反垃圾邮件、防病毒、灰色邮件和爆发过滤器最佳实践指南
目录
概述
组织通过电邮面临的大多数威胁、攻击和骚扰是以垃圾邮件、恶意软件和混合攻击的形式出现的。思科邮件安全设备(ESA)包括多种不同的技术和功能,可在这些威胁进入组织之前在网关将其隔离。本文档将介绍在入站和出站邮件流中配置反垃圾邮件、防病毒、灰色邮件和爆发过滤器的最佳实践方法。
反垃圾邮件
反垃圾邮件保护可应对各种已知威胁,包括垃圾邮件、网络钓鱼和僵尸攻击,以及难以检测的低容量、短期邮件威胁(例如“419”骗局)。此外,反垃圾邮件保护可识别新的和不断演变的混合威胁,例如通过下载URL或可执行文件分发恶意内容的垃圾邮件攻击。
思科电邮安全提供以下反垃圾邮件解决方案:
- IronPort反垃圾邮件过滤(IPAS)
- 思科智能多扫描过滤(IMS)
您可以在ESA上许可和启用这两个解决方案,但只能使用特定邮件策略中的一个解决方案。在本最佳实践文档中,我们将使用IMS功能。
验证功能密钥
- 在ESA上,导航到系统管理 > 功能密钥
- 查找智能多扫描许可证,并确保其处于活动状态。
全局启用智能多扫描(IMS)
- 开启 此 ESA, 导航 到 安全 服务> IMS和灰色邮件
- 点击 此 enable按钮IMS全局设置:
- 查找Common Global Settings和 单击Edit Global Settings
- 此处 您 可以 配置 多个 设置。 此 推荐 设置 是 显示 在 此 图像 以下:
- 单击 Submit和 提交 更改。
如果您没有IMS许可证订用:
- 导航到安全服务> IronPort反垃圾邮件
- 点击 此 enableironPort Anti-Spam概述上的按钮
- 单击Edit Global Settings
- 此处 您 可以 配置 多个 设置。 此 推荐 设置 是 显示 在 此 图像 以下:
- 对于希望强烈阻止垃圾邮件的客户,思科建议选择主动扫描配置文件。
- 单击 Submit和 提交 更改
启用集中垃圾邮件隔离区
由于反垃圾邮件可以选择发送到隔离区,因此确保垃圾邮件隔离区设置非常重要:
- 导航到安全服务 > 垃圾邮件隔离区
- 点击ing 此 配置按钮 能够 获取 您 到 此 折叠尚未 页码.
- 此处 您 可以 enable 此 隔离区 通过 听取 此 enable包装盒 和 第e 隔离区 到 超过突发大小 集中式 在 a安全管理A设备(SMA) 通过填充 在 SMA名称和 IP 地址 . 此 推荐 设置 是 显示 以下:
在策略中配置反垃圾邮件
- 导航到邮件策略> 传入邮件策略
- 默认情况下,传入邮件策略使用IronPort反垃圾邮件设置。
- 单击Anti-Spam下的蓝色链接将允许该特定策略使用自定义的反垃圾邮件设置。
- 下面是一个使用自定义反垃圾邮件设置的默认策略的示例:
通过点击要自定义的策略的Anti-Spam下的蓝色链接,自定义传入邮件策略的反垃圾邮件设置。
此处 您 可以 选择 此 反-Spam 扫描 选项 您 愿望 到 enable 对于 此 策略。
- 对于 此 目的 / 此 最佳 pract冰 文档、 点击 此 无线电 按钮 下一步 到 使用 IronPort智能多扫描:
接下来的两个部分包括确认的垃圾邮件设置和疑似垃圾邮件设置:
- 建议的最佳实践是在主题中添加了预置文本[SPAM]和Propositive-Identified Spam设置上配置隔离操作;
- 将预置文本[SUSPECTED SPAM]添加到主题中的Suspected Spam Settings操作应用于Deliver:
- 垃圾邮件阈值(Spam Threshold)设置可以更改,推荐的设置是将确认的垃圾邮件得分自定义为90,将疑似垃圾邮件得分自定义为43:
- 单击 Submit和 提交 更改
防病毒
防病毒保护通过两个第三方引擎- Sophos和McAfee提供。这些引擎将过滤所有已知的恶意威胁,按配置丢弃、清除或隔离这些威胁。
验证功能密钥
要检查两个功能密钥是否已启用并处于活动状态,请执行以下操作:
- 转至系统管理 > 功能密钥
- 确保Sophos Anti-Virus和McAfee许可证都处于活动状态。
启用防病毒扫描
- 导航 到 安全 服务> 防病毒- Sophos
- 点击 此 enable按钮。
- 确保自动更新处于启用状态,并且Sophos防病毒文件更新正常工作。如有必要,单击Update Now以立即启动文件更新:
- 单击 Submit和 提交 更改。
如果McAfee许可证也处于活动状态,请导航 到 安全 服务> 防病毒- McAfee
- 点击 此 enable按钮。
- 确保自动更新处于启用状态,并且McAfee Anti-Virus文件更新正常工作。如有必要,单击Update Now以立即启动文件更新。
- 单击 Submit和 提交 更改
配置邮件策略中的防病毒
在传入邮件策略中,建议执行以下操作:
- 导航到邮件策略> 传入邮件策略
- 通过单击要自定义的策略的“Anti-Virus”下的蓝色链接,自定义传入邮件策略的Anti-Virus设置。
- 此处 您 可以 选择 此 反- 病毒 扫描 选项 您 愿望 到 enable 对于 此 策略。
- 对于 此 目的 / 此best p反复冰 文档,选择McAfee和Sophos Anti-Virus:
- 我们不会尝试修复文件,因此邮件扫描将保持Scan for Virtures only状态:
- 对于已加密和不可扫描邮件,建议的操作是原样传送,并修改主题行以引起注意。
- 防病毒的建议策略是丢弃所有感染病毒的邮件(如下图所示):
- 单击 Submit和 提交 更改
对于外发邮件策略,建议使用类似的策略,但是,我们不建议修改外发邮件上的主题行。
灰色邮件
邮件安全设备中的灰色邮件管理解决方案包括两个组件:集成的灰色邮件扫描引擎和基于云的取消订阅服务。灰色邮件管理解决方案允许组织使用集成的灰色邮件引擎识别灰色邮件,并应用适当的策略控制,同时为最终用户提供简单的机制来使用取消订阅服务取消订阅不需要的邮件。
灰色邮件类别包括营销邮件、社交网络邮件和批量邮件。高级选项包括添加自定义信头、发送到备用主机和存档邮件。对于此最佳实践,我们将启用默认邮件策略的Graymail的安全取消订阅功能。
验证功能密钥
- 在ESA上,导航到系统管理 > 功能密钥
- 查找Graymail Safe Unsubscription并确保其处于活动状态。
启用灰色邮件和安全取消订阅服务
- 开启 此 ESA, 导航 到 安全 服务> IMS和灰色邮件
- 点击 此 编辑灰色邮件设置按钮“灰色邮件全局设置”
- 选择所有选项- Enable Graymail Detection、Enable Safe Unsubscribe和Enable Automatic Updates:
- 单击 Submit和 提交 更改
在策略中配置灰色邮件和安全取消订阅
- 导航到邮件策略> 传入邮件策略
- 单击Graymail下的蓝色链接将允许该特定策略使用自定义的灰色邮件设置。
- 此处 您 可以 选择 灰色邮件选项 您 愿望 到 enable 对于 此 策略。
- 对于 此 目的 / 此 最佳p反复冰 文档、 点击 此 无线电 按钮 下一步 要为此策略启用灰色邮件检测和为此策略启用灰色邮件取消订阅,请执行以下操作:
接下来的三个部分包括对营销邮件设置执行的操作、对社交网络邮件设置执行的操作和对批量邮件设置执行的操作。
- 建议的最佳做法是启用所有类别,并保持将行动为交付,并在主题中增加有关以下类别的预置文本:
- 单击 Submit和 提交 更改
外发邮件策略应使灰色邮件保持在禁用状态。
爆发过滤器
爆发过滤器将反垃圾邮件引擎中的触发器、URL扫描和检测技术等结合起来,以正确标记真正垃圾邮件类别之外的项目(例如,网络钓鱼邮件和诈骗邮件),并使用用户通知或隔离区适当地处理它们。
验证功能密钥
- 在ESA上,导航到系统管理 > 功能密钥
- 查找爆发过滤器并确保其处于活动状态。
启用爆发过滤器服务
- 开启 此 ESA, 导航 到 安全 服务> 爆发过滤器
- 点击 此 enable爆发过滤器概述上的按钮
- 此处 您 可以 配置 多个 设置。 此 推荐 设置 是 显示 在 此 图像 以下:
- 单击 Submit和 提交 更改。
在策略中配置爆发过滤器
- 导航到邮件策略> 传入邮件策略
- 单击Outbreak Filters下的蓝色链接将允许该特定策略使用自定义的爆发过滤器设置。
- 对于 此 目的 / 此 最佳 pract冰 文档,我们保留爆发过滤器设置默认值:
- 爆发过滤器可以重写URL(如果它们被视为恶意、可疑或网络钓鱼)。选择Enable message modification以检测和重写基于URL的威胁。
- 请确保对所有邮件的URL Rewriting选项均为Enable,如下所示:
- 单击 Submit和 提交 更改
外发邮件策略应使爆发过滤器保持禁用状态。
结论
本文档旨在描述邮件安全设备(ESA)中反垃圾邮件、防病毒、灰色邮件和爆发过滤器的默认或最佳实践配置。 所有这些过滤器在入站和出站邮件策略上均可用,建议在入站和出站邮件策略上均进行配置和过滤-虽然大部分保护用于入站,但过滤出站流可针对中继邮件或内部恶意攻击提供保护。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
09-Jan-2020 |
初始版本 |
反馈