如何发送示例邮件以确保防病毒引擎在思科邮件安全设备(ESA)上扫描

下载选项

  • PDF     (393.4 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (143.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (103.7 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2017 年 9 月 13 日
文档 ID:118175

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何发送示例邮件以确保Sophos防病毒或McAfee防病毒引擎在思科邮件安全设备(ESA)上扫描。

    如何发送示例邮件以确保防病毒引擎在思科邮件安全设备(ESA)上扫描

    通过通过ESA发送包含测试病毒负载的邮件示例,我们可以触发Sophos或McAfee防病毒引擎。  执行本文档中列出的步骤之前,您需要设置传入或传出邮件策略,并将邮件策略配置为具有防病毒丢弃或隔离受病毒感染的邮件。  本文档使用EICAR (www.eicar.org)提供的ASCII代码,该代码将作为附件模拟测试病毒

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    :根据EICAR:此测试文件已提供给EICAR,作为“EICAR标准防病毒测试文件”分发,并且满足上面列出的所有标准。可以安全传递,因为它不是病毒,并且不包含任何病毒代码片段。大多数产品对它的反应就像病毒一样(虽然它们通常使用明显的名称,例如“EICAR-AV-Test”)。

    创建TXT文件

    使用上面的ASCII字符串,创建一个.txt文件,并将该字符串作为文件正文写入。  您可以将此文件作为示例邮件中的附件发送。

    发送示例消息

    根据您的工作方式,您可以通过ESA以各种方式发送示例消息。  两种示例方法是通过UNIX CLI使用mail或从Outlook(或其他电子邮件应用程序)执行。

    UNIX CLI

    joe@unix.local:~$ echo "TEST MESSAGE w/ ATTACHMENT" | mail -s "A/V test example" -A av.txt bob@av.esa

    需要正确设置UNIX环境,才能通过ESA发送或中继邮件。

    Outlook

    使用Outlook(或其他电子邮件应用程序),您可以通过以下两种方式发送ASCII代码:1)使用创建的.txt文件;2)将ASCII字符串直接粘贴到邮件正文中。

    使用.txt文件作为附件:

    118175-technote-esa-00-00.png

    在邮件正文中使用ASCII字符串:

    118175-technote-esa-00-01.png

    需要正确设置Outlook(或其他电子邮件应用程序)才能通过ESA发送或转发邮件。

    确认

    在ESA CLI中,请在发送示例消息之前使用tail mail_logs命令。  在查看邮件日志时,您会看到McAfee扫描并捕获的邮件为“VIRAL”:

    Wed Sep 13 11:42:38 2017 Info: New SMTP ICID 306 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
    Wed Sep 13 11:42:38 2017 Info: ICID 306 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
    Wed Sep 13 11:42:38 2017 Info: Start MID 405 ICID 306
    Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 From: <joe@example.com>
    Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 RID 0 To: <bob@av.esa>
    Wed Sep 13 11:42:38 2017 Info: MID 405 Message-ID '<20170913153801.0EDA1A0121@example.com>'
    Wed Sep 13 11:42:38 2017 Info: MID 405 Subject 'A/V test attachment'
    Wed Sep 13 11:42:38 2017 Info: MID 405 ready 1057 bytes from <joe@example.com>
    Wed Sep 13 11:42:38 2017 Info: MID 405 attachment 'av.txt'
    Wed Sep 13 11:42:38 2017 Info: ICID 306 close
    Wed Sep 13 11:42:38 2017 Info: MID 405 matched all recipients for per-recipient policy my_av in the inbound table
    Wed Sep 13 11:42:38 2017 Info: MID 405 interim AV verdict using McAfee VIRAL
    Wed Sep 13 11:42:38 2017 Info: MID 405 antivirus positive 'EICAR test file'
    Wed Sep 13 11:42:38 2017 Info: MID 405 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
    Wed Sep 13 11:42:38 2017 Info: MID 405 queued for delivery
    Wed Sep 13 11:42:38 2017 Info: New SMTP DCID 239 interface 10.1.2.84 address 10.1.2.87 port 7025
    Wed Sep 13 11:42:38 2017 Info: DCID 239 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
    Wed Sep 13 11:42:38 2017 Info: Delivery start DCID 239 MID 405 to RID [0] to Centralized Policy Quarantine
    Wed Sep 13 11:42:38 2017 Info: Message done DCID 239 MID 405 to RID [0] (centralized policy quarantine)
    Wed Sep 13 11:42:38 2017 Info: MID 405 RID [0] Response 'ok:  Message 49 accepted'
    Wed Sep 13 11:42:38 2017 Info: Message finished MID 405 done
    Wed Sep 13 11:42:43 2017 Info: DCID 239 close

    通过发送并由Sophos扫描的同一邮件:

    Wed Sep 13 11:44:24 2017 Info: New SMTP ICID 307 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
    Wed Sep 13 11:44:24 2017 Info: ICID 307 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
    Wed Sep 13 11:44:24 2017 Info: Start MID 406 ICID 307
    Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 From: <joe@example.com>
    Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 RID 0 To: <bob@av.esa>
    Wed Sep 13 11:44:24 2017 Info: MID 406 Message-ID '<20170913153946.E20C7A0121@example.com>'
    Wed Sep 13 11:44:24 2017 Info: MID 406 Subject 'A/V test attachment'
    Wed Sep 13 11:44:24 2017 Info: MID 406 ready 1057 bytes from <joe@example.com>
    Wed Sep 13 11:44:24 2017 Info: MID 406 attachment 'av.txt'
    Wed Sep 13 11:44:24 2017 Info: ICID 307 close
    Wed Sep 13 11:44:24 2017 Info: MID 406 matched all recipients for per-recipient policy my_av in the inbound table
    Wed Sep 13 11:44:24 2017 Info: MID 406 interim AV verdict using Sophos VIRAL
    Wed Sep 13 11:44:24 2017 Info: MID 406 antivirus positive 'EICAR-AV-Test'
    Wed Sep 13 11:44:24 2017 Info: MID 406 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
    Wed Sep 13 11:44:24 2017 Info: MID 406 queued for delivery
    Wed Sep 13 11:44:24 2017 Info: New SMTP DCID 240 interface 10.1.2.84 address 10.1.2.87 port 7025
    Wed Sep 13 11:44:24 2017 Info: DCID 240 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
    Wed Sep 13 11:44:24 2017 Info: Delivery start DCID 240 MID 406 to RID [0] to Centralized Policy Quarantine
    Wed Sep 13 11:44:24 2017 Info: Message done DCID 240 MID 406 to RID [0] (centralized policy quarantine)
    Wed Sep 13 11:44:24 2017 Info: MID 406 RID [0] Response 'ok:  Message 50 accepted'
    Wed Sep 13 11:44:24 2017 Info: Message finished MID 406 done
    Wed Sep 13 11:44:29 2017 Info: DCID 240 close

    在本实验中,ESA将“感染病毒的邮件”(Virus Infected Messages)配置为在特定邮件策略中隔离“应用于邮件的操作”(Action Applied to Message)。  根据邮件策略中防病毒处理的受病毒感染的邮件所采取的操作,ESA上的操作可能会有所不同。

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    07-Aug-2014
    初始版本
    TAC Authored

    由思科工程师提供

    • 斯蒂芬·菲布兰特
      思科TAC工程师
    • 桑迪普·米尼亚斯
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品