简介
本文档介绍在内部用户帐户遭到入侵并全局发送未经授权的电子邮件时,如何对邮件安全设备(ESA)上的队列进行故障排除和纠正。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于ESA的AsyncOS 7.6及更高版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
故障排除
如果已知发送垃圾邮件的帐户,建议将其锁定,否则一旦通过ESA上的调查发现该帐户,请立即将其锁定。
工作队列检查
当工作队列计数器中存在大量电子邮件,并且进入系统的电子邮件速率远远超过退出系统的速率时,这表明工作队列受到影响。可以使用workqueue命令执行检查。
C370.lab> workqueue status
Status as of: Thu Feb 06 12:48:02 2014 GMT
Status: Operational
Messages: 48654
C370.lab> workqueue rate 5
Type Ctrl-C to return to the main prompt.
Time Pending In Out
12:48:04 48654 48 2
12:48:09 48700 31 0
工作队列中的电子邮件发件人或主题已知
为了删除影响工作队列的邮件,建议使用邮件过滤器。使用邮件过滤器将允许ESA在工作队列开始时操作这些邮件,而不是在工作队列结束时操作,以便以更有效的时间间隔帮助删除邮件。
此过滤器可用于实现以下目标:
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if (mail-from == 'abc@abc1.com')
{
drop();
}
.
OR
FilterName:
if (subject == "^SUBJECT NAME$")
{
drop();
}
.
传送队列检查
tophosts命令将显示当前受影响的主机。在实时环境中,您将看到大量活动收件人将影响收件人主机(当前活动传递队列)。对于此输出,示例为impactedhost.queue。
C370.lab> tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Thu Feb 06 12:52:17 2014 GMT
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1 impactedhost.queue 321550 50 440 75568 8984
2 the.euq.queue 0 0 0 0 0
3 the.euq.release.queue 0 0 0 0 0
如果受影响的主机是不熟悉的收件人域(在删除所有电子邮件之前需要进一步信息),则可以使用showreceients、showmessage和deleterecipients命令。showreceipients命令将显示邮件ID (MID)、邮件大小、传送尝试、信封发件人、信封收件人和邮件的主题。
C370.lab> showrecipients
Please select how you would like to show messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 1
Please enter the hostname for the messages you wish to show.
> impactedhost.queue
如果传递队列中的可疑MID看起来合法,则可使用showmessage命令,以便在采取任何操作之前显示消息来源。
C370.lab> showmessage
Enter the MID to show.
[]>
一旦确认为垃圾邮件,要删除这些电子邮件,请继续并使用deleterecipient命令。该命令将提供三个选项,用于从传送队列中删除电子邮件:按信封发件人、按收件人主机或传送队列中的所有电子邮件。
C370.lab> deleterecipients
Please select how you would like to delete messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 2
Please enter the Envelope From address for the messages you wish to delete.
[]>
主动监控和操作
在ESA上的9.0+ AsyncOS版本中,可以使用名为“报头重复规则”(Header Repeats Rule)的新邮件过滤器条件。
报头重复规则
如果在给定时间点上有指定数量的邮件,则“信头重复”规则求值为true:
- 在最近1小时内检测到相同的主题。
- 在过去一小时内检测到来自同一信封发件人的邮件。
- header-repeats(<target>, <threshold> [, <direction>])
有关此情况的详细信息,请参阅设备的“联机帮助指南”。
登录CLI并部署过滤器,以运行该检查和所需操作。 用于在达到阈值后丢弃邮件或通知管理员的示例过滤器。
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if header-repeats('mail-from',1000,'outgoing')
{
drop();
}
.
OR
FilterName:
if header-repeats('subject',1000,'outgoing')
{
notify('admin@xyz.com');
}
.
相关信息
反馈