配置Beta ESA以接受生产ESA流量

简介

本文档介绍如何配置测试版思科邮件安全设备(ESA)以通过邮件过滤器接受生产ESA流量。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置试用版设备

测试版ESA的监听程序配置

初始监听程序配置将在Beta ESA上完成。

1. 在GUI中，导航到网络>监听程序。
2. 单击Add Listener...
3. 命名并设置在TCP端口25上运行的公共侦听程序。
4. 单击Submit，将更改保存到公共侦听程序。
5. 重复相同的步骤并添加第二个侦听程序。
6. 命名并设置在TCP端口26上运行的专用侦听程序。（此侦听程序用于出站邮件。） 如果有额外的接口为您的环境提供和配置，则可以使用端口25。CES Hosted Beta环境为出站保留端口587。
7. 提交以保存对监听程序的更改。
8. Commit以保存对配置的所有更改。

测试版ESA的发件人组

对于中继流量或出站消息，请为Beta ESA添加适当的IP地址，以便接受和中继来自生产ESA的消息。

1. 在GUI中，导航到邮件策略> HAT概述。
2. 选择相应命名的中继发件人组。（通常命名为RELAY或RELAYLIST。）
3. 单击Add Sender...
4. 对于发送方，请使用生产ESA的IP地址。
5. 根据需要输入任何管理备注。
6. Submit以保存对中继发件人组的更改。
7. Commit以保存对配置的所有更改。

Beta ESA的简单邮件传输协议(SMTP)路由

需要在测试版ESA中进行的SMTP路由更改如下：

1. 在GUI中，导航到网络> SMTP路由。
2. 如果当前有SMTP路由，您可能需要先选择它们和Delete，然后才能继续。（确保查阅“测试版实验室设置指南”。）
3. Click Add Route...（添加路由...）
4. 将接收域设置为cisco.com，将目标设置为USEDNS。
5. 单击“Submit”。
6. 重复相同的步骤，并添加第二个SMTP路由。
7. 将ironport.com的接收域设置为USEDNS，并将目标设置为USEDNS。
8. 单击“Submit”。
9. 最后，从Receiving Domain中选择All Other Domains。
10. 将Destination设置为/dev/null。（这可以防止从试用版设备为任何未配置的域路由邮件。）
11. 单击“Submit”。
12. Commit以保存对配置的所有更改。

此时，试用版设备上的SMTP路由如图所示：

注意：添加适当的路由以根据需要向最终用户发送邮件来测试域。

测试版ESA的传入中继

传入中继配置允许beta检索SBRS得分超过生产ESA的分数。

大多数配置都支持一跳。

1. GUI，导航至Network Incoming Relay。
2. 单击“启用”，将其变为白色。
3. 点击Add Relay。
4. “名称”选择一个名称。
5. 交付给测试版ESA的生产ESA的“IP地址”值。如果多台主机正在传送，则部分主机名是可以接受的。
6. “跳：”1
7. 提交并确认更改

传入中继：禁用状态。

传入中继：启用状态，彩色白色。

传入中继：示例模板

传入中继：提交后的摘要视图。

邮件日志条目示例：

2019年4月8日星期一12:48:28信息：MID 2422822 IncomingRelay(PROD_hc2881-52)：发现信头，使用IP 54.240.35.22，SBRS 3.5国家/地区（美国）

启用日志信头以捕获邮件日志中的垃圾邮件判定

• Webui > System Administration > Log Subscriptions > Global Settings (bottom) > Headers >(add)   X-IronPort-Anti-Spam-Result

将垃圾邮件信头记录到邮件日志

测试端配置结束。

配置生产设备

注意：您即将对生产ESA进行更改。确保备份当前配置。

1. 在GUI中，导航到系统管理>配置文件。
2. 从“当前配置”部分，选择将当前配置备份为文件的选项之一： 
   • 将文件下载到本地计算机以查看或保存。
   • 通过电子邮件将文件发送到：<your_email_address@domain.com>
3. 单击“Submit”。

生产ESA的SMTP路由

必须添加SMTP路由，以允许从生产ESA到测试版ESA的所有入站和出站邮件都使用BCC。本例使用inbound.beta.com和outbound.beta.com。

1. 在GUI中，导航到网络> SMTP路由。
2. Click Add Route...（添加路由...）
3. 将接收域设置为inbound.beta.com，将目标设置为之前创建的Beta设备公共侦听程序的IP地址，并将端口设置为25。
4. 单击Submit以保存对此新SMTP路由的更改。
5. 重复上述步骤，添加路由……
6. 将接收域设置为outbound.beta.com，将目标主机设置为之前创建的Beta设备专用侦听程序的IP地址，并将端口设置为26。
7. Submit以保存对此新SMTP路由的更改。
8. Commit以保存对配置的所有更改。

此时，生产ESA上的SMTP路由如图所示：

退回配置文件创建

退回配置文件和目标控制配置文件组合将保护生产邮件流，避免因延迟或无法将邮件传送到Beta版主机而导致的复杂性。此配置仅适用于beta消息。

1. 在GUI中，导航至网络(Network) >退回配置文件(Bounce Profiles) >添加退回配置文件(Add Bounce Profile)。
2. 最大重试次数：15
3. 排队的最长时间：130
4. 每封邮件的初始等待时间：60
5. 每封邮件等待的最长时间：60
6. 发送硬退回邮件：否
7. 发送延迟警告消息：否
8. 对退回和延迟邮件使用域密钥签名：否
9. Submit以保存对此新退回配置文件的更改。
10. 承诺保存对配置所做的所有更改。 

退回配置文件创建

注意：上述编号值经过非常积极的配置，可防止在Beta主机出现传输中断时进行传输队列备份。值可以修改为首选项。通知设置有意设置为NO，以阻止从BCC过滤器传送任何用户通知。 

目标控制配置文件创建

1. 在GUI中，导航到邮件策略(Mail Policies) >目标控制(Destination Controls) >添加目标(Add Destination)。
2. 目的地： inbound.beta.com
3. 退回验证：>执行地址标记：否>或默认（否）
4. 退回配置文件：BETA_BOUNCE
5. 其他值可根据管理员的偏好进行配置。
6. Submit以保存对此新目标控制配置文件的更改。
7. 使用目标重复步骤2 ― 6：outbound.beta.com
8. Submit以保存对此新目标控制配置文件的更改。
9. Commit以保存对配置的所有更改。

添加目标控制配置文件。新目标控制配置文件的摘要视图。

生产ESA的消息过滤器结构

从生产ESA上的CLI构建邮件过滤器，该过滤器可以将邮件密件抄送到Beta ESA上的相应侦听程序。

1. 导航至过滤器>新建。
2. 复制并粘贴此邮件过滤器示例，并根据需要进行更改：

   bcc-EFT: if sendergroup == "RELAY" {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "outbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
    } else {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "inbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
   }
   .

3. 返回，直到返回CLI主提示符。
4. Commit以保存对配置的所有更改。

注意：根据sendergroup、recv-listener、mail-from或其他可用的规则和语法限制在邮件过滤器中复制的流量。有关完整的邮件过滤器规则和过滤器规则摘要，请参阅ESA用户指南。

退回配置文件创建

目标控制配置文件创建

验证

使用本部分可确认配置能否正常运行。

目前，试用版设备接受来自生产设备的邮件流量。要从Beta设备上的CLI进行验证，请运行tail mail_logs：

Wed Mar 23 17:28:43 2016 Info: New SMTP ICID 2 interface Management (172.18.250.222) address 172.18.250.224 reverse dns host dhcp-172-18-250-224.cisco.com verified yes
Wed Mar 23 17:28:43 2016 Info: ICID 2 RELAY SG RELAY match 172.18.250.1/24 SBRS not enabled
Wed Mar 23 17:28:43 2016 Info: Start MID 2 ICID 2
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 From: <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 RID 0 To: <robsherw@ironport.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 Message-ID '<a033ed$2@9.9.5-038.local>'
Wed Mar 23 17:28:43 2016 Info: MID 2 Subject 'TEST 2'
Wed Mar 23 17:28:43 2016 Info: MID 2 ready 320 bytes from <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 matched all recipients for per-recipient policy DEFAULT in the outbound table
Wed Mar 23 17:28:43 2016 Info: MID 2 queued for delivery
Wed Mar 23 17:28:43 2016 Info: New SMTP DCID 3 interface 172.18.250.222 address 173.37.93.161 port 25
Wed Mar 23 17:28:43 2016 Info: Delivery start DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: Message done DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: MID 2 RID [0] Response '2.0.0 u2NHSipG018673 Message accepted for delivery'
Wed Mar 23 17:28:44 2016 Info: Message finished MID 2 done
Wed Mar 23 17:28:48 2016 Info: ICID 2 close
Wed Mar 23 17:28:49 2016 Info: DCID 3 close

SMTP通信在172.18.250.222（Beta版设备）上建立。发送流量的源地址是172.18.250.224（生产设备）。

接收通信的发送方组是RELAY，用于中继来自172.18.250.1/24网络的流量。

其余部分是TEST 2消息的通信。

在生产设备上，验证并运行tail mail_logs。  生产中处理的MID将显示：

Wed Mar 23 14:50:10 2016 Info: MID 242 was generated based on MID 241 by bcc filter 'bcc-EFT'

这相当于将收到的电子邮件进行清晰的分解，然后按预定接收方式将邮件密件抄送到Beta设备和测试最终用户。

故障排除

目前没有针对此配置的故障排除信息。

其他信息

为了区分测试最终用户的生产与测试版电子邮件流量，可以考虑使用内容过滤器。

1. 在Beta ESA上的GUI中，导航到邮件策略>传入内容过滤器或邮件策略>传出内容过滤器。
2. 构建基本内容过滤器以执行Add/Edit Header操作。
3. 单击Submit以保存对构建的内容过滤器的更改。
4. Mail Policies > Incoming Mail Policies或Mail Policies > Outgoing Mail Policies，启用并将新的内容过滤器添加到策略名称。
5. 单击Submit以将内容过滤器保存到该策略。
6. 单击Commit以保存对配置的所有更改。

此时，Beta ESA上的内容过滤器如图所示：

现在，在Beta ESA上收到邮件时，经过处理后，您可以在邮件的“主题”(Subject)行中看到此信息，如图所示：

相关信息

• 如何为临时更新配置ESA/SMA

• 技术支持和文档 - Cisco Systems