配置Beta ESA以接受生產ESA流量

簡介

本文檔介紹如何配置測試版思科郵件安全裝置(ESA)以透過郵件過濾器接受生產ESA流量。

必要條件

需求

本文件沒有特定需求。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定Beta版裝置

Beta ESA監聽器組態

初始監聽器配置將在Beta ESA上完成。

1. 在GUI中，導航至網路>監聽程式。
2. 按一下增加監聽程式……
3. 命名並設定在TCP連線埠25上執行的公用監聽器。
4. 按一下Submit，將更改儲存到公共偵聽程式。
5. 重複相同的步驟，然後新增第二個監聽器。
6. 命名並設定在TCP連線埠26上執行的私人監聽器。（此監聽器用於輸出郵件。） 如果為您的環境提供並配置了一個附加介面，則可以使用埠25。CES Hosted Beta環境保留埠587用於出站。
7. 提交以將變更儲存至監聽器。
8. 提交以儲存對配置所做的所有更改。

Beta ESA的發件人組

對於中繼流量或出站消息，請為Beta ESA增加適當的IP地址，以接受和中繼來自生產ESA的消息。

1. 在GUI中，導航到Mail Policies > HAT Overview。
2. 選擇正確命名的中繼發件人組。（通常命名為RELAY或RELAYLIST。）
3. 點選增加發件人……
4. 對於傳送方，使用生產ESA的IP地址。
5. 視需要輸入任何管理註解。
6. Submit以儲存對Relay Sender Group的更改。
7. 提交以儲存對配置所做的所有更改。

適用於Beta ESA的簡易郵件傳輸通訊協定(SMTP)路由

需要在Beta ESA上進行的SMTP路由更改如下：

1. 在GUI中，導航到網路> SMTP路由。
2. 如果有當前SMTP路由，您可能需要先選擇這些路由並刪除才能繼續。（請務必檢閱《測試版實驗室安裝指南》。）
3. 按一下「新增路由...」
4. 將接收域設定為cisco.com，將目標設定為USEDNS。
5. 按一下Submit。
6. 重複相同的步驟，並增加第二個SMTP路由。
7. 將ironport.com的接收域和目的地設定為USEDNS。
8. 按一下Submit。
9. 最後，從接收域中選擇所有其他域。
10. 將「Destination」設定為/dev/null。（這可以防止從測試版裝置為未配置的任何域路由郵件。）
11. 按一下Submit。
12. 提交以儲存對配置所做的所有更改。

此時，Beta裝置上的SMTP路由如下圖所示：

注意：根據需要增加適當的路由以向測試終端使用者提供域電子郵件。

適用於Beta ESA的傳入中繼

傳入中繼配置允許測試版檢索SBRS分數超過生產ESA的分數。

大多數配置都使用一跳。

1. GUI，導航至Network Incoming Relay。
2. 按一下「啟用」，將色彩變成白色。
3. 點選Add Relay。
4. 「名稱」選擇一個名稱。
5. 交付給Beta ESA的生產ESA的「IP地址」值。如果多個主機正在傳遞，則可以接受部分主機名。
6. 「跳：」1
7. 提交和提交更改

傳入中繼：停用狀態。

傳入中繼：啟用狀態，彩色白色。

傳入中繼：範例範本

傳入中繼：提交後的摘要檢視。

郵件日誌條目示例：

2019年4月8日星期一12:48:28資訊：MID 2422822 IncomingRelay(PROD_hc2881-52)：發現報頭，使用IP 54.240.35.22，SBRS 3.5國家/地區美國

啟用日誌報頭以在郵件日誌中捕獲垃圾郵件判定

• Webui > System Administration > Log Subscriptions > Global Settings （底部） > Headers >(add)   X-IronPort-反垃圾郵件-結果

將垃圾郵件標頭記錄到郵件日誌

BETA端配置結束。

配置生產裝置

注意：您即將對生產ESA進行更改。確保備份當前配置。

1. 在GUI中，導航至系統管理>配置檔案。
2. 在「目前組態」段落中，選取其中一個選項，將目前組態備份為檔案： 
   • 將檔案下載到本地電腦以檢視或儲存。
   • 透過電子郵件將檔案傳送到： <your_email_address@domain.com>
3. 按一下Submit。

生產ESA的SMTP路由

必須增加SMTP路由，才能允許從生產ESA到Beta ESA的所有入站和出站電子郵件都使用BCC。本例使用inbound.beta.com和outbound.beta.com。

1. 在GUI中，導航到網路> SMTP路由。
2. 按一下「新增路由...」
3. 將接收域設定為inbound.beta.com，將目標設定為之前建立的Beta裝置公共偵聽程式的IP地址，埠設定為25。
4. 按一下Submit以儲存對此新SMTP路由的更改。
5. 重複相同的步驟，Add Route...
6. 將接收域設定為outbound.beta.com，將目標主機設定為之前建立的Beta裝置專用偵聽程式的IP地址，將埠設定為26。
7. 提交以儲存對此新SMTP路由的更改。
8. 提交以儲存對配置所做的所有更改。

此時，生產ESA上的SMTP路由如下圖所示：

退回設定檔建立

退回配置檔案和目標控制配置檔案組合可保護生產郵件流，避免與延遲或無法將郵件傳送至Beta版主機相關的複雜情況。此配置僅適用於Beta版消息。

1. 在GUI中，依次導航至Network > Bounce Profiles > Add Bounce Profile。
2. 最大重試次數：15
3. 佇列中的最長時間：130
4. 每封郵件的初始等待時間：60
5. 每封郵件等待的最長時間：60
6. 傳送硬退回郵件：否
7. 傳送延遲警告訊息：否
8. 對退回和延遲郵件使用域金鑰簽名：否
9. 提交以儲存對此新退回配置檔案的更改。
10. 承諾儲存對配置所做的所有更改。 

退回配置檔案建立

注意：上述編號值的設定方式非常積極，可防止在Beta主機發生傳遞中斷時進行「傳遞佇列備份」。這些值可修改為偏好。通知設定有意設定為NO，以防止從BCC過濾器傳送任何使用者通知。 

目的地控制項設定檔建立

1. 在GUI中，導航至「郵件策略」(Mail Policies) >「目標控制」(Destination Controls) >「增加目標」(Add Destination)。
2. 目的地： inbound.beta.com
3. 退回驗證：>執行地址標籤：否>或預設（否）
4. 退回配置檔案：BETA_BOUNCE
5. 其他值可根據管理員的偏好設定。
6. 提交以儲存對此新目標控制配置檔案的更改。
7. 使用目標：outbound.beta.com重複步驟2 ― 6
8. 提交以儲存對此新目標控制配置檔案的更改。
9. 提交以儲存對配置所做的所有更改。

增加目標控制配置檔案。新目的地控制設定檔的摘要檢視。

用於生產ESA的消息過濾器結構

從生產ESA的CLI構建一個郵件過濾器，該過濾器可以將郵件密件傳送到測試版ESA上的相應偵聽程式。

1. 導航到過濾器>新建。
2. 複製並貼上此郵件過濾器示例，並在適當位置進行更改：

   bcc-EFT: if sendergroup == "RELAY" {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "outbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
    } else {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "inbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
   }
   .

3. 返回，直到返回到主CLI提示符。
4. 提交以儲存對配置所做的所有更改。

注意：根據sendergroup、recv-listener、mail-from或其他可用的規則和語法限制在消息過濾器中複製的流量。請參閱《ESA使用手冊》瞭解完整的消息過濾器規則和過濾器規則摘要。

退回設定檔建立

目的地控制項設定檔建立

驗證

使用本節內容，確認您的組態是否正常運作。

目前，Beta裝置接受來自生產裝置的郵件流量。要從Beta裝置上的CLI進行驗證，請運行tail mail_logs：

Wed Mar 23 17:28:43 2016 Info: New SMTP ICID 2 interface Management (172.18.250.222) address 172.18.250.224 reverse dns host dhcp-172-18-250-224.cisco.com verified yes
Wed Mar 23 17:28:43 2016 Info: ICID 2 RELAY SG RELAY match 172.18.250.1/24 SBRS not enabled
Wed Mar 23 17:28:43 2016 Info: Start MID 2 ICID 2
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 From: <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 RID 0 To: <robsherw@ironport.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 Message-ID '<a033ed$2@9.9.5-038.local>'
Wed Mar 23 17:28:43 2016 Info: MID 2 Subject 'TEST 2'
Wed Mar 23 17:28:43 2016 Info: MID 2 ready 320 bytes from <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 matched all recipients for per-recipient policy DEFAULT in the outbound table
Wed Mar 23 17:28:43 2016 Info: MID 2 queued for delivery
Wed Mar 23 17:28:43 2016 Info: New SMTP DCID 3 interface 172.18.250.222 address 173.37.93.161 port 25
Wed Mar 23 17:28:43 2016 Info: Delivery start DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: Message done DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: MID 2 RID [0] Response '2.0.0 u2NHSipG018673 Message accepted for delivery'
Wed Mar 23 17:28:44 2016 Info: Message finished MID 2 done
Wed Mar 23 17:28:48 2016 Info: ICID 2 close
Wed Mar 23 17:28:49 2016 Info: DCID 3 close

SMTP通訊建立在172.18.250.222（Beta裝置）上。傳送流量的源地址是172.18.250.224（生產裝置）。

接收通訊的傳送方組是RELAY，它中繼來自172.18.250.1/24網路的流量。

其餘部分是TEST 2消息的通訊。

在生產裝置上，驗證並運行tail mail_logs。  在生產上處理的MID將顯示：

Wed Mar 23 14:50:10 2016 Info: MID 242 was generated based on MID 241 by bcc filter 'bcc-EFT'

這將會是接收電子郵件訊息，並將電子郵件訊息密件傳送至Beta裝置，並測試使用者是否收到該訊息。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

其他資訊

可考慮使用內容過濾器，以幫助區分測試終端使用者的生產流量和測試版郵件流量。

1. 在Beta ESA的GUI中，導航到郵件策略>傳入內容過濾器或郵件策略>傳出內容過濾器。
2. 構建基本內容過濾器以執行「增加/編輯標頭」操作。
3. 按一下Submit，以便儲存對構建的內容過濾器所做的更改。
4. Mail Policies > Incoming Mail Policies或Mail Policies > Outgoing Mail Policies，啟用新內容過濾器並將其增加到策略名稱中。
5. 按一下Submit，將內容過濾器儲存到該策略。
6. 按一下Commit以儲存對配置的所有更改。

此時，Beta ESA上的內容過濾器如下圖所示：

現在，在Beta ESA上收到電子郵件時，您可在處理後的郵件主題行中看到此消息，如圖所示：

相關資訊

• 如何配置ESA/SMA以暫存更新

• 技術支援與文件 - Cisco Systems