配置云网关金牌级配置

简介

     

本文档对思科安全邮件云网关提供的金牌配置进行深入分析。

     

先决条件

     

要求

思科建议您了解以下主题：

• 思科安全邮件网关或云网关，UI和CLI管理
• Cisco Secure Email Email and Web Manager、UI级管理
• 思科安全电子邮件云客户可以请求CLI访问；请参阅：命令行界面(CLI)访问

使用的组件

本文档中的信息来自针对思科安全电邮云客户和管理员的金牌配置和最佳实践建议。

     

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

相关产品

本文档还适用于以下内容：

• 思科安全邮件网关现场硬件或虚拟设备
• Cisco Secure Email and Web Manager本地硬件和虚拟设备

          

策略隔离区

在Email and Web Manager上为Cisco Secure Email Cloud客户配置和维护隔离区。请登录您的电子邮件和Web管理器以查看隔离区：

• ACCOUNT_TAKEOVER
• 反欺骗
• BLOCK_ATTACHMENTS
• 阻止列表
• DKIM_FAIL
• DMARC_QUARANTINE
• DMARC_REJECT
• FORGED_EMAIL
• INFORECTIVE_CONTENT
• 宏
• OPEN_RELAY
• SDR_DATA
• SPF_HARDFAIL
• SPF_SOFTFAIL
• TG_OUTBOUND_MALWARE
• URL_恶意

     

云网关Gold配置

     

警告：在生产环境中提交配置更改之前，需要查看和了解基于本文档中提供的最佳实践对配置所做的任何更改。更改配置之前，请咨询您的思科CX工程师、指定服务经理(DSM)或客户团队。

     

开始使用前 

思科安全电邮云客户的金牌配置是云网关和思科安全电邮与Web管理器的最佳实践和零日配置。思科安全电子邮件云部署同时使用云网关和至少一(1)个电子邮件和Web管理器。部分配置和最佳实践指导管理员使用位于Email and Web Manager上的隔离区进行集中管理。

     

基本配置 

邮件策略>收件人访问表(RAT)

收件人访问表定义公共侦听程序接受哪些收件人。表格至少指定地址以及接受还是拒绝该地址。 请查看RAT以根据需要添加和管理域。

Network > SMTP Routes

如果SMTP路由目标为Microsoft 365，请参阅Office365 Throttling CES New Instance with "4.7.500 Server busy"。请稍后重试”。

     

安全性服务

使用提供的值，为所有思科安全邮件云客户配置列出的服务：

IronPort反垃圾邮件(IPAS)

• 启用并配置Always scan 1M和Never scan 2M
• 扫描单个邮件的超时：60秒

URL 过滤

• 启用URL分类和信誉过滤器
• （可选）创建和配置名为“bypass_urls”的URL允许列表。
• 启用Web交互跟踪
• 高级设置:
  • URL查找超时：15秒
  • 正文和附件中扫描的最大URL数：400
  • 重写消息中的URL文本和HREF：否
  • URL日志记录：已启用
• （可选）从AsyncOS 14.2开始，云网关、URL追溯性裁决和URL补救可用；请参阅提供的版本说明和配置安全邮件网关和云网关的URL过滤

灰色邮件检测

• 启用并配置Always scan 1M和Never scan 2M
• 扫描单个邮件的超时：60秒

爆发过滤器

• 启用自适应规则
• 要扫描的最大邮件大小：2M
• 启用Web交互跟踪

高级恶意软件防护>文件信誉和分析

• 启用文件信誉
• 启用文件分析
  • 请参阅“全局设置”以检查文件分析的文件类型

邮件跟踪

• 启用拒绝的连接日志记录（如果需要） 

     

系统管理

用户（系统管理>用户）

• 请记得查看并设置与本地用户帐户和密码设置关联的密码短语策略
• 如有可能，配置并启用轻量级目录访问协议(LDAP)进行身份验证(系统管理> LDAP)

日志订阅（系统管理>日志订阅）

• 如果未配置，请创建并启用：
  • 配置历史记录日志
  • URL信誉客户端日志
• 在“日志订阅全局设置”(Log Subscriptions Global Settings)中，编辑设置并将信头添加到、从、回复和发件人。

     

其他配置（可选）

需要审查和考虑的其他服务：

System Administration > LDAP

• 如果配置LDAP，思科建议启用了SSL的LDAP

URL防御

• 有关URL防御的最新配置最佳实践，请参阅为安全邮件网关和云网关配置URL过滤。
• 思科还深入研究了URL防御；请参阅URL防御指南。  
• URL防御指南中包含的一些示例也包含在本文档中。

SPF

• 发件人策略框架(SPF)DNS记录是在云网关的外部创建的。因此，思科强烈建议所有客户将SPF、DKIM和DMARC最佳实践构建到其安全状态中。有关SPF验证的详细信息，请参阅SPF配置和最佳实践。
• 对于思科安全电邮云客户，系统会为每个分配主机名发布所有云网关的宏，以便更轻松地添加所有主机。
• 将此项放在~all或 — all之前，放到当前DNS TXT(SPF)记录中（如果存在）：

exists:%{i}.spf.<allocation>.iphmx.com

     

注意：确保SPF记录以~all或 — all结尾。在任何更改之前和之后验证域的SPF记录！

     

• 有关SPF的更多信息的推荐信息和工具：
  
  • SPF记录检查器 — 免费SPF查找(dmarcian.com)
  • SPF记录语法表 — 所有SPF - dmarcian.com

其他SPF示例

• SPF的一个极好示例是从云网关接收电子邮件以及从其他邮件服务器发送出站电子邮件。可以使用“a：”机制指定邮件主机：  

v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all 

     

• 如果仅通过云网关发送出站电子邮件，您可以使用：

v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all 

     

• 在本示例中，“ip4：”或“ip6：”机制指定IP地址或IP地址范围：

v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all

  

CLI级别更改

• 如必备条件中所述，思科安全邮件云客户可以请求CLI访问；请参阅命令行界面(CLI)访问。

反欺骗过滤器

• 请务必查看防欺骗的最佳实践指南
• 本指南为您提供关于防止邮件欺骗的深层示例和配置最佳实践

添加报头过滤器

• 请仅使用CLI，请编写并启用addHeaders消息过滤器:

addHeaders:  if (sendergroup != "RELAYLIST")
{
     insert-header("X-IronPort-RemoteIP", "$RemoteIP");
     insert-header("X-IronPort-MID", "$MID");
     insert-header("X-IronPort-Reputation", "$Reputation");
     insert-header("X-IronPort-Listener", "$RecvListener");
     insert-header("X-IronPort-SenderGroup", "$Group");
     insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}

  

主机访问表(邮件策略>主机访问表(HAT))

HAT概述>其他发件人组

• ESA用户指南：创建邮件处理的发件人组
  • BYPASS_SBRS — 对跳过信誉的源设置较高的值
  • MY_TRUSTED_SPOOF_HOSTS — 欺骗过滤器的一部分
  • TLS_REQUIRED — 用于TLS强制连接

在预定义的SUSPECTLIST发件人组中

• ESA用户指南：发件人验证：主机
  • 启用“SBRS Scores on None”。
  • （可选）启用“由于临时DNS故障，连接主机PTR记录查找失败”。

主动HAT示例

• BLOCKLIST_REFUSE [-10.0到–9.0]策略：BLOCKED_REFUSE
• BLOCKLIST_REJECT [-9.0到–2.0]策略：BLOCKED_REJECT
• SUSPECTLIST [-2.0到0.0和SBRS评分“无”]策略：已限制
• ACCEPTLIST [0.0到10.0]策略：已接受

     

注意:HAT示例显示了附加配置的邮件流策略(MFP)。有关MFP的完整信息，请参阅用户指南中的“了解邮件管道>传入/接收”，了解您已部署的思科安全邮件网关的相应版本的AsyncOS。

       

HAT示例：

  

  

邮件流策略(默认策略参数)

默认策略参数

安全设置

• 将传输层安全(TLS)设置为首选
• 启用发件人策略框架(SPF)
• 启用DomainKey Identified Mail(DKIM)
• 启用基于域的邮件身份验证、报告和一致性(DMARC)验证并发送汇总反馈报告

  

注意:DMARC需要额外的调整才能配置。有关DMARC的详细信息，请参阅用户指南中的“邮件身份验证> DMARC验证”，了解您已部署的思科安全邮件网关的相应版本的AsyncOS。

       

传入邮件策略

默认策略的配置方式类似于：

反垃圾邮件

• 启用，阈值保留为默认阈值。（对评分的修改可能会增加误报。）

防病毒

• 邮件扫描：仅扫描病毒
  • 确保“包括X报头”复选框已启用
• 对于无法扫描的邮件和感染病毒的邮件，请将存档原始邮件设置为否

AMP

• 对于Unscannable Actions on Message Errors，请使用Advanced和Add Custom Header to Message,X-TG-MSGERROR，值：True。
• 对于无法扫描的速率限制操作，请使用Advanced和Add Custom Header to Message,X-TG-RATELIMIT，值：True。
• 对于文件分析处于挂起状态的邮件，请使用对邮件应用的操作：“隔离”。

灰色邮件

• 为每个裁决(Marketing、Social、Bulk)启用扫描，并为Add Text to Subject预置，操作为Deliver。
• 对于Action on Bulk Mail，请使用Advanced和Add Custom Header（可选）:X-Bulk，值：True。

内容过滤器

• 已选择ENABLED和URL_QUARANTINE_MALICIOUS、URL_REWRITE_SUSPICIOUS、URL_INFORECTION、DKIM_FAILURE、SPF_HARDFAIL、EXECUTIVE_SPOOF、DOMAIN_SPOOF、SDR和TG_RATE_LIMIT
• 本指南稍后将介绍这些内容过滤器

爆发过滤器

• 默认威胁级别为3；请根据您的安全要求进行调整。
  • 如果邮件的威胁级别等于或超过此阈值，该邮件将移至爆发隔离区。（1=最低威胁，5=最高威胁）
• 启用邮件修改
• 为“为所有邮件启用”设置的URL重写。
• 将主题更改为：[可能的$threat_category欺诈]

     

  

策略名称（显示）

• 阻止列表邮件策略

BLOCKLIST邮件策略配置为禁用除高级恶意软件防护之外的所有服务，并使用QUARANTINE操作链接到内容过滤器。

• ALLOWLIST邮件策略

ALLOWLIST邮件策略已禁用反垃圾邮件、灰色邮件，并且为URL_QUARANTINE_MALICIOUS、URL_REWRITE_SUSPICIOUS、URL_INFORCISE、DKIM_FAILURE、SPF_HARDFAIL、EXECUTIVE SPOOF、DOMAIN_SPOOF、SDR、TG_RATE_LIMIT或您选择和配置的内容过滤器启用了内容过滤器。

• ALLOW_SPOOF邮件策略

ALLOW_SPOOF邮件策略启用所有默认服务，并且为URL_QUARANTINE_MALICIOUS、URL_REWRITE_SUSPICIOUS、URL_INFORCISE、SDR或您选择和配置的内容过滤器启用内容过滤器。

  

外发邮件策略

默认策略的配置方式类似于：

反垃圾邮件

• 禁用

防病毒

• 邮件扫描：仅扫描病毒
  • 取消选中“包括X报头”复选框。
• （可选）对于所有邮件：Advanced > Other Notification，请启用“Others”并包含您的管理员/SOC联系人电子邮件地址

高级恶意软件保护

• 仅启用文件信誉
• 对速率限制执行不可扫描的操作：使用Advanced和Add Custom Header to Message: X-TG-RATELIMIT，值：“True”。
• 包含恶意软件附件的邮件：使用高级和将自定义信头添加到邮件:X-TG-OUTBOUND，值：“检测到恶意软件”。

灰色邮件

• 禁用

内容过滤器

• 已启用并选择您选择的TG_OUTBOUND_MALICIOUS、Strip_Secret_Header、EXTERNAL_SENDER_REMOVE、ACCOUNT_TAKEOVER或内容过滤器。

爆发过滤器

• 禁用

DLP

• 根据您的DLP许可和DLP配置启用。

    

其他设置

词典（“邮件策略”>“词典”）

• 启用并审阅Profanity和Sexual_Content字典
• 使用所有执行名称创建Executive_FED词典进行伪造邮件检测
• 根据您对策略、环境、安全控制的需要，为受限关键字或其他关键字创建附加词典

目标控制（邮件策略>目标控制）

• 对于默认域，将TLS支持配置为首选
• 您可以为Web邮件域添加目标并设置较低的阈值
• 有关详细信息，请参阅使用目标控制设置限制出站邮件的速率指南。

  

  

内容过滤器

     

注意：有关内容过滤器的详细信息，请参阅用户指南中的“内容过滤器”，了解您已部署的思科安全邮件网关的相应版本的AsyncOS。

     

传入内容过滤器

URL_QUARANTINE_MALICIOUS

条件：URL信誉；url-reputation(-10.00, -6.00, "bypass_urls", 1, 1)

操作：隔离：隔离("URL_MALICIOUS")

  

URL_REWRITE_SUSPICIOUS

条件：URL信誉；url-reputation(-5.90, -5.60, "bypass_urls", 0, 1)

操作：URL信誉；url-reputation-proxy-redirect(-5.90, -5.60,"",0)

  

URL_INFORCISE

条件：URL类别；url类别(['Adult', 'Child Abuse Content', 'Extreme', 'Hate Speech', 'Illegal Activities', 'Illegal Downloads', 'Illegal Drugs', 'Submitted', 'Filter Avoidance'], "bypass_urls", 1, 1)

操作：隔离;duplicate-quarantine("INFORCABLE_CONTENT")

  

DKIM_FAILURE

条件：DKIM身份验证；dkim-authentication == hardfail

操作：隔离;duplicate-quarantine("DKIM_FAIL")

  

SPF_HARDFAIL

条件：SPF验证；spf-status == fail

操作：隔离;duplicate-quarantine("SPF_HARDFAIL")

  

EXECUTIVE_SPOOF

条件：伪造邮件检测；伪造邮件检测("Executive_FED", 90, "")

条件：其他报头；报头("X-IronPort-SenderGroup")!= "(?i)allowspoof"

*设置Apply rule：仅当所有条件都匹配时

操作：添加/编辑信头；edit-header-text("Subject", "(.*)", "[EXTERNAL]\\1")

操作：隔离；duplicate-quarantine("FORGED_EMAIL")

  

DOMAIN_SPOOF

条件：其他报头；报头("X-Spoof")

操作：隔离;duplicate-quarantine("ANTI_SPOOF")

  

特别提款权

条件：域信誉；sdr-reputation（['可怕的'], ""）

条件：域信誉；sdr-age（“天”、<、5、“”）

* set Apply rule：如果一个或多个条件匹配

操作：隔离;duplicate-quarantine("SDR_DATA")

  

TG_RATE_LIMIT

条件：其他标头；标头("X-TG-RATELIMIT")

操作：添加日志条目；log-entry("X-TG-RATELIMIT: $filenames")

  

BLOCKLIST_QUARANTINE

条件：（无）

操作：隔离；隔离（“阻止列表”）

     

  

  

外发内容过滤器

  

TG_OUTBOUND_MALICIOUS

条件：其他报头；报头("X-TG-OUTBOUND")== MALWARE

操作：隔离；隔离("TG_OUTBOUND_MALWARE")

  

Strip_Secret_Header

条件：其他信头；信头("PLACEHOLDER")== PLACEHOLDER

操作：剥离信头；strip-header("X-IronPort-Tenant")

  

EXTERNAL_SENDER_REMOVE

条件：（无）

操作：添加/编辑信头；edit-header-text("Subject", "\\[EXTERNAL\\]\\s?", "")

  

ACCOUNT_TAKEOVER

条件：其他报头；报头("X-AMP-Result")==(?i)恶意

条件：URL信誉；url-reputation(-10.00, -6.00, "", 1, 1)

*设置应用规则：如果一个或多个条件匹配

操作：Notify;notify（"<插入管理员或通讯邮件地址>", "POSSIBLE ACCOUNT TAKEOVER", "", "ACCOUNT_TAKEOVER_WARNING"）

操作： duplicate-quarantine("ACCOUNT_TAKEOVER")

  

  

对于思科安全电邮云客户，我们确实在金级配置和最佳实践建议中包括了示例内容过滤器。此外，请查看“SAMPLE_”过滤器，了解有关对您的配置有帮助的条件和操作的详细信息。

  

  

Cisco Live

Cisco Live在全球托管许多会话，并提供涵盖思科安全电邮最佳实践的面对面会话和技术分组讨论。有关过去的会话和访问权限，请访问Cisco Live（需要CCO登录）:

• 思科电邮安全：最佳实践和优化 — BRKSEC-2131

• DMARC更新您的电子邮件边界 — BRKSEC-2131
• 修复电子邮件！ — 思科邮件安全高级故障排除 — BRKSEC-3265
• 用于思科电邮安全的API集成 — DEVNET-2326
• 通过思科的云邮件安全保护SaaS邮箱服务 — BRKSEC-1025
• 电子邮件安全：最佳实践和优化 — TECSEC-2345
• 250 NOT OK — 采用思科电邮安全进行防御 — TECSEC-2345
• 思科域保护和思科高级网络钓鱼防护：充分利用邮件安全的下一层！- BRKSEC-1243
• SPF不是“Spoof”的缩写！让我们充分利用邮件安全领域的下一层！- DGTL-BRKSEC-2327

  

如果会话不可用，Cisco Live将保留删除会话的权利，因为演示文稿已过期。

  

其他信息

思科安全电子邮件网关文档

• 版本说明
• 用户指南
• CLI参考指南
• 思科安全邮件网关的API编程指南
• 思科安全邮件网关中使用的开源
• 思科内容安全虚拟设备安装指南（包括vESA）

安全邮件云网关文档

• 版本说明
• 用户指南

Cisco Secure Email and Web Manager文档

• 版本说明和兼容性列表
• 用户指南
• Cisco Secure Email and Web Manager的API编程指南
• 思科内容安全虚拟设备安装指南（包括vSMA）

Cisco Secure产品文档

• 思科安全产品组合命名架构

     

相关信息

• 思科安全邮件安全合规性
• 产品说明：安全电子邮件
• 思科通用云术语
• 思科支持和下载
• [外部] OpenSPF:SPF基本信息和高级信息