In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt eine detaillierte Analyse der Gold-Konfiguration für Cisco Secure Email Cloud Gateway.
Cisco empfiehlt, dass Sie folgende Themen kennen:
Die Informationen in diesem Dokument stammen aus der Gold-Konfiguration und Empfehlungen zu Best Practices für Cisco Secure E-Mail Cloud-Kunden und -Administratoren.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Dieses Dokument gilt auch für:
Quarantänen werden auf dem Email und Web Manager für Cisco Secure Email Cloud-Kunden konfiguriert und verwaltet. Melden Sie sich bei Ihrem E-Mail- und Web-Manager an, um die Quarantänen anzuzeigen:
Warnung: Alle Änderungen an Konfigurationen, die auf den in diesem Dokument beschriebenen Best Practices basieren, müssen überprüft und verstanden werden, bevor Sie Ihre Konfigurationsänderungen in Ihrer Produktionsumgebung bestätigen. Wenden Sie sich vor Konfigurationsänderungen an Ihren Cisco CX-Techniker, Ihren Designated Service Manager (DSM) oder Ihr Kundenteam.
Die Gold-Konfiguration für Cisco Secure Email Cloud-Kunden ist die Best Practice und Zero-Day-Konfiguration für das Cloud Gateway und Cisco Secure Email und Web Manager. Cisco Secure Email Für Cloud-Bereitstellungen werden sowohl Cloud Gateway(s) als auch mindestens ein (1) E-Mail- und Web-Manager verwendet. Im Rahmen der Konfiguration und der Best Practices können Administratoren Quarantänen auf dem E-Mail- und Web-Manager für ein zentrales Management verwenden.
Mail-Policys > Recipient Access Table (RAT)
Die Recipient Access Table legt fest, welche Empfänger von einem öffentlichen Listener akzeptiert werden. Die Tabelle enthält mindestens die Adresse und gibt an, ob sie angenommen oder abgelehnt werden soll. Überprüfen Sie die RAT, um Ihre Domänen nach Bedarf hinzuzufügen und zu verwalten.
Netzwerk > SMTP-Routen
Wenn das SMTP-Routenziel Microsoft 365 ist, finden Sie weitere Informationen unter Office365 Throttling CES New Instance with "4.7.500 Server busy. Versuchen Sie es später erneut."
Die aufgeführten Services sind für alle Cisco Secure Email Cloud-Kunden mit den angegebenen Werten konfiguriert:
IronPort Anti-Spam (IPAS)
URL-Filterung
Graymail-Erkennung
Outbreak-Filter
Advanced Malware Protection > Dateireputation und -analyse
Nachrichtenverfolgung
Benutzer (Systemverwaltung > Benutzer)
Protokoll-Subscriptions (Systemverwaltung > Protokoll-Subscriptions)
Zusätzliche Services, die geprüft und berücksichtigt werden sollten:
Systemverwaltung > LDAP
URL-Schutz
SPF
exists:%{i}.spf.<allocation>.iphmx.com
Hinweis: Stellen Sie sicher, dass der SPF-Datensatz entweder mit ~all oder mit -all endet. Validieren Sie die SPF-Datensätze für Ihre Domänen vor und nach Änderungen!
Weitere SPF-Beispiele
v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all
v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all
v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all
Anti-Spoof-Filter
Header-Filter hinzufügen
addHeaders: if (sendergroup != "RELAYLIST")
{
insert-header("X-IronPort-RemoteIP", "$RemoteIP");
insert-header("X-IronPort-MID", "$MID");
insert-header("X-IronPort-Reputation", "$Reputation");
insert-header("X-IronPort-Listener", "$RecvListener");
insert-header("X-IronPort-SenderGroup", "$Group");
insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}
HAT-Übersicht > Zusätzliche Absendergruppen
In der vordefinierten Absendergruppe SUSPECTLIST
Aggressive HAT-Beispiel
Hinweis: Die HAT-Beispiele zeigen zusätzlich konfigurierte Mail Flow Policies (MFP). Vollständige Informationen zu MFP finden Sie unter "Understanding the Email Pipeline > Incoming/Receiving" (Die E-Mail-Pipeline verstehen > Eingehend/Empfangen) im Benutzerhandbuch für die entsprechende Version von AsyncOS für das von Ihnen bereitgestellte Cisco Secure Email Gateway.
HAT-Beispiel:
Standardrichtlinienparameter
Sicherheitseinstellungen
Hinweis: DMARC erfordert zusätzliche Feineinstellung für die Konfiguration. Weitere Informationen zu DMARC finden Sie unter "E-Mail-Authentifizierung > DMARC-Verifizierung" im Benutzerhandbuch für die entsprechende Version von AsyncOS für das von Ihnen bereitgestellte Cisco Secure Email Gateway.
Die Standardrichtlinie wird ähnlich wie folgt konfiguriert:
Anti-Spam
Anti-Virus
AMP
Graymail
Content-Filter
Outbreak-Filter
Richtliniennamen (abgebildet)
Die BLOCKLIST-Mail-Richtlinie ist so konfiguriert, dass alle Dienste außer Advanced Malware Protection deaktiviert sind. Sie enthält Links zu Content-Filtern mit der Aktion QUARANTINE.
Für die E-Mail-Richtlinie ALLOWLIST wurde Antispam, Graymail deaktiviert und die Inhaltsfilter für URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, EXECUTIVE SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_RATE aktiviert. oder Content-Filter Ihrer Wahl und Konfiguration.
Für die E-Mail-Richtlinie ALLOW_SPOOF sind alle Standarddienste aktiviert. Content-Filter sind für URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, SDR oder Content-Filter Ihrer Wahl und Konfiguration aktiviert.
Die Standardrichtlinie wird ähnlich wie folgt konfiguriert:
Anti-Spam
Anti-Virus
Advanced Malware Protection
Graymail
Content-Filter
Outbreak-Filter
SvD
Hinweis: Weitere Informationen zu Inhaltsfiltern finden Sie unter "Inhaltsfilter" im Benutzerhandbuch für die jeweilige Version von AsyncOS für das von Ihnen bereitgestellte Cisco Secure Email Gateway.
URL_QUARANTÄNE_SCHÄDLICH
Bedingung: URL-Reputation; url-reputation(-10.00, -6.00 , "bypass_urls", 1, 1)
Aktion: Quarantäne: quarantine("URL_MALICIOUS")
URL_UMSCHREIBEN_VERDÄCHTIG
Bedingung: URL-Reputation; url-reputation(-5.90, -5.60 , "bypass_urls", 0, 1)
Aktion: URL-Reputation; url-reputation-proxy-redirect(-5.90, -5.60,"",0)
URL_UNANGEMESSEN
Bedingung: URL-Kategorie; URL-Kategorie (['Erwachsene', 'Kindesmissbrauch', 'Extreme', 'Hate Speech', 'Illegale Aktivitäten', 'Illegale Downloads', 'Illegale Drogen', 'Pornografie', 'Filtervermeidung'], "bypass_urls", 1, 1)
Aktion: Quarantine; double-quarantine("INAPPROPRIATE_CONTENT")
DKIM_FEHLER
Bedingung: DKIM-Authentifizierung; dkim-Authentifizierung == hardfail
Aktion: Quarantine; double-quarantine("DKIM_FAIL")
SPF_HARDFAIL
Bedingung: SPF-Verifizierung; spf-status == fehlgeschlagen
Aktion: Quarantine; double-quarantine("SPF_HARDFAIL")
EXECUTIVE_SPOOF
Zustand: Erkennung gefälschter E-Mails; Erkennung gefälschter E-Mails("Executive_FED", 90, "")
Bedingung: Anderer Header; Header("X-IronPort-SenderGroup") != "(?i)allowspoof"
* Apply-Regel festlegen: Nur wenn alle Bedingungen übereinstimmen
Aktion: Header hinzufügen/bearbeiten; edit-header-text("Subject", "(.*)", "[EXTERNAL]\\1")
Aktion: Quarantäne; double-quarantine("FORGED_EMAIL")
DOMÄNE_SPOOF
Bedingung: Anderer Header; Header("X-Spoof")
Aktion: Quarantine; double-quarantine("ANTI_SPOOF")
SZR
Bedingung: Domänenreputation; SDR-Reputation (['furchtbar'], "")
Bedingung: Domain Reputation; SDR-Alter ("Tage", <, 5, "")
* Regel anwenden: Wenn eine oder mehrere Bedingungen zutreffen
Aktion: Quarantine; double-quarantine("SDR_DATA")
TG_RATE_LIMIT
Bedingung: Anderer Header; Header("X-TG-RATELIMIT")
Aktion: Protokolleintrag hinzufügen; Protokolleintrag("X-TG-RATELIMIT: $filenames")
BLOCKLISTE_QUARANTÄNE
Bedingung: (Keine)
Aktion: Quarantäne; Quarantäne("BLOCKLIST")
TG_AUSGEHEND_SCHÄDLICH
Bedingung: Anderer Header; Header("X-TG-OUTBOUND") == MALWARE
Aktion: Quarantäne; Quarantäne("TG_OUTBOUND_MALWARE")
Strip_Secret_Header
Bedingung: Anderer Header; Header("PLACEHOLDER") == PLACEHOLDER
Aktion: Strip Header; strip-header("X-IronPort-Tenant")
EXTERNER_ABSENDER_ENTFERNEN
Bedingung: (Keine)
Aktion: Header hinzufügen/bearbeiten; Header-bearbeiten-Text("Betreff", "\\[EXTERNAL\\]\\s?", "")
ACCOUNT_ÜBERNAHME
Bedingung: Anderer Header; Header("X-AMP-Result") == (?i)bösartig
Bedingung: URL-Reputation; url-reputation(-10,00, -6,00 , "", 1, 1)
*Apply Rule (Anwenden-Regel festlegen): Wenn eine oder mehrere Bedingungen zutreffen
Aktion: Benachrichtigen;benachrichtigen ("<Admin- oder Distribution-E-Mail-Adresse einfügen>", "MÖGLICHE ÜBERNAHME EINES KONTOS", "", "ACCOUNT_TAKEOVER_WARNING")
Aktion: double-quarantine("ACCOUNT_TAKEOVER")
Für Kunden der Cisco Secure E-Mail Cloud sind in der Gold-Konfiguration und den Best Practice-Empfehlungen Beispiele für Content-Filter enthalten. Lesen Sie darüber hinaus die Filter "SAMPLE_", um weitere Informationen zu den entsprechenden Bedingungen und Aktionen zu erhalten, die für Ihre Konfiguration von Vorteil sein können.
Auf der Cisco Live werden weltweit viele Sessions abgehalten. Neben persönlichen Sessions stehen technische Breakouts zur Verfügung, in denen Best Practices für Cisco Secure Email besprochen werden. Ältere Sitzungen und Zugriff finden Sie auf der Cisco Live (CCO-Anmeldung erforderlich):
Cisco Email Security: Best Practices und Feinabstimmung - BRKSEC-2131
Wenn eine Sitzung nicht verfügbar ist, behält sich die Cisco Live das Recht vor, sie aufgrund des Alters der Präsentation zu entfernen.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
3.0 |
31-Jul-2022 |
Aktualisierung der neuesten Gold Configuration-Werte, Umformulierung zur Erfüllung von Veröffentlichungskriterien, Aktualisierung von Links und Verweisen. |
1.0 |
15-May-2017 |
Erstveröffentlichung |