从发往Microsoft Exchange 2013的邮件中删除的ESA X信头
简介
本文档介绍通过思科邮件安全设备(ESA)发送到Microsoft Exchange 2013邮件服务器的邮件可能不会显示X标头和自定义X标头的原因,以及如何解决此问题。
背景信息
在ESA上,思科使用并注入与ESA关联的特定功能的X报头。这些报头用于记录这些功能的值和输出。
下面是X报头的一些示例:
| X报头 | 功能 | 价值示例 |
| X-Ironport-Anti-Spam-Filters | 反垃圾邮件 | 正确/错误 |
| X-Ironport-Anti-Spam-Result | 反垃圾邮件 | <散列结果> |
| X-Ironport-AV | 防病毒 | 与AV扫描有关的编码详细信息 |
| X-Amp-结果 | 高级恶意软件 | 安全/恶意/不可扫描 |
| X-Amp-Original-Verdict | 高级恶意软件 | 文件未知/判定未知 |
| 已上传X-Amp-文件 | 高级恶意软件 | 正确/错误 |
| X-IronPort-Outbreak-Status | 病毒爆发过滤 | $threat_verdict |
| X-IronPort-Outbreak-描述 | 病毒爆发过滤 | $threat_description |
从ESA中,需要关注的主要X报头通常是X-Ironport-AV报头和X-Ironport-Anti-Spam报头:
X-Ironport-Av: E=Sophos;i="5.11,502,1422939600"; d="scan'208,217";a="54"
X-Ironport-Av: E=Sophos;i="5.11,502,1422921600"; d="scan'208,217";a="408151624"
X-Ironport-Anti-Spam-Result: A0DdCADh5RpV/5RdJa1cgkNDUlwFtDiPCYI0hXcCgUhMAQEBAQE
BeQSEGxlyAQsBAnInBIhCpTCpC4xhh3QFgzONL4l1iziJAyKBRQyCHW+BRH8BAQE
X-Ironport-Anti-Spam-Filtered: true
当垃圾邮件和误报邮件直接提交给思科进行进一步审核时,使用这些信头,这些信头包含最初向ESA发送或从ESA接收时用于处理邮件的功能值。
问题
对于通过ESA处理到Microsoft Exchange 2013的某些电子邮件,不会显示X标头。
在Microsoft Exchange中,有一个“信头防火墙选项,用于从入站和出站邮件中删除特定信头字段”。 当从ESA插入的X报头被删除时,会观察到此情况,这会导致思科服务端出现路由和处理问题。
下面是问题的说明,如Microsoft TechNet的报头防火墙部分所述:
报头防火墙通过从不受信任的来源进入Exchange组织的入站邮件中删除与Exchange相关的X报头,来防止欺骗这些报头。报头防火墙通过从发送到Exchange组织外部的不受信任目标的出站邮件中删除这些与Exchange相关的X报头,来阻止其泄露。报头防火墙还可防止用于跟踪消息路由历史记录的标准路由报头的欺骗。
解决方案
为了解决此问题,思科建议您检查Microsoft Exchange 2013环境的选项和配置,以确保未启用报头防火墙选项。
此外,请验证是否正确输入了报头信息。通过ESA和Microsoft Exchange环境处理的邮件应为每个邮件正确写入原始信头。根据最终用户使用的电子邮件应用程序,可以使用多种方法来查看这些信头。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
03-Apr-2015 |
初始版本 |
反馈