在思科ESA上创建用于网络钓鱼教育测试的白名单策略

简介

本文档介绍如何在思科邮件安全设备(ESA)或云邮件安全(CES)实例上创建白名单策略，以允许进行网络钓鱼教育测试/活动。 

先决条件 

要求

Cisco 建议您了解以下主题：

• 在WebUI上的Cisco ESA/CES上导航和配置规则。
• 在命令行界面(CLI)上的Cisco ESA/CES上创建邮件过滤器。
• 了解用于网络钓鱼活动/测试的资源。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

执行网络钓鱼教育测试或活动的管理员将生成包含信息的电邮，这些信息将与反垃圾邮件和/或爆发过滤器规则集中的当前Talos规则相匹配。在这种情况下，网络钓鱼活动邮件将无法到达最终用户，并且会由思科ESA/CES自身进行操作，从而导致测试停止。管理员需要确保ESA/CES允许通过这些邮件执行活动/测试。

配置

警告：思科不允许在全球范围内将网络钓鱼模拟和教育供应商列入白名单。我们建议管理员使用网络钓鱼模拟器服务（例如：PhishMe）获取其IP，然后将其本地添加到白名单。思科必须保护我们的ESA/CES客户免受这些IP的侵害，以防他们易手或实际成为威胁。

注意：管理员在测试时应该仅将这些IP保留在白名单中，而将外部IP保留在白名单中较长时间，如果这些IP受到危害，可能会在测试后向最终用户发送未经请求的邮件或恶意邮件。

在思科邮件安全设备(ESA)上，为网络钓鱼模拟创建新的发件人组，并将其分配到$TRUSTED邮件流策略。这将允许向最终用户发送所有网络钓鱼模拟邮件。此新发件人组的成员不受速率限制，Cisco IronPort反垃圾邮件引擎不会扫描来自这些发件人的内容，但仍会扫描防病毒软件。

注意：默认情况下，$TRUSTED邮件流策略已启用防病毒，但已关闭防垃圾邮件。

创建发件人组

1. 单击Mail Policies选项卡。
2. 在主机访问表部分下，选择HAT概述
   
3. 在右侧，确保当前已选择InboundMail侦听程序，
4. 在下面的发件人组列中，点击添加发件人组……
5. 填写Name和Comment字段。  在策略下拉菜单下，选择“$TRUSTED”，然后单击提交并添加发件人>>。
6. 在第一个字段中输入要列入白名单的IP或主机名。  您的网络钓鱼模拟合作伙伴将向您提供发件人IP信息。

  

              

添加完条目后，单击Submit按钮。请记得单击Commit Changes按钮以保存更改。

创建邮件过滤器

创建发件人组以允许绕过反垃圾邮件和防病毒后，需要邮件过滤器来跳过可能匹配网络钓鱼活动/测试的其他安全引擎。

1. 连接到ESA的CLI。
2. 运行命令filters。
3. 运行命令new 创建新的邮件过滤器。
4. 复制并粘贴以下过滤器示例，根据需要编辑实际发件人组名称：

skip_amp_graymail_vof_for_phishing_campaigns:
if(sendergroup == "PHISHING_SIMULATION")
{
skip-ampcheck();
skip-marketingcheck();
skip-socialcheck();
skip-bulkcheck();
skip-vofcheck();
}

5. 返回主CLI提示符并按Enter。
6. 运行commit以保存配置。

验证

使用第三方资源发送网络钓鱼活动/测试并验证邮件跟踪日志上的结果，以确保跳过所有引擎并发送邮件。