROS DE CONTEÚDO DE ENTRADA

Depois que os dicionários tiverem sido importados e as quarentenas do PVO tiverem sido criadas, você poderá começar a criar os filtros de conteúdo de entrada:

• Navegue até: "Políticas de e-mail > Filtros de conteúdo de entrada"
• Esta é uma tabela dos filtros de conteúdo de entrada que você deve criar. Por exemplo, abaixo da tabela está uma imagem exemplificando como criar a primeira.

Crie esses filtros de conteúdo de entrada
Nome: Banco_Dados Adicione duas condições:     Corpo da mensagem ou anexo:          Contém Identificador Inteligente: Número de roteamento ABA         Contém Identificador Inteligente: Número do cartão de crédito Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "Dados bancários recebidos (centralizados)"         Mensagem duplicada: Habilitado  (Observe que a regra de aplicação deve ser "Se uma ou mais condições corresponderem")
Nome: SSN Adicionar uma condição:     Corpo da mensagem ou anexo:          Contém Identificador Inteligente: Número da Previdência Social (SSN) Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "Entrada SSN (centralizada)"         Mensagem duplicada: Habilitado
Nome: Inapropriado Adicione duas condições:     Corpo da mensagem ou anexo:         Contém termo no dicionário: Profanação         Contém termo no dicionário: Conteúdo Sexual Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "Entrada inadequada (centralizado)"         Mensagem duplicada: Habilitado
Nome: Categoria_URL Adicionar uma condição:     Categoria de URL:          Selecionar categorias:              Adultos, datas, prevenção de filtros, freeware e Shareware, jogos de azar,             Jogos, Hacking, lingerie e trajes de banho, Nudez não sexual,             Domínios estacionados, transferência de arquivos de mesmo nível, pornografia Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "Entrada de categoria de URL (centralizada)"         Mensagem duplicada: Habilitado  (Nota: Este filtro de conteúdo exige que você ative "Serviços de segurança"—> "Filtragem de URL")
Nome: URL_Mal-intencionado Adicionar uma condição:     Reputação de URL:          A reputação da URL é: Mal-intencionado (-10.0 a -6.0)  Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "URL de entrada mal-intencionada (centralizado)"         Mensagem duplicada: Desabilitado (**** Quarentena original ****)
Nome: Protegido por senha Adicionar uma condição:     Proteção de anexo: Um ou mais anexos estão protegidos Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "Entrada protegida por Pwd (centralizada)"         Mensagem duplicada: Habilitado
Nome: Tamanho_10M Adicionar uma condição:     O tamanho da mensagem é:          Maior ou igual a: 10 M Adicionar uma ação:     Adicionar marca de mensagem:          Insira um termo: NOOP (Nota: Deve haver alguma ação, portanto, aqui "Marcar" a mensagem para representar nenhuma operação realizada. O fato de o filtro de conteúdo ter sido "Correspondido" permitirá que ele apareça nos relatórios. Nenhuma "ação" precisa ser executada para que ela seja exibida no relatório.)
Nome: SPF_Hard_Fail Adicionar uma condição:     Verificação SPF: "is" Fail Adicionar uma ação:     Quarentena:         Enviar mensagem para quarentena: "Falha no SPF (centralizado)"         Mensagem duplicada: Habilitado  (Nota: "is Fail" é uma falha de SPF difícil e significa que o proprietário do domínio está dizendo para você descartar todos os emails recebidos de remetentes que não estão listados em seu registro SPF. Inicialmente, é recomendável usar "Mensagem duplicada" e revisar as falhas por uma ou duas semanas antes de colocar o original em quarentena (ou seja, desligar mensagem duplicada).
Nome: SPF_Soft_Fail Adicionar uma condição:     Verificação SPF: Softfail "is" Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "Falha suave do SPF (centralizado)"         Mensagem duplicada: Habilitado
Nome: DKIM_Hardfail_Copy Adicionar uma condição:     Autenticação DKIM: "is" Hardfail Adicionar duas ações:     Adicionar/Editar cabeçalho:          Nome do cabeçalho: Assunto         Clique em "Prepend to the Value of Existing Header" (Preceder para o valor do cabeçalho existente) e insira: [Copiar - Não liberar]"     Quarentena:          Enviar mensagem para quarentena: "DKIM Hard Fail (centralizado)"         Mensagem duplicada: Habilitado  (Nota: Quarentena inicial de uma cópia da mensagem.)
Nome: DKIM_Hardfail_Original Adicionar uma condição:     Autenticação DKIM: "is" Hardfail Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "DKIM Hard Fail (centralizado)"         Mensagem duplicada: Desabilitado  (Nota: Nós criaremos outra linha da Política de e-mail de entrada para os domínios PayPal e eBay e usaremos esse filtro de conteúdo para domínios que sabemos que devem passar na verificação DKIM.)
Nome: Falhas de Spoof_SPF Adicione uma condição, mas ela tem o Softfail e o Hardfail marcados:     Verificação SPF: "is" Softfail e também clique em "Fail"    (então, você tem duas caixas de seleção clicadas em "Falha de software" e "Falha" Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "SpoofMail (centralizado)"         Mensagem duplicada: Enable (Nota: Usaremos esse filtro de conteúdo para agir em relação a e-mails de entrada fingindo enviar de seu próprio domínio — falsificação. Comece com a ação definida para colocar uma cópia em quarentena e depois de algumas semanas revisando a quarentena do SpoofMail, você pode modificar seu registro SPF TXT DNS para adicionar todos os remetentes legítimos e, em algum momento, você pode alterar esse filtro de conteúdo para colocar o original em quarentena desabilitando a caixa de seleção de mensagem duplicada.)

Por exemplo, é assim que o Filtro de Conteúdo Bank_Data deve ser antes de enviar.

Depois de criar todos os Filtros de conteúdo de entrada, a tabela deve ter a seguinte aparência:

Como a função "Políticas" está selecionada (você verá o hipertexto Políticas no meio superior), a coluna do meio mostra as Políticas de recebimento de e-mail às quais o Filtro de conteúdo foi aplicado. Como não os aplicamos a nenhuma Política de e-mail de entrada, a mensagem "Não está em uso" é exibida. 

Aplicar os filtros de conteúdo de entrada às políticas de e-mail de entrada

• Navegue até: "Políticas de e-mail > Políticas de recebimento de e-mail"
• Clique no texto "Desabilitado" na célula Filtros de conteúdo da "Política padrão".
• O botão do menu suspenso está definido como "Disable Content Filters".
• Clique no botão e defina como "Habilitar filtros de conteúdo" e todos os filtros de conteúdo de entrada criados serão apresentados imediatamente a você.
• Ative todos os filtros, exceto DKIM_Hardfail_Original e Spoof_SPF_Failures.
• "Submeter" e "Confirmar".

Verificação DKIM para eBay e Paypal e Proteção de e-mail Spoof para seu domínio

Esses dois tópicos envolvem filtros de conteúdo que utilizam verificação DKIM e verificação SPF. Portanto, devemos primeiro garantir que a verificação DKIM e SPF estejam habilitadas. 

1. Habilitar verificação DKIM e SPF nas políticas de fluxo de e-mail

• Navegue até: "Políticas de e-mail > Políticas de fluxo de e-mail"
• Habilite a verificação DKIM e SPF em todas as políticas de fluxo de e-mail que tenham "Comportamento de conexão" de "Aceitar".
• Clique no hipertexto inferior "Default Policy Parameters" e defina "DKIM Verification" como "On" e "SFP/SIDF Verification" como "On".
• Clique em "Enviar" e "Confirmar".
• Agora você vê a tabela Políticas de fluxo de e-mail. Examine a coluna denominada "Comportamento" e edite qualquer política de fluxo de e-mail com o comportamento definido como "Retransmissão" 
• Desative "Off" tanto a verificação DKIM quanto a SPF para essas políticas de fluxo de e-mail. 
• Clique em "Enviar" e "Confirmar".

Não queremos que o ESA execute a verificação de DKIM ou SPF para e-mail recebido no ESA do seu cabeçalho do Exchange Mail Server. Na maioria das configurações, a política de fluxo de e-mail "RELAYED" é a única linha com o comportamento do relé.

2. Criar uma nova política de fluxo de e-mail de entrada para eBay e Paypal

O e-mail de entrada recebido do eBay e do Paypal deve sempre passar na verificação DKIM. Portanto, criaremos outra Política de recebimento de e-mail para usar o filtro de conteúdo de entrada DKIM_Hardfail_Original para um e-mail desses domínios.

• Navegue até: "Políticas de e-mail > Políticas de recebimento de e-mail"
• Clique no botão "Adicionar política". 
• Insira o nome: "DKIM Hardfail Original"
• Clique no botão "Adicionar usuário..." botão.

O próximo painel de configuração permite definir quais mensagens corresponderão a esta nova Política de e-mails de entrada. Queremos definir apenas os critérios para o Remetente (a parte esquerda do painel de configuração). 

• Clique em "Seguindo remetentes" e, na tabela Endereços de Correio Eletrônico, introduza "@ebay.com, @paypal.com" 

• Clique no botão “Ok” na parte inferior. 
• Clique em "Enviar".

3. Criar uma nova política de fluxo de e-mail de entrada para o seu domínio (Proteção contra spoof)

As etapas nesta seção permitirão que você tome medidas sobre e-mails de entrada que tenham um endereço de e-mail de remetente de seu próprio domínio e que estejam falhando na verificação SPF. Claro, isso se baseia em você já ter publicado seu registro de texto SPF no DNS. Ignore estas etapas se você não criou/publicou um registro de recurso de texto SPF para seu domínio.

• Navegue até: "Políticas de e-mail > Políticas de recebimento de e-mail"
• Clique no botão "Adicionar política". 
• Insira o nome: "Spoof_Protection"
• Clique no botão "Adicionar usuário..." botão.

O próximo painel de configuração permite que você defina quais mensagens corresponderão a esta nova linha de Diretiva de recebimento de e-mail. Você só deseja definir os critérios para o Remetente (que é a parte esquerda do painel de configuração). 

• Clique no botão "Seguindo remetentes" e digite seu domínio na caixa de texto "Email Address:". Para mim, meu domínio é "@unc-hamiltons.com" 

• Clique em "Enviar".

A tabela Políticas de recebimento de e-mail é exibida novamente, mas agora você tem uma segunda linha nova de Diretiva de e-mail acima da Política padrão. 

• Clique no hipertexto (use default) na célula Filtros de conteúdo da nova linha. 
• Vire o menu suspenso para "Ativar filtros de conteúdo (configurações personalizadas)".
• Verifique "Spoof_SPF_Failures" também para garantir que "DKIM_Hardfail_Copy" e "DKIM_Hardfail_Original" não estejam marcados. 
• Clique em "Enviar" e "Confirmar alterações".

A tabela Políticas de recebimento de e-mail deve ter a seguinte aparência:

PASSO 4: CRIANDO OS FILTROS DE CONTEÚDO DE SAÍDA

• Navegue até: "Políticas de e-mail > Filtros de conteúdo de saída"
• Aqui está uma tabela dos filtros de conteúdo de saída que você deve criar.

Crie esses filtros de conteúdo de saída
Nome: Banco_Dados Adicione duas condições:     Corpo da mensagem ou anexo:          Contém Identificador Inteligente: Número de roteamento ABA         Contém Identificador Inteligente: Número do cartão de crédito Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "Saída de dados bancários (centralizada)"         Mensagem duplicada: Habilitado  (Observe que a regra de aplicação deve ser "Se uma ou mais condições corresponderem")
Nome: SSN Adicionar uma condição:     Corpo da mensagem ou anexo:          Contém Identificador Inteligente: Número da Previdência Social (SSN) Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "SSN Outbound (centralizado)"         Mensagem duplicada: Habilitado
Nome: Inapropriado Adicione duas condições:     Corpo da mensagem ou anexo:         Contém termo no dicionário: Profanação         Contém termo no dicionário: Conteúdo Sexual Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "Saída inadequada (centralizada)"         Mensagem duplicada: Habilitado
Nome: Categoria_URL Adicionar uma condição:     Categoria de URL:          Selecionar categorias:              Adultos, datas, prevenção de filtros, freeware e Shareware, jogos de azar,             Jogos, Hacking, lingerie e trajes de banho, Nudez não sexual,             Domínios estacionados, transferência de arquivos de mesmo nível, pornografia Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "Saída de categoria de URL (centralizada)"         Mensagem duplicada: Habilitado
Nome: URL_Mal-intencionado Adicionar uma condição:     Reputação de URL:          A reputação da URL é: Mal-intencionado (-10.0 a -6.0)  Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "URL de saída mal-intencionada (centralizado)"         Mensagem duplicada: Desabilitado (**** Quarentena original ****)
Nome: Protegido por senha Adicionar uma condição:     Proteção de anexo: Um ou mais anexos estão protegidos Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "Pwd Protected Outbound (centralizado)"         Mensagem duplicada: Habilitado
Nome: Tamanho_10M Adicionar uma condição:     O tamanho da mensagem é:          Maior ou igual a: 10 M Adicionar uma ação:     Adicionar marca de mensagem:          Insira um termo: NOOP (Nota: Deve haver alguma ação, portanto, aqui "Marcar" a mensagem para representar nenhuma operação realizada. O fato de o filtro de conteúdo ter sido "Correspondido" permitirá que ele apareça nos relatórios. Nenhuma "ação" precisa ser executada para que ela seja exibida no relatório.)
Nome: Proprietário Adicionar uma condição:    Corpo da mensagem ou anexo:         Contém termo no dicionário: Proprietário Adicionar uma ação:     Quarentena:          Enviar mensagem para quarentena: "Proprietário (centralizado)"         Mensagem duplicada: Habilitado

Como a função "Políticas" está selecionada (você verá o hipertexto Políticas no meio superior), a coluna do meio mostra as Políticas de envio de e-mail às quais o Filtro de conteúdo foi aplicado. Como não as aplicamos a nenhuma Política de envio de e-mail, a mensagem "Não está em uso" é exibida. 

• Navegue até: "Políticas de e-mail > Políticas de envio de e-mails"
• Clique no texto "Desabilitado" na célula Filtros de conteúdo da política padrão.
• O botão do menu suspenso está definido para "Desativar filtros de conteúdo".
• Clique no botão e defina como "Habilitar filtros de conteúdo" e você será imediatamente apresentado com todos os filtros de conteúdo de saída que foram criados. 
• "Ativar" todos os filtros. 
• "Submeter" e "Confirmar".

Summary

Agora, você já implementou as Melhores formas de aprendizado para filtros de conteúdo de entrada e saída. A maioria (não todos) dos filtros de conteúdo usou a ação de quarentena e selecionou (Habilitar) a "mensagem duplicada" - que apenas coloca uma cópia do e-mail original e não impede que o e-mail seja entregue. O objetivo desses Filtros de conteúdo é permitir que você reúna informações sobre os tipos de emails que fluem de entrada e saída para sua empresa.

Dito isso, depois de executar o relatório Filtros de conteúdo e examinar as cópias de e-mail salvas nas quarentenas, pode ser prudente desmarcar a opção "Mensagem duplicada" e, com isso, começar a colocar o e-mail original na quarentena em vez de uma cópia/duplicata.