反垃圾郵件、防病毒、灰色郵件和爆發過濾器最佳實踐指南
目錄
概觀
組織透過郵件面臨的大多數威脅、攻擊和騷擾都以垃圾郵件、惡意軟體和混合攻擊的形式出現。思科的郵件安全裝置(ESA)包括多種不同的技術和功能,可在這些威脅進入組織之前在網關將其切斷。本文檔將介紹在入站和出站郵件流上配置反垃圾郵件、防病毒、灰色郵件和爆發過濾器的最佳實踐方法。
反垃圾郵件
反垃圾郵件保護可應對各種已知威脅,包括垃圾郵件、網路釣魚和殭屍攻擊,以及難以檢測的低容量、短期郵件威脅(例如「419」詐騙)。此外,反垃圾郵件保護可辨識新的和不斷發展的混合威脅,例如透過下載URL或執行檔傳播惡意內容的垃圾郵件攻擊。
思科電子郵件安全提供以下反垃圾郵件解決方案:
- IronPort反垃圾郵件過濾(IPAS)
- 思科智慧型多掃描過濾(IMS)
您可以在ESA上同時授權和啟用這兩個解決方案,但只能使用特定郵件策略中的一個解決方案。為編寫本最佳實踐文檔,我們將使用IMS功能。
驗證功能金鑰
- 在ESA上,導航到系統管理 > 功能金鑰
- 查詢智慧多掃描許可證,並確保其處於活動狀態。
全局啟用智慧多掃描(IMS)
- 於 其 ESA, 導覽 成長至 安全性 服務> IMS和灰色郵件
- 按一下 其 啟用ims全局設定上的按鈕:
- 查詢通用全局設定和 點選編輯全局設定
- 此處 您 可以 設定 多個 設定。 其 建議 設定 是 顯示 在 其 影像 以下:
- 點選提交和 提交您的 變更。
如果您沒有IMS許可證訂用:
- 導航到安全服務> IronPort反垃圾郵件
- 按一下 其 啟用IronPort Anti-Spam概述上的按鈕
- 點選編輯全局設定
- 此處 您 可以 設定 多個 設定。 其 建議 設定 是 顯示 在 其 影像 以下:
- 對於希望強烈強調阻止垃圾郵件的客戶,思科建議選擇主動掃描配置檔案。
- 點選提交和 提交您的 變更
啟用集中垃圾郵件隔離區
由於反垃圾郵件可以選擇傳送到隔離區,因此確保垃圾郵件隔離區設定非常重要:
- 導航到安全服務 > 垃圾郵件隔離區
- 按一下ing 其 設定按鈕 將 取得 您 成長至 其 資料夾欠款 頁面。
- 此處 您 可以 啟用 其 隔離 作者 檢查 其 啟用方塊 和 點the 隔離 成長至 是 集中式 於 a安全性管理A裝置(SMA) 作者填滿 在 SMA名稱和 IP 地址。 其 建議 設定 是 顯示 以下:
在策略中配置反垃圾郵件
- 導航到Mail Policies > Incoming Mail Policies
- 預設情況下,傳入郵件策略使用IronPort反垃圾郵件設定。
- 按一下Anti-Spam下面的藍色連結將使該特定策略使用自定義的反垃圾郵件設定。
- 以下是一個使用自定義反垃圾郵件設定的預設策略的示例:
透過按一下要自定義的策略的Anti-Spam下的藍色連結,自定義傳入郵件策略的Anti-Spam設定。
此處 您 可以 選取 其 反向-Spam 掃描 選項 您 願望 成長至 啟用 用於 此 政策。
- 針對 其 目的 的 此 最佳 實際冰 檔案, 按一下 其 無線電 按鈕 下一頁 成長至 使用 IronPort智慧多掃描:
接下來的兩節包括確定的垃圾郵件設定和可疑垃圾郵件設定:
- 建議的最佳實踐是使用增加到主題和中的預置文本[SPAM]配置已明確標識的垃圾郵件設定的隔離操作;
- 將預置文本[可疑垃圾郵件]增加到主題中並作為可疑垃圾郵件設定的操作,應用到Deliver:
- 可以更改垃圾郵件閾值設定,推薦的設定是將確定的垃圾郵件分數自定義為90,將可疑垃圾郵件分數自定義為43:
- 點選提交和 提交您的 變更
防毒
防病毒保護透過兩個第三方引擎- Sophos和McAfee提供。這些引擎將過濾所有已知的惡意威脅,按照配置進行丟棄、清除或隔離。
驗證功能金鑰
要檢查兩個功能鍵是否已啟用並處於活動狀態:
- 轉至系統管理 > 功能金鑰
- 確保Sophos Anti-Virus和McAfee許可證都處於活動狀態。
啟用防病毒掃描
- 導覽 成長至 安全性 服務> 防病毒- Sophos
- 按一下 其 啟用按鈕。
- 確保自動更新處於啟用狀態,並且Sophos防病毒檔案更新工作正常。如有必要,按一下Update Now以立即啟動檔案更新:
- 點選提交和 提交您的 變更。
如果McAfee許可證也處於活動狀態,請導航 成長至 安全性 服務> 防病毒- McAfee
- 按一下 其 啟用按鈕。
- 確保自動更新處於啟用狀態,並且McAfee Anti-Virus檔案更新正常工作。如有必要,按一下Update Now以立即啟動檔案更新。
- 點選提交和 提交您的 變更
在郵件策略中配置防病毒
對於傳入郵件策略,建議執行以下操作:
- 導航到Mail Policies > Incoming Mail Policies
- 透過按一下要自定義的策略的「Anti-Virus」下的藍色連結,自定義傳入郵件策略的Anti-Virus設定。
- 此處 您 可以 選取 其 反向- 病毒 掃描 選項 您 願望 成長至 啟用 用於 此 政策。
- 針對 其 目的 的 此b東部標準時間反應冰 文檔,選擇McAfee和Sophos Anti-Virus:
- 我們不會嘗試修復檔案,因此郵件掃描將保持Scan for Virus only狀態:
- 對於已加密和無法掃描的郵件,建議的操作是使用修改後的主題行按原樣傳送,以引起其注意。
- 防病毒的建議策略是丟棄所有感染病毒的郵件(如下圖所示):
- 點選提交和 提交您的 變更
對於外發郵件策略,建議使用類似的策略,但是,我們不建議修改外發郵件上的主題行。
灰色郵件
郵件安全裝置中的灰色郵件管理解決方案包括兩個元件:整合的灰色郵件掃描引擎和基於雲的取消訂閱服務。灰色郵件管理解決方案允許組織使用整合的灰色郵件引擎來辨識灰色郵件,並應用適當的策略控制,並為終端使用者提供一種簡單的機制,以使用「取消訂閱服務」取消訂閱不需要的郵件。
灰色郵件類別包括行銷電子郵件、社群網路電子郵件與大量電子郵件。高級選項包括增加自定義報頭、傳送到備用主機和存檔郵件。對於此最佳實踐,我們將啟用預設郵件策略的Graymail的安全取消訂閱功能。
驗證功能金鑰
- 在ESA上,導航到系統管理 > 功能金鑰
- 查詢Graymail Safe Unsubscription並確保其處於活動狀態。
啟用灰色郵件和安全取消訂閱服務
- 於 其 ESA, 導覽 成長至 安全性 服務> IMS和灰色郵件
- 按一下 其 編輯灰色郵件設定灰色郵件全局設定上的按鈕
- 選擇所有選項- Enable Graymail Detection、Enable Safe Unsubscribe 和Enable Automatic Updates:
- 點選提交和 提交您的 變更
在策略中配置灰色郵件和安全取消訂閱
- 導航到Mail Policies > Incoming Mail Policies
- 按一下Graymail下面的藍色連結將允許該特定策略使用自定義的灰色郵件設定。
- 此處 您 可以 選取 灰郵件選項 您 願望 成長至 啟用 用於 此 政策。
- 針對 其 目的 的 此 最佳p反應冰 檔案, 按一下 其 無線電 按鈕 下一頁 要啟用此策略的灰色郵件檢測和啟用此策略的灰色郵件取消訂閱,請執行下列操作:
接下來的三個部分包括市場行銷電子郵件設定操作、社群網路電子郵件設定操作和批次電子郵件設定操作。
- 建議的最佳實踐是啟用所有類別,並保持如下所示的操作為交付,並在主題中增加預置文本:
- 點選提交和 提交您的 變更
傳出郵件策略應使Graymail保持在停用狀態。
爆發過濾器
爆發過濾器將反垃圾郵件引擎中的觸發器、URL掃描和檢測技術等結合起來,以正確標籤真正垃圾郵件類別之外的專案(例如,網路釣魚郵件和詐騙電子郵件),並使用使用者通知或隔離區適在地處理它們。
驗證功能金鑰
- 在ESA上,導航到系統管理 > 功能金鑰
- 查詢爆發過濾器並確保其處於活動狀態。
啟用爆發過濾器服務
- 於 其 ESA, 導覽 成長至 安全性 服務> 爆發過濾器
- 按一下 其 啟用爆發過濾器概述上的按鈕
- 此處 您 可以 設定 多個 設定。 其 建議 設定 是 顯示 在 其 影像 以下:
- 點選提交和 提交您的 變更。
在策略中配置爆發過濾器
- 導航到Mail Policies > Incoming Mail Policies
- 按一下Outbreak Filters下的藍色連結將允許該特定策略使用自定義的爆發過濾器設定。
- 針對 其 目的 的 此 最佳 實際冰 文檔,我們使用預設值保留爆發過濾器設定:
- 爆發過濾器可以重寫URL(如果它們被視為惡意、可疑或網路釣魚郵件)。選擇Enable message modification以檢測和重寫基於URL的威脅。
- 請確保如下所示的所有消息的URL Rewriting選項均為Enable:
- 點選提交和 提交您的 變更
傳出郵件策略應使爆發過濾器保持在停用狀態。
結論
本文檔旨在介紹郵件安全裝置(ESA)中反垃圾郵件、防病毒、灰色郵件和爆發過濾器的預設或最佳實踐配置。 所有這些過濾器都可用於入站和出站郵件策略,並且建議在兩者上進行配置和過濾-雖然大部分保護用於入站,但過濾出站流量可提供針對中繼郵件或內部惡意攻擊的保護。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
09-Jan-2020 |
初始版本 |
意見