如何傳送示例郵件以確保防病毒引擎在思科郵件安全裝置(ESA)上進行掃描

下載選項

  • PDF     (403.9 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (143.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (103.9 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2017 年 9 月 13 日
文件 ID:118175

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹如何傳送示例郵件以確保Sophos防病毒或McAfee防病毒引擎在思科郵件安全裝置(ESA)上掃描。

    如何傳送示例郵件以確保防病毒引擎在思科郵件安全裝置(ESA)上進行掃描

    透過透過ESA傳送包含測試病毒負載的郵件示例,我們可以觸發Sophos或McAfee防病毒引擎。  執行本文檔中列出的步驟之前,您需要設定傳入或傳出郵件策略,並將郵件策略配置為防病毒丟棄或隔離感染病毒的郵件。  本檔案使用EICAR (www.eicar.org)提供的ASCII碼,會模擬測試病毒作為附件:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    :根據EICAR:此測試檔案已作為「EICAR標準防病毒測試檔案」提供給EICAR進行分發,並且滿足上面列出的所有條件。可以安全傳遞,因為它不是病毒,不包含任何病毒代碼片段。大多數產品對它的反應就像是一種病毒(儘管它們通常以明顯的名稱報告,例如「EICAR-AV-Test」)。

    建立TXT檔案

    使用上面的ASCII字串,建立.txt檔案,並將字串作為檔案的主體寫入。  您可以將此檔案作為示例郵件中的附件傳送。

    傳送示例消息

    根據您的工作方式,您可以透過ESA以各種方式傳送示例消息。  兩種範例方法是使用mail透過UNIX CLI或從Outlook (或其他電子郵件應用程式)進行。

    UNIX CLI

    joe@unix.local:~$ echo "TEST MESSAGE w/ ATTACHMENT" | mail -s "A/V test example" -A av.txt bob@av.esa

    需要正確設定您的UNIX環境,才能通過ESA傳送或轉發郵件。

    Outlook

    使用Outlook (或其他電子郵件應用程式)時,傳送ASCII碼有兩種選擇:1)使用建立的.txt檔案;2)直接將ASCII字串貼到郵件訊息內文。

    使用.txt檔案作為附件:

    118175-technote-esa-00-00.png

    在郵件正文中使用ASCII字串:

    118175-technote-esa-00-01.png

    需要正確設定Outlook(或其他電子郵件應用程式)才能通過ESA傳送或轉發郵件。

    驗證

    在ESA CLI上,請在傳送示例消息之前使用tail mail_logs命令。  在檢視郵件日誌時,您會看到McAfee掃描並捕獲的郵件為「病毒」:

    Wed Sep 13 11:42:38 2017 Info: New SMTP ICID 306 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
    Wed Sep 13 11:42:38 2017 Info: ICID 306 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
    Wed Sep 13 11:42:38 2017 Info: Start MID 405 ICID 306
    Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 From: <joe@example.com>
    Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 RID 0 To: <bob@av.esa>
    Wed Sep 13 11:42:38 2017 Info: MID 405 Message-ID '<20170913153801.0EDA1A0121@example.com>'
    Wed Sep 13 11:42:38 2017 Info: MID 405 Subject 'A/V test attachment'
    Wed Sep 13 11:42:38 2017 Info: MID 405 ready 1057 bytes from <joe@example.com>
    Wed Sep 13 11:42:38 2017 Info: MID 405 attachment 'av.txt'
    Wed Sep 13 11:42:38 2017 Info: ICID 306 close
    Wed Sep 13 11:42:38 2017 Info: MID 405 matched all recipients for per-recipient policy my_av in the inbound table
    Wed Sep 13 11:42:38 2017 Info: MID 405 interim AV verdict using McAfee VIRAL
    Wed Sep 13 11:42:38 2017 Info: MID 405 antivirus positive 'EICAR test file'
    Wed Sep 13 11:42:38 2017 Info: MID 405 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
    Wed Sep 13 11:42:38 2017 Info: MID 405 queued for delivery
    Wed Sep 13 11:42:38 2017 Info: New SMTP DCID 239 interface 10.1.2.84 address 10.1.2.87 port 7025
    Wed Sep 13 11:42:38 2017 Info: DCID 239 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
    Wed Sep 13 11:42:38 2017 Info: Delivery start DCID 239 MID 405 to RID [0] to Centralized Policy Quarantine
    Wed Sep 13 11:42:38 2017 Info: Message done DCID 239 MID 405 to RID [0] (centralized policy quarantine)
    Wed Sep 13 11:42:38 2017 Info: MID 405 RID [0] Response 'ok:  Message 49 accepted'
    Wed Sep 13 11:42:38 2017 Info: Message finished MID 405 done
    Wed Sep 13 11:42:43 2017 Info: DCID 239 close

    透過Sophos傳送和掃描的同一郵件:

    Wed Sep 13 11:44:24 2017 Info: New SMTP ICID 307 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
    Wed Sep 13 11:44:24 2017 Info: ICID 307 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
    Wed Sep 13 11:44:24 2017 Info: Start MID 406 ICID 307
    Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 From: <joe@example.com>
    Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 RID 0 To: <bob@av.esa>
    Wed Sep 13 11:44:24 2017 Info: MID 406 Message-ID '<20170913153946.E20C7A0121@example.com>'
    Wed Sep 13 11:44:24 2017 Info: MID 406 Subject 'A/V test attachment'
    Wed Sep 13 11:44:24 2017 Info: MID 406 ready 1057 bytes from <joe@example.com>
    Wed Sep 13 11:44:24 2017 Info: MID 406 attachment 'av.txt'
    Wed Sep 13 11:44:24 2017 Info: ICID 307 close
    Wed Sep 13 11:44:24 2017 Info: MID 406 matched all recipients for per-recipient policy my_av in the inbound table
    Wed Sep 13 11:44:24 2017 Info: MID 406 interim AV verdict using Sophos VIRAL
    Wed Sep 13 11:44:24 2017 Info: MID 406 antivirus positive 'EICAR-AV-Test'
    Wed Sep 13 11:44:24 2017 Info: MID 406 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
    Wed Sep 13 11:44:24 2017 Info: MID 406 queued for delivery
    Wed Sep 13 11:44:24 2017 Info: New SMTP DCID 240 interface 10.1.2.84 address 10.1.2.87 port 7025
    Wed Sep 13 11:44:24 2017 Info: DCID 240 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
    Wed Sep 13 11:44:24 2017 Info: Delivery start DCID 240 MID 406 to RID [0] to Centralized Policy Quarantine
    Wed Sep 13 11:44:24 2017 Info: Message done DCID 240 MID 406 to RID [0] (centralized policy quarantine)
    Wed Sep 13 11:44:24 2017 Info: MID 406 RID [0] Response 'ok:  Message 50 accepted'
    Wed Sep 13 11:44:24 2017 Info: Message finished MID 406 done
    Wed Sep 13 11:44:29 2017 Info: DCID 240 close

    在本實驗中,ESA將「受病毒感染的郵件」配置為在特定郵件策略上隔離「應用到郵件的操作」。  ESA上的操作可能有所不同,具體取決於郵件策略中防病毒處理受病毒感染的郵件所採取的操作。

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    1.0
    07-Aug-2014
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Stephan Fiebrandt
      Cisco TAC Engineer
    • Sandeep Minhas
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品