Konfigurieren von Beta-ESA zur Annahme von ESA-Produktionsdatenverkehr

Einleitung

In diesem Dokument wird beschrieben, wie Sie eine Beta-Cisco E-Mail Security Appliance (ESA) konfigurieren, um den ESA-Produktionsdatenverkehr über einen Nachrichtenfilter zu akzeptieren.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konfigurieren der Beta-Appliance

Listener-Konfiguration für Beta-ESA

Die erste Listener-Konfiguration muss auf der Beta-ESA abgeschlossen werden.

1. Navigieren Sie in der GUI zu Netzwerk > Listener.
2. Klicken Sie auf Listener hinzufügen...
3. Benennen und richten Sie einen öffentlichen Listener ein, der auf dem TCP-Port 25 ausgeführt wird.
4. Klicken Sie auf Senden, um die Änderungen im öffentlichen Listener zu speichern.
5. Wiederholen Sie die gleichen Schritte, und fügen Sie einen zweiten Listener hinzu.
6. Benennen Sie einen privaten Listener, der auf dem TCP-Port 26 ausgeführt wird, und richten Sie diesen ein. (Dieser Listener wird für ausgehende E-Mails verwendet.) Sie können Port 25 verwenden, wenn eine zusätzliche Schnittstelle für Ihre Umgebung verfügbar und konfiguriert ist. In der CES Hosted Beta-Umgebung ist der Port 587 für ausgehenden Datenverkehr reserviert.
7. Senden, um die Änderungen im Listener zu speichern.
8. Bestätigen Sie, dass alle Änderungen an der Konfiguration gespeichert werden.

Absendergruppe für Beta ESA

Fügen Sie für weitergeleiteten Datenverkehr oder ausgehende Nachrichten die entsprechende(n) IP-Adresse(n) für die Beta-ESA hinzu, um Nachrichten von der Produktions-ESA zu akzeptieren und weiterzuleiten.

1. Navigieren Sie in der GUI zu Mail Policies > HAT Overview.
2. Wählen Sie die entsprechende Relay-Absendergruppe aus. (Dies wird normalerweise als RELAY oder RELAYLIST bezeichnet.)
3. Klicken Sie auf Absender hinzufügen...
4. Verwenden Sie als Absender die IP-Adresse der Produktions-ESA.
5. Geben Sie ggf. administrative Kommentare ein.
6. Senden, um die Änderungen an der Weiterleitungsabsendergruppe zu speichern.
7. Bestätigen Sie, dass alle Änderungen an der Konfiguration gespeichert werden.

SMTP-Routen (Simple Mail Transfer Protocol) für Beta ESA

SMTP-Routenänderungen, die auf der Beta-ESA durchgeführt werden müssen, sind wie folgt:

1. Navigieren Sie in der GUI zu Netzwerk > SMTP-Routen.
2. Wenn es aktuelle SMTP-Routen gibt, müssen Sie diese möglicherweise auswählen und löschen, bevor Sie fortfahren. (Lesen Sie unbedingt den Beta Lab Setup Guide.)
3. Klicken Sie auf Add Route ... (Route hinzufügen).
4. Legen Sie die empfangende Domäne als cisco.com und das Ziel als USEDNS fest.
5. Klicken Sie auf Senden.
6. Wiederholen Sie die gleichen Schritte, und fügen Sie eine zweite SMTP-Route hinzu.
7. Legen Sie die empfangende Domäne für ironport.com und das Ziel als USEDNS fest.
8. Klicken Sie auf Senden.
9. Wählen Sie abschließend Alle anderen Domänen aus der empfangenden Domäne aus.
10. Legen Sie als Ziel /dev/null fest. (Dadurch wird das Routing von E-Mails von der Beta-Appliance für nicht konfigurierte Domänen verhindert.)
11. Klicken Sie auf Senden.
12. Bestätigen Sie, dass alle Änderungen an der Konfiguration gespeichert werden.

Zu diesem Zeitpunkt entsprechen die SMTP-Routen auf der Beta-Appliance der Abbildung:

Hinweis: Fügen Sie die entsprechenden Routen hinzu, um E-Mails an die Endbenutzer zu senden, die nach Bedarf nach Domänen suchen.

Eingehendes Relay für Beta ESA

Mit der eingehenden Relay-Konfiguration kann die Beta-Version den SBRS-Wert über den der Produktions-ESA hinaus abrufen.

Die meisten Konfigurationen funktionieren mit einem Hop.

1. GUI, navigieren Sie zu Network Incoming Relay.
2. Klicken Sie auf "Aktivieren", um die Farbe weiß zu ändern.
3. Klicken Sie auf Relay hinzufügen.
4. "Name" einen Namen auswählen.
5. "IP-Adresse" Wert der Produktions-ESA, die die Beta-ESA beliefert Ein partieller Hostname ist zulässig, wenn mehrere Hosts bereitstellen.
6. Hop: 1
7. Änderungen senden und bestätigen

Eingehendes Relay: Deaktivierter Status.

Eingehendes Relay: Aktivierungsstatus, weiß eingefärbt.

Eingehendes Relay: Beispielvorlage

Eingehendes Relay: Übersicht nach dem Senden.

Beispiel für einen Eintrag im Mailprotokoll:

Mon Apr 8 12:48:28 2019 Info: MID 2422822 IncomingRelay(PROD_hc2881-52): Header Received found, IP 54.240.35.22 being used, SBRS 3.5 country United States

Aktivieren von Protokoll-Headern zur Erfassung des Spam-Verdicts in den Mail-Protokollen

• WebUI > System Administration > Log Subscriptions > Global Settings (unten) > Headers > (hinzufügen)   X-IronPort-Anti-Spam-Ergebnis

Spam-Header in Mail-Protokolle protokollieren

ENDE DER BETA-SEITENKONFIGURATION.

Produktions-Appliance konfigurieren

Achtung: Sie sind im Begriff, Änderungen an einer Produktions-ESA vorzunehmen. Stellen Sie sicher, dass Sie die aktuelle Konfiguration sichern.

1. Navigieren Sie in der GUI zu Systemverwaltung > Konfigurationsdatei.
2. Wählen Sie im Abschnitt "Current Configuration" eine der Optionen zum Sichern der aktuellen Konfiguration als Datei aus: 
   • Datei auf lokalen Computer herunterladen, um sie anzuzeigen oder zu speichern
   • E-Mail-Datei an: <your_email_address@domain.com>
3. Klicken Sie auf Senden.

SMTP-Routen für Produktions-ESA

SMTP-Routen müssen hinzugefügt werden, um BCC für alle ein- und ausgehenden E-Mails von der Produktions-ESA zur Beta-ESA zuzulassen. Für dieses Beispiel werden inbound.beta.com und outbound.beta.com verwendet.

1. Navigieren Sie in der GUI zu Netzwerk > SMTP-Routen.
2. Klicken Sie auf Add Route ... (Route hinzufügen).
3. Legen Sie die empfangende Domäne als inbound.beta.com fest, wobei Destination als IP-Adresse für den zuvor erstellten öffentlichen Listener der Beta-Appliance festgelegt ist, wobei der Port auf 25 festgelegt ist.
4. Klicken Sie auf Senden, um die Änderungen an dieser neuen SMTP-Route zu speichern.
5. Wiederholen Sie die gleichen Schritte, Route hinzufügen...
6. Legen Sie die empfangende Domäne als outbound.beta.com, Destination Hosts als IP-Adresse des zuvor erstellten privaten Listeners der Beta-Appliance und den Port auf 26 fest.
7. Senden, um die Änderungen an dieser neuen SMTP-Route zu speichern.
8. Bestätigen Sie, dass alle Änderungen an der Konfiguration gespeichert werden.

Zu diesem Zeitpunkt werden SMTP-Routen auf der Produktions-ESA wie in der Abbildung dargestellt:

Erstellung von Bounce-Profilen

Eine Kombination aus Bounce-Profil und Zielsteuerungsprofil schützt den Produktions-Mail-Fluss vor Komplikationen, die bei Verzögerungen oder Fehlern bei der Zustellung von Nachrichten an die Beta-Hosts auftreten können. Diese Konfiguration gilt nur für die Beta-Nachrichten.

1. Navigieren Sie in der GUI zu Network > Bounce Profiles > Add Bounce Profile.
2. Maximale Anzahl der Wiederholungen: 15
3. Maximale Zeit in der Warteschlange: 130
4. Anfängliche Wartezeit pro Nachricht: 60
5. Maximale Wartezeit pro Nachricht: 60
6. Hard Bounce-Nachrichten senden: NEIN
7. Warnungen bei Verzögerung senden: NEIN
8. Domänenschlüsselsignatur für Bounce-Nachrichten und Delay-Nachrichten verwenden: NEIN
9. Senden, um die Änderungen an diesem neuen Bounce-Profil zu speichern.
10. Alle Konfigurationsänderungen werden gespeichert. 

Erstellung des Bounce-Profils

Hinweis: Die oben genannten nummerierten Werte werden sehr aggressiv konfiguriert, um Backups der Zustellungswarteschlange im Fall einer Zustellungsunterbrechung für die Beta-Hosts zu vermeiden. Die Werte können nach Wunsch geändert werden. Die Benachrichtigungseinstellungen werden absichtlich auf "Nein" gesetzt, um zu verhindern, dass Benutzerbenachrichtigungen von den BCC-Filtern zugestellt werden. 

Erstellung von Zielsteuerelementprofilen

1. Navigieren Sie in der GUI zu Mail-Policys > Zielsteuerelemente > Ziel hinzufügen.
2. Ziel: inbound.beta.com
3. Bounce-Verifizierung: > Adressmarkierung durchführen: NEIN > oder Standard (NEIN)
4. Bounce-Profil: BETA_BOUNCE
5. Die anderen Werte können auf Grundlage der Voreinstellungen des Administrators konfiguriert werden.
6. Senden, um die Änderungen in diesem neuen Zielsteuerungsprofil zu speichern.
7. Wiederholen Sie die Schritte 2 bis 6 mit folgendem Ziel: outbound.beta.com
8. Senden, um die Änderungen in diesem neuen Zielsteuerungsprofil zu speichern.
9. Bestätigen Sie, dass alle Änderungen an der Konfiguration gespeichert werden.

Zielsteuerelementprofile hinzufügen.Zusammenfassende Ansicht der neuen Zielsteuerelementprofile.

Nachrichtenfilterkonstruktion für Produktions-ESA

Erstellen Sie aus der CLI auf der Produktions-ESA einen Nachrichtenfilter, mit dem E-Mails an den entsprechenden Listener auf der Beta-ESA blockiert werden können.

1. Navigieren Sie zu Filter > NEU.
2. Kopieren und Einfügen dieses Nachrichtenfilterbeispiels, und nehmen Sie die gewünschten Änderungen vor:

   bcc-EFT: if sendergroup == "RELAY" {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "outbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
    } else {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "inbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
   }
   .

3. Kehren Sie zurück, bis Sie wieder zur CLI-Hauptaufforderung zurückkehren.
4. Bestätigen Sie, dass alle Änderungen an der Konfiguration gespeichert werden.

Hinweis: Begrenzen Sie den im Nachrichtenfilter kopierten Verkehr basierend auf Absendergroup, recv-listener, mail-from oder anderen verfügbaren Regeln und Syntax. Eine vollständige Übersicht über Nachrichtenfilterregeln und Filterregeln finden Sie in der ESA-Benutzeranleitung.

Erstellung von Bounce-Profilen

Erstellung von Zielsteuerelementprofilen

Überprüfung

Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Zu diesem Zeitpunkt akzeptiert die Beta-Appliance E-Mail-Verkehr von der Produktions-Appliance. Führen Sie tail mail_logs aus, um von CLI auf der Beta-Appliance zu überprüfen:

Wed Mar 23 17:28:43 2016 Info: New SMTP ICID 2 interface Management (172.18.250.222) address 172.18.250.224 reverse dns host dhcp-172-18-250-224.cisco.com verified yes
Wed Mar 23 17:28:43 2016 Info: ICID 2 RELAY SG RELAY match 172.18.250.1/24 SBRS not enabled
Wed Mar 23 17:28:43 2016 Info: Start MID 2 ICID 2
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 From: <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 RID 0 To: <robsherw@ironport.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 Message-ID '<a033ed$2@9.9.5-038.local>'
Wed Mar 23 17:28:43 2016 Info: MID 2 Subject 'TEST 2'
Wed Mar 23 17:28:43 2016 Info: MID 2 ready 320 bytes from <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 matched all recipients for per-recipient policy DEFAULT in the outbound table
Wed Mar 23 17:28:43 2016 Info: MID 2 queued for delivery
Wed Mar 23 17:28:43 2016 Info: New SMTP DCID 3 interface 172.18.250.222 address 173.37.93.161 port 25
Wed Mar 23 17:28:43 2016 Info: Delivery start DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: Message done DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: MID 2 RID [0] Response '2.0.0 u2NHSipG018673 Message accepted for delivery'
Wed Mar 23 17:28:44 2016 Info: Message finished MID 2 done
Wed Mar 23 17:28:48 2016 Info: ICID 2 close
Wed Mar 23 17:28:49 2016 Info: DCID 3 close

Die SMTP-Kommunikation wird auf 172.18.250.222 (Beta-Appliance) eingerichtet. Die Adresse, von der der Datenverkehr gesendet wird, lautet 172.18.250.224 (Produktions-Appliance).

Die Absendergruppe, die die Kommunikation erhält, ist RELAY, weitergeleiteter Datenverkehr aus dem Netzwerk 172.18.250.1/24.

Der Rest ist die Kommunikation der TEST 2 Nachricht.

Überprüfen und ausführen Sie auf der Produktions-Appliance tail mail_logs.  Die bei der Produktion verarbeitete MID würde Folgendes anzeigen:

Wed Mar 23 14:50:10 2016 Info: MID 242 was generated based on MID 241 by bcc filter 'bcc-EFT'

Dies wäre eine klare Aufsplitterung der E-Mail-Nachricht, wie sie empfangen wurde, und BCC würde an die Beta-Appliance übergeben und den Endbenutzer wie vorgesehen zum Empfang testen.

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

Zusätzliche Informationen

Ein Content-Filter kann in Betracht gezogen werden, um den E-Mail-Verkehr für getestete Endbenutzer von Produktions- und Beta-Inhalten zu unterscheiden.

1. Navigieren Sie in der Beta-ESA über die GUI zu Mail-Policys > Filter für eingehende Inhalte oder Mail-Policys > Filter für ausgehende Inhalte.
2. Erstellen Sie einen grundlegenden Inhaltsfilter, um eine Aktion zum Hinzufügen/Bearbeiten von Headern auszuführen.
3. Klicken Sie auf Senden, um die Änderungen am erstellten Inhaltsfilter zu speichern.
4. Mail-Policys > Mail-Policys für \"Eingehend\" oder \"Mail-Policys\" > Mail-Policys für \"Ausgehend\" aktivieren Sie den neuen Content-Filter, und fügen Sie ihn dem Policy-Namen hinzu.
5. Klicken Sie auf Senden, um den Content-Filter in dieser Richtlinie zu speichern.
6. Klicken Sie auf Bestätigen, um alle Änderungen an der Konfiguration zu speichern.

Zu diesem Zeitpunkt ist der Content-Filter auf der Beta-ESA wie in den Bildern dargestellt:

Wenn nun eine E-Mail-Nachricht auf der Beta-ESA empfangen wird, können Sie dies in der Betreffzeile der E-Mail sehen, nachdem sie wie im Bild gezeigt verarbeitet wurde:

Zugehörige Informationen

• Konfigurieren einer ESA/SMA für Staging-Updates

• Technischer Support und Dokumentation für Cisco Systeme