有关邮件安全设备(ESA)和安全管理设备(SMA)的综合垃圾邮件隔离区设置指南

简介

本文档介绍如何在ESA或SMA上配置垃圾邮件隔离区和相关功能：使用LDAP进行外部身份验证和垃圾邮件隔离区通知。 

步骤

在ESA上配置本地垃圾邮件隔离区

1. 在ESA上，选择Monitor > Spam Quarantine。
2. 在“垃圾邮件隔离区设置”部分中，选中启用垃圾邮件隔离区复选框并设置所需的隔离区设置。
   
3. 选择安全服务>垃圾邮件隔离区。
4. 除非您计划使用外部垃圾邮件隔离区（请参阅下一节），否则请确保Enable External Spam Quarantine复选框处于未选中状态。
   
5. 提交并确认更改。

在接口上启用隔离端口并指定隔离URL

1. 选择Network > IP Interfaces。
   
2. 点击将用于访问隔离区的接口的接口名称。

   在“垃圾邮件隔离区”(spam quarantine)部分，选中复选框并指定默认端口或根据需要进行更改：

   • 垃圾邮件隔离区HTTP
   • 垃圾邮件隔离区HTTPS
   
3. 选中This is the default interface for Spam Quarantine复选框。
4. 在“通知中显示的URL”(URL Displayed in Notifications)下，默认情况下，设备使用系统主机名(cli：sethostname)，除非第二个单选按钮选项和文本字段中另有指定。

   此示例指定默认主机名设置。

   

   您可以指定自定义URL以访问垃圾邮件隔离区。

   

   注意：如果为外部访问配置隔离，则需要在接口上配置外部IP地址或将网络地址转换为内部IP的外部IP。

   如果不使用主机名，可以保持选中“主机名”(Hostname)单选按钮，但仍仅通过IP地址访问隔离区。例如，https://10.10.10.10:83。

5. 提交并确认更改。
6. 验证。

   如果为垃圾邮件隔离区指定主机名，请确保主机名可通过内部域名系统(DNS)或外部DNS进行解析。DNS会将主机名解析为您的IP地址。

   如果您没有获得结果，请咨询网络管理员，然后继续像上一个示例一样访问通过IP地址隔离区，直到该主机显示在DNS中。

   > nslookup quarantine.mydomain.com

   导航到您之前在Web浏览器中配置的URL，以验证您可以访问隔离区： 

   https://quarantine.mydomain.com:83

   https://10.10.10.10:83

   

配置ESA以将垃圾邮件和/或可疑垃圾邮件移至垃圾邮件隔离区

要隔离可疑垃圾邮件和/或确认的垃圾邮件，请完成以下步骤：

1. 在ESA上，单击Mail Policies > Incoming Mail Policies，然后单击Default Policy的反垃圾邮件列。
2. 更改已正确标识的垃圾邮件或可疑垃圾邮件的操作，将其发送到垃圾邮件隔离区。"
   
3. 对可能已配置用于外部垃圾邮件隔离区的任何其他ESA重复此过程。如果在集群级别进行此更改，则无需重复此操作，因为更改将传播到集群中的其他设备。
4. 提交并确认更改。
5. 此时，本应已发送或丢弃的邮件将被隔离。

在SMA上配置外部垃圾邮件隔离区

在SMA上配置外部垃圾邮件隔离区的步骤与上一节相同，但有几个例外情况：

1. 在每个ESA上，您需要禁用本地隔离区。选择Monitor > Quarantines。
2. 在ESA上，选择安全服务>垃圾邮件隔离区，然后单击启用外部垃圾邮件隔离区。
3. 将ESA指向SMA的IP地址并指定要使用的端口。默认为端口6025。
   
4. 确保从ESA到SMA的端口6025处于打开状态。此端口用于从ESA > SMA传送隔离的邮件。

   可以通过从端口6025上的ESA的CLI执行telnet测试来验证这一点。如果连接打开并保持打开，则应进行设置。

   tarheel.rtp> telnet 14.2.30.116 6025
   Trying 14.2.30.116...
   Connected to steelers.rtp.
   Escape character is '^]'.
   220 steelers.rtp ESMTP

5. 确保已配置IP/主机名以访问垃圾邮件隔离区，如“启用隔离区端口并在接口上指定隔离URL”。
6. 验证邮件是否从您的ESA到达垃圾邮件隔离区。如果垃圾邮件隔离区未显示任何邮件，则端口6025上的ESA > SMA可能存在连接问题（请参阅前面的步骤）。

配置垃圾邮件隔离区通知

1. 在ESA上，选择Monitor > Spam Quarantine。
2. 在SMA上，导航至垃圾邮件隔离区设置，以便执行相同的步骤。
3. 单击垃圾邮件隔离区。
4. 选中Enable Spam Notification复选框。
   
5. 选择通知日程安排。
   

   

6. 提交并确认更改。

通过垃圾邮件隔离区最终用户身份验证查询配置最终用户垃圾邮件隔离区访问

1. 在SMA或ESA上，选择System Administration > LDAP。
2. 打开您的LDAP服务器配置文件。
3. 为了验证您是否能够使用Active Directory帐户进行身份验证，请检查是否启用了垃圾邮件隔离区最终用户身份验证查询。
4. 选中指定为活动查询复选框。
   
5. 单击测试以测试查询。

   Match Positive表示身份验证成功：

   
6. 提交并确认更改。
7. 在ESA上，选择Monitor > Spam Quarantine。

   在SMA上，导航至垃圾邮件隔离区设置，以便执行相同的步骤。

8. 单击垃圾邮件隔离区。
9. 选中Enable End-User Quarantine Access 复选框。
10. 从End-User Authentication下拉列表中选择LDAP。
    
11. 提交并确认更改。
12. 验证外部身份验证在ESA/SMA上。
13. 导航到之前在Web浏览器中配置的URL，以验证是否可以访问隔离区：

    https://quarantine.mydomain.com:83
    https://10.10.10.10:83

14. 使用您的LDAP帐户登录。如果失败，请检查外部身份验证LDAP配置文件并启用最终用户隔离区访问（请参阅前面的步骤）。

配置管理用户对垃圾邮件隔离区的访问

使用此部分中的过程可允许具有这些角色的管理用户管理垃圾邮件隔离区中的邮件：操作员、只读操作员、服务中心或访客角色以及包括对垃圾邮件隔离区的访问权限的自定义用户角色。

管理员级用户（包括默认管理员用户和邮件管理员用户）可以始终访问垃圾邮件隔离区，无需使用此过程与垃圾邮件隔离区功能相关联。

注意：非管理员级别的用户可以访问垃圾邮件隔离区中的邮件，但不能编辑隔离区设置。管理员级别的用户可以访问消息并编辑设置。

要使没有完全管理员权限的管理用户能够管理垃圾邮件隔离区中的邮件，请完成以下步骤：

1. 确保您已创建用户并为其分配有权访问垃圾邮件隔离区的用户角色。
2. 在安全管理设备上，选择管理设备>集中服务>垃圾邮件隔离区。
3. 在“垃圾邮件隔离区设置”部分中单击启用或编辑设置。
4. 在“垃圾邮件隔离区设置”(Spam Quarantine Settings)部分的管理用户(Administrative Users)区域中，点击本地用户(Local Users)、外部身份验证用户(External Authenticated Users)或自定义用户角色(Custom User Roles)的选择链接。
5. 选择要授予其查看和管理垃圾邮件隔离区邮件的访问权限的用户。
6. Click OK.
7. 如果需要，请为部分中列出的其他管理用户类型（本地用户、外部身份验证的用户或自定义用户角色）重复此步骤。
8. 提交并确认更改。