已從發往Microsoft Exchange 2013的郵件中刪除ESA X信頭
簡介
本文檔介紹透過思科郵件安全裝置(ESA)傳送到Microsoft Exchange 2013郵件伺服器的郵件可能不會顯示X報頭和自定義X報頭的原因,以及如何解決此問題。
背景資訊
在ESA上,思科使用並注入與ESA關聯的特定功能的X報頭。這些標頭是用來記錄這些功能的值和輸出。
以下是X標頭的一些範例:
| X標頭 | 功能 | 值範例 |
| X-Ironport-反垃圾郵件-過濾 | 反垃圾郵件 | 正確/錯誤 |
| X-Ironport-Anti-Spam-Result | 反垃圾郵件 | <雜湊結果> |
| X-Ironport-AV | 防毒 | 與AV掃描有關的編碼詳細資訊 |
| X放大器-結果 | 高級惡意軟體 | 清除/惡意/無法掃描 |
| X-Amp-Original-Verdict | 高級惡意軟體 | 檔案未知/判定未知 |
| 已上傳X-Amp-檔案 | 高級惡意軟體 | 正確/錯誤 |
| X-IronPort-Outbreak-Status | 病毒爆發過濾 | $threat_verdict |
| X-IronPort-Outbreak-Description | 病毒爆發過濾 | $threat_description |
從ESA中,需要關注的主X報頭通常是X-Ironport-AV報頭和X-Ironport-Anti-Spam報頭:
X-Ironport-Av: E=Sophos;i="5.11,502,1422939600"; d="scan'208,217";a="54"
X-Ironport-Av: E=Sophos;i="5.11,502,1422921600"; d="scan'208,217";a="408151624"
X-Ironport-Anti-Spam-Result: A0DdCADh5RpV/5RdJa1cgkNDUlwFtDiPCYI0hXcCgUhMAQEBAQE
BeQSEGxlyAQsBAnInBIhCpTCpC4xhh3QFgzONL4l1iziJAyKBRQyCHW+BRH8BAQE
X-Ironport-Anti-Spam-Filtered: true
當垃圾郵件和誤報郵件直接提交給思科進行進一步審查時,使用這些信頭,這些信頭包含用於處理最初呈現給或來自ESA的郵件的功能值。
問題
對於透過ESA處理到Microsoft Exchange 2013的某些電子郵件,不會顯示X標頭。
在Microsoft Exchange中,有一個「標頭防火牆選項,可從入站和出站郵件中刪除特定標頭欄位。」 當從ESA注入的X報頭被刪除並刪除,導致思科服務端出現路由和處理問題時,會看到此情況。
以下是該問題的說明,可在Microsoft TechNet的Header firewall部分找到:
標頭防火牆可防止這些Exchange相關X標頭的欺騙,方法是將其從從不受信任的來源進入Exchange組織的入站郵件中刪除。標頭防火牆會從傳送至Exchange組織外部不受信任之目的地的傳出訊息中移除這些與Exchange相關的X標頭,以防止這些標頭的洩露。報頭防火牆還可防止用於跟蹤郵件路由歷史記錄的標準路由報頭的欺騙。
解決方案
為了解決此問題,思科建議您檢視Microsoft Exchange 2013環境的選項和配置,以確保未啟用報頭防火牆選項。
此外,請驗證是否正確輸入了報頭資訊。透過ESA和Microsoft Exchange環境處理的郵件應正確寫入每封郵件的原始標頭。根據終端使用者使用的電子郵件應用程式,可以使用各種方法來檢視這些報頭。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
03-Apr-2015 |
初始版本 |
意見