はじめに
このドキュメントでは、Cisco Secure Email GatewayおよびクラウドゲートウェイでURLフィルタリングを設定する方法と、URLフィルタリングの使用に関するベストプラクティスについて説明します。
背景説明
URLフィルタリングは、AsyncOS 11.1 for Email Securityで初めて導入されました。このリリースでは、Cisco Secure Emailを設定して、メッセージ添付ファイル内のURLをスキャンし、そのようなメッセージに対して設定されたアクションを実行できるようになりました。メッセージフィルタとコンテンツフィルタは、URLレピュテーションとURLカテゴリを使用して、メッセージと添付ファイルのURLを確認します。詳細については、ユーザガイドまたはオンラインヘルプの「メッセージフィルタを使用した電子メールポリシーの適用」、「コンテンツフィルタ」、および「信頼できない、または好ましくないURLからの保護」の各章を参照してください。
信頼できないリンクや望ましくないリンクに対する制御と保護は、アンチスパム、アウトブレイク、コンテンツ、およびメッセージフィルタリングプロセスの作業キューに組み込まれます。これらのコントロール:
- メッセージや添付ファイルに含まれる信頼できないURLからの保護の効果を高めます。
- また、URLフィルタリングはアウトブレイクフィルタに組み込まれています。この強化された保護は、Cisco Webセキュリティアプライアンス(WSA)を所有している組織であっても、またはWebベースの脅威に対して同様の保護を提供している組織であっても、侵入の時点で脅威をブロックするため適用可能です。
- コンテンツまたはメッセージフィルタを使用して、メッセージ内のURLのWebベースのレピュテーションスコア(WBRS)に基づいてアクションを実行することもできます。たとえば、ニュートラルレピュテーションまたは未知のレピュテーションのURLを書き換えてCisco Webセキュリティプロキシにリダイレクトし、安全性をクリック時に評価することができます。
- スパムの特定の向上
- このアプライアンスは、メッセージ内のリンクのレピュテーションとカテゴリ、およびその他のスパム識別アルゴリズムを使用して、スパムを特定します。たとえば、メッセージ内のリンクがマーケティングWebサイトに属している場合、メッセージはマーケティングメッセージである可能性が高くなります。
- 企業のアクセプタブルユースポリシーの適用をサポート
- URLのカテゴリ(アダルトコンテンツや違法行為など)をコンテンツフィルタやメッセージフィルタと組み合わせて使用し、許容できる社内使用ポリシーを適用できます。
- 保護用に書き換えられたメッセージ内のURLを最も頻繁にクリックした組織内のユーザーや、最も一般的にクリックされたリンクを特定できます。
注:AsyncOS 11.1 for Email Securityリリースでは、URLフィルタリングで短縮URLのサポートが導入されました。CLIコマンド「websecurityadvancedconfig」を使用すると、短縮形サービスを表示して設定できます。この設定オプションは、AsyncOS 13.5 for Email Securityで更新されました。このリリースにアップグレードすると、短縮されたURLがすべて展開されます。短縮されたURLの拡張を無効にするオプションはありません。このため、URL防御に最新の保護を提供するには、Eメールセキュリティ用のAsyncOS 13.5以降を推奨します。ユーザガイドまたはオンラインヘルプの「悪意のあるURLまたは望ましくないURLからの保護」の章と『AsyncOS for Cisco EメールセキュリティアプライアンスのCLIリファレンスガイド』を参照してください。
注:このドキュメントでは、例とスクリーンショットにAsyncOS 14.2 for Email Securityを使用しています。
注:Cisco Secure Emailでは、docs.ces.cisco.comで提供されている詳細なURL防御ガイドも参照してください。
前提条件
Cisco Secure Email GatewayまたはクラウドゲートウェイでURLフィルタリングを設定する際には、使用する機能に応じて、他の機能も設定する必要があります。URLフィルタリングとともに有効になる一般的な機能を次に示します。
- スパムに対する保護を強化するには、該当するメールポリシーに従って、アンチスパムスキャン機能をグローバルに有効にする必要があります。スパム対策は、Cisco IronPort Anti-Spam(IPAS)またはCisco Intelligent Multi-Scan(IMS)機能のどちらかと見なされます。
- マルウェアに対する保護を強化するには、アウトブレイクフィルタまたはウイルスアウトブレイクフィルタ(VOF)機能を該当するメールポリシーごとにグローバルに有効にする必要があります。
- URLレピュテーションに基づくアクション、またはメッセージフィルタとコンテンツフィルタを使用してアクセプタブルユースポリシー(AUP)を適用するには、VOFをグローバルに有効にする必要があります。
URL フィルタリングの有効化
まず、Cisco Secure Email GatewayまたはクラウドゲートウェイでURLフィルタリングを実装する機能を有効にする必要があります。URLフィルタリングは、管理者がGUIまたはCLIから有効にできます。
URLフィルタリングを有効にするには、GUIでSecurity Services > URL Filteringの順に選択し、Enable:
次に、Enable URL Category and Reputation Filtersをクリックします。この例には、URL検索タイムアウト、スキャンされるURLの最大数のベストプラクティス値が含まれ、URLをログに記録するオプションを有効にします。
注:この時点で、設定に対する変更をコミットしていることを確認してください。
URLフィルタリングアクションの作成
URLフィルタリングだけを有効にすると、メッセージ内のURLや添付ファイルを含むメッセージに対するアクションは実行されません。
受信および送信メールポリシーのメッセージと添付ファイルに含まれるURLが評価されます。URLの有効な文字列はすべて、次のコンポーネントを含む文字列を含むように評価されます。
- HTTP、HTTPS、またはWWW
- ドメインまたはIPアドレス
- コロン(:)で始まるポート番号
- 大文字または小文字
注:ほとんどのURLでは、URLログエントリがmail_logsに表示されます。URLがmail_logsに記録されていない場合は、メッセージID(MID)のメッセージトラッキングを確認してください。メッセージトラッキングには、「URLの詳細」のタブが含まれています。
システムがURLを評価してメッセージがスパムであるかどうかを判断する場合、負荷管理に必要であれば、発信メッセージよりも着信メッセージを優先してスクリーニングします。
メッセージ本文のURLレピュテーションまたはURLカテゴリ、または添付ファイルを含むメッセージに基づいて、メッセージに対してアクションを実行できます。
たとえば、AdultカテゴリのURLを含むすべてのメッセージにDrop (Final Action)アクションを適用する場合は、Adultカテゴリを選択した状態で、URL Categoryタイプの条件を追加します。
カテゴリを指定しない場合、選択したアクションはすべてのメッセージに適用されます。
URLレピュテーションスコアの範囲は、Trusted(信頼できる)、Proportive(有利)、Neutral(中立的)、Questionable(疑問あり)、およびUntrusted(信頼できない)があらかじめ定義されており、編集できません。カスタム範囲を指定できます。レピュテーションスコアがまだ決定されていないURLには「Unknown」を使用します。
URLをすばやくスキャンしてアクションを実行するには、コンテンツフィルタを作成して、メッセージに有効なURLが含まれている場合にそのアクションを適用できるようにします。GUIから、Mail Policies > Incoming Content Filters > Add Filterの順に移動します。
URLに関連するアクションは次のとおりです。
- URLの無効化
- URLは変更されてクリックできなくなりますが、メッセージの受信者は目的のURLを読み取ることができます(元のURLに余分な文字が挿入されます)。
- 「Ciscoセキュリティプロキシ」にリダイレクトします
- URLをクリックすると、追加の検証のためにCisco Security Proxyを通過するように書き換えられます。Cisco Security Proxyの判定に基づいて、ユーザがサイトにアクセスできない可能性があります。
- URLをテキストメッセージで置き換える
- このオプションを使用すると、管理者はメッセージ内のURLを書き換えて、リモートブラウザの分離のために外部に送信できます。
信頼できないURL
信頼できない:URLの動作が異常に悪かったり、悪意があったり、望ましくなかったりします。これは、最も安全な推奨されるブロックリストのしきい値です。ただし、URLの脅威レベルが低いためにブロックされないメッセージが存在する場合があります。セキュリティよりも配信を優先
推奨処置:ブロック。(管理者はメッセージ全体を検疫またはドロップできます)。
次の例では、信頼できないURLを検出するためのURLフィルタリングのコンテンツフィルタのコンテキストを示します。
このコンテンツフィルタが適用されると、Cisco Secure EmailはUntrustedレピュテーション(-10.00 ~ -6.00)が設定されているURLをスキャンし、そのメッセージを隔離URL_UNTRUSTEDに格納します。mail_logsの例を次に示します。
Tue Jul 5 15:01:25 2022 Info: ICID 5 ACCEPT SG MY_TRUSTED_HOSTS match 127.0.0.1 SBRS None country United States
Tue Jul 5 15:01:25 2022 Info: ICID 5 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Tue Jul 5 15:01:25 2022 Info: Start MID 3 ICID 5
Tue Jul 5 15:01:25 2022 Info: MID 3 ICID 5 From: <test@test.com>
Tue Jul 5 15:01:25 2022 Info: MID 3 SDR: Domains for which SDR is requested: reverse DNS host: example.com, helo: ip-127-0-0-1.internal, env-from: test.com, header-from: Not Present, reply-to: Not Present
Tue Jul 5 15:01:25 2022 Info: MID 3 SDR: Consolidated Sender Threat Level: Neutral, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: 30 days (or greater) for domain: test.com
Tue Jul 5 15:01:25 2022 Info: MID 3 ICID 5 RID 0 To: <end_user>
Tue Jul 5 15:01:25 2022 Info: MID 3 Message-ID '<20220705145935.1835303@ip-127-0-0-1.internal>'
Tue Jul 5 15:01:25 2022 Info: MID 3 Subject "test is sent you a URL => 15504c0618"
Tue Jul 5 15:01:25 2022 Info: MID 3 SDR: Domains for which SDR is requested: reverse DNS host:ip-127-0-0-1.internal, helo:ip-127-0-0-1.internal, env-from: test.com, header-from: test.com, reply-to: Not Present
Tue Jul 5 15:01:25 2022 Info: MID 3 SDR: Consolidated Sender Threat Level: Neutral, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: 30 days (or greater) for domain: test.com
Tue Jul 5 15:01:25 2022 Info: MID 3 SDR: Tracker Header : 62c45245_jTikQ2lV2NYfmrGzMwQMBd68fxqFFueNmElwb5kQOt89QH1tn2s+wyqFO0Bg6qJenrPTndlyp+zb0xjKxrK3Cw==
Tue Jul 5 15:01:25 2022 Info: MID 3 ready 3123 bytes from <test@test.com>
Tue Jul 5 15:01:25 2022 Info: MID 3 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Jul 5 15:01:25 2022 Info: ICID 5 close
Tue Jul 5 15:01:25 2022 Info: MID 3 URL https://www.ihaveabadreputation.com/ has reputation -9.5 matched Condition: URL Reputation Rule
Tue Jul 5 15:01:25 2022 Info: MID 3 quarantined to "Policy" (content filter:URL_QUARANTINE_UNTRUSTED)
Tue Jul 5 15:01:25 2022 Info: Message finished MID 3 done
URL ihaveabadreputation.comは信頼できないと見なされ、-9.5で採点されます。URLフィルターにより、信頼できないURLが検出され、URL_UNTRUSTEDに検疫されました。
前述のmail_logsの例は、URLフィルタリングのコンテンツフィルタのみが着信メールポリシーに対して有効になっている場合の例を示しています。同じメールポリシーでスパム対策などの追加サービスが有効になっている場合、他のサービスは、それらのサービスとそのルールからURLが検出されたかどうかを示します。同じURLの例では、着信メールポリシーに対してCisco Anti-Spam Engine(CASE)が有効になっており、メッセージ本文がスキャンされてスパム陽性と判定されます。アンチスパムはメール処理パイプラインの最初のサービスであるため、これはmail_logsの最初に示されます。コンテンツフィルタは、メール処理パイプラインの後半に追加されます。
Tue Jul 5 15:19:48 2022 Info: ICID 6 ACCEPT SG MY_TRUSTED_HOSTS match 127.0.0.1 SBRS None country United States
Tue Jul 5 15:19:48 2022 Info: ICID 6 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Tue Jul 5 15:19:48 2022 Info: Start MID 4 ICID 6
Tue Jul 5 15:19:48 2022 Info: MID 4 ICID 6 From: <test@test.com>
Tue Jul 5 15:19:48 2022 Info: MID 4 SDR: Domains for which SDR is requested: reverse DNS host:ip-127-0-0-1.internal, helo:ip-127-0-0-1.internal, env-from: test.com, header-from: Not Present, reply-to: Not Present
Tue Jul 5 15:19:49 2022 Info: MID 4 SDR: Consolidated Sender Threat Level: Neutral, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: 30 days (or greater) for domain: test.com
Tue Jul 5 15:19:49 2022 Info: MID 4 ICID 6 RID 0 To: <end_user>
Tue Jul 5 15:19:49 2022 Info: MID 4 Message-ID '<20220705151759.1841272@ip-127-0-0-1.internal>'
Tue Jul 5 15:19:49 2022 Info: MID 4 Subject "test is sent you a URL => 646aca13b8"
Tue Jul 5 15:19:49 2022 Info: MID 4 SDR: Domains for which SDR is requested: reverse DNS host:ip-127-0-0-1.internal, helo:ip-127-0-0-1.internal, env-from: test.com, header-from: test.com, reply-to: Not Present
Tue Jul 5 15:19:49 2022 Info: MID 4 SDR: Consolidated Sender Threat Level: Neutral, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: 30 days (or greater) for domain: test.com
Tue Jul 5 15:19:49 2022 Info: MID 4 SDR: Tracker Header : 62c45695_mqwplhpxGDqtgUp/XTLGFKD60hwNKKsghUKAMFOYVv9l32gncZX7879qf3FGzWfP1mc6ZH3iLMpcKwCBJXhmIg==
Tue Jul 5 15:19:49 2022 Info: MID 4 ready 3157 bytes from <test@test.com>
Tue Jul 5 15:19:49 2022 Info: MID 4 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Jul 5 15:19:49 2022 Info: ICID 6 close
Tue Jul 5 15:19:49 2022 Info: MID 4 interim verdict using engine: CASE spam positive
Tue Jul 5 15:19:49 2022 Info: MID 4 using engine: CASE spam positive
Tue Jul 5 15:19:49 2022 Info: ISQ: Tagging MID 4 for quarantine
Tue Jul 5 15:19:49 2022 Info: MID 4 URL https://www.ihaveabadreputation.com/ has reputation -9.5 matched Condition: URL Reputation Rule
Tue Jul 5 15:19:49 2022 Info: MID 4 quarantined to "URL_UNTRUSTED" (content filter:URL_QUARANTINE_UNTRUSTED)
Tue Jul 5 15:19:49 2022 Info: Message finished MID 4 done
CASEルールとIPASルールに、特定の送信者、ドメイン、またはメッセージの内容と照合してURLの脅威だけを検出するルール、レピュテーション、またはスコアが含まれる場合があります。この例では、スパム検疫(ISQ)用にタグ付けされたihaveabadreputation.comと、URL_QUARANTINE_UNTRUSTEDコンテンツフィルタによるURL_UNTRUSTED検疫が確認されています。メッセージは、最初にURL_UNTRUSTED隔離に入ります。管理者によってメッセージがその隔離から解放されるか、またはURL_UNTRUSTED隔離の時間制限/設定基準が満たされると、メッセージは次にISQに移動されます。
管理者の設定に基づいて、コンテンツフィルタに追加の条件とアクションを設定できます。
不明なURL
Unknown:以前に評価されていないか、または脅威レベルの判定をアサートする機能が表示されていません。URLレピュテーションサービスにレピュテーションを確立するための十分なデータがありません。この判定は、URLレピュテーションポリシーでの直接のアクションには適していません。
推奨処置:後続のエンジンをスキャンして、悪意のある可能性のある他のコンテンツを探します。
未知のURLまたは「レピュテーションなし」は、新しいドメインを含むURL、またはトラフィックがほとんどまたはまったく検出されず、レピュテーションと脅威レベルの判定が評価されていないURLである可能性があります。これらのドメインと発信元に関する詳細な情報が取得されると、これらはUntrustedに変わる可能性があります。このようなURLについては、ログに記録するコンテンツフィルタ、または不明なURLの検出を含むコンテンツフィルタを使用することをお勧めします。AsyncOS 14.2では、未知のURLがTalosインテリジェンスクラウドサービスに送信され、さまざまな脅威インジケータでトリガーされる詳細なURL分析が行われます。また、不明なURLのメールログエントリは、管理者にMIDに含まれているURLの表示と、URL保護による修復の可能性を提供します。(詳細については、『Microsoft Azure(Microsoft 365)API用のCisco Secure Email Account設定の設定方法 – Cisco』を参照してください)。
次の例は、不明なURLを検出するためのURLフィルタリングのコンテンツフィルタのコンテキストを提供します。
このコンテンツフィルタを適用すると、Cisco Secure EmailはUnknownレピュテーションのURLをスキャンし、ログ行をmail_logsに書き込みます。mail_logsの例を次に示します。
Tue Jul 5 16:51:53 2022 Info: ICID 20 ACCEPT SG MY_TRUSTED_HOSTS match 127.0.0.1 SBRS None country United States
Tue Jul 5 16:51:53 2022 Info: ICID 20 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Tue Jul 5 16:51:53 2022 Info: Start MID 16 ICID 20
Tue Jul 5 16:51:53 2022 Info: MID 16 ICID 20 From: <test@test.com>
Tue Jul 5 16:51:53 2022 Info: MID 16 SDR: Domains for which SDR is requested: reverse DNS host:ip-127-0-0-1.internal, helo:ip-127-0-0-1.internal, env-from: test.com, header-from: Not Present, reply-to: Not Present
Tue Jul 5 16:51:53 2022 Info: MID 16 SDR: Consolidated Sender Threat Level: Neutral, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: 30 days (or greater) for domain: test.com
Tue Jul 5 16:51:53 2022 Info: MID 16 ICID 20 RID 0 To: <end_user>
Tue Jul 5 16:51:53 2022 Info: MID 16 Message-ID '<20220705165003.1870404@ip-127-0-0-1.internal>'
Tue Jul 5 16:51:53 2022 Info: MID 16 Subject "test is sent you a URL => e835eadd28"
Tue Jul 5 16:51:53 2022 Info: MID 16 SDR: Domains for which SDR is requested: reverse DNS host:ip-127-0-0-1.internal, helo:ip-127-0-0-1.internal, env-from: test.com, header-from: test.com, reply-to: Not Present
Tue Jul 5 16:51:53 2022 Info: MID 16 SDR: Consolidated Sender Threat Level: Neutral, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: 30 days (or greater) for domain: test.com
Tue Jul 5 16:51:53 2022 Info: MID 16 SDR: Tracker Header : 62c46c29_vrAqZZys2Hqk+BFINVrzdNLLn81kuIf/K6o71YZLVE5c2s8v9M9pKpQZSgtz7a531Dw39F6An2x6tMSucDegqA==
Tue Jul 5 16:51:53 2022 Info: MID 16 ready 3208 bytes from <test@test.com>
Tue Jul 5 16:51:53 2022 Info: MID 16 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Jul 5 16:51:53 2022 Info: ICID 20 close
Tue Jul 5 16:51:54 2022 Info: MID 16 interim verdict using engine: CASE spam negative
Tue Jul 5 16:51:54 2022 Info: MID 16 using engine: CASE spam negative
Tue Jul 5 16:51:54 2022 Info: MID 16 URL http://mytest.example.com/test_url_2022070503 has reputation noscore matched Condition: URL Reputation Rule
Tue Jul 5 16:51:54 2022 Info: MID 16 Custom Log Entry: <<<=== LOGGING UNKNOWN URL FOR MAIL_LOGS ===>>>
Tue Jul 5 16:51:54 2022 Info: MID 16 queued for delivery
Tue Jul 5 16:51:54 2022 Info: Delivery start DCID 13 MID 16 to RID [0]
Tue Jul 5 16:51:56 2022 Info: Message done DCID 13 MID 16 to RID [0]
Tue Jul 5 16:51:56 2022 Info: MID 16 RID [0] Response '2.6.0 <20220705165003.1870404@ip-127-0-0-1.internal> [InternalId=1198295889556, Hostname=<my>.prod.outlook.com] 15585 bytes in 0.193, 78.747 KB/sec Queued mail for delivery'
Tue Jul 5 16:51:56 2022 Info: Message finished MID 16 done
Tue Jul 5 16:52:01 2022 Info: DCID 13 close
mytest.example.com/test_url_2022070503というURLにはレピュテーションがなく、「noscore」と表示されます。 URL_UNKNOWNコンテンツフィルタは、設定されたとおりにloglineをmail_logsに書き込みました。
Cisco Secure Email GatewayからTalos Intelligence Cloud Serviceへのポーリングサイクルの後、URLがスキャンされ、信頼できないと判断されます。これは「Trace」レベルのECSログで確認できます。
その後、修復自体が呼び出されて完了すると、mail_logsに次のように記録されます。
Tue Jul 5 16:55:42 2022 Info: Message 16 containing URL 'http://mytest.example.com/test_url_2022070503' was initiated for remediation.
Tue Jul 5 16:55:55 2022 Info: Message 16 was processed due to URL retrospection by Mailbox Remediation with 'Delete' remedial action for recipient <end_user>. Profile used to remediate: MSFT_365 Remediation status: Remediated.
管理者は、自分の裁量で不明なURLに対するアクションを検討する必要があります。フィッシング関連の電子メールと添付ファイルが増加している場合は、mail_logsとコンテンツフィルタレポートを確認してください。さらに、管理者は、クリック時の評価のためにUnknown URL(s)をCiscoセキュリティプロキシサービスにリダイレクトするように設定できます。この例では、URL_UNKNOWNコンテンツフィルタ内でAdd Action > URL Reputationに移動します。
URLをクリックすると、追加の検証のためにCisco Security Proxyを通過するように書き換えられます。Cisco Security Proxyの判定に基づいて、ユーザがサイトにアクセスできない可能性があります。
注:Check URLs within All (Message, Body, Subject and Attachments)オプションを有効にすると、添付を削除する唯一のオプションにより、添付ファイルのURLに対して実行されるアクションが自動的に有効になります。一部の管理者に対して添付ファイルを削除するオプションは推奨されません。アクションを確認し、メッセージ本文と件名を設定するオプションのみを検討してください。
更新されたコンテンツフィルタは次の例のようになります。また、「Redirect to Cisco Secure Proxy」アクションが追加されています。
問題のあるURL
要注意:リスクを示す、または望ましくない可能性があるURLの動作。この判定は、すべての組織にとって安全とは言えませんが、比較的安全な誤検出(FP)率が低くなっています。判定がブロックされていないと、セキュリティよりも配信が優先され、リスクを伴うURLを含むメッセージが生成される可能性があります。
推奨処置:後続のエンジンでスキャンし、レビュー後にブロックします。
「不明なURL」で設定したように、管理者はCisco Security Proxyに不審なURLを送信するか、アクションを使用してURLを完全に無効にすることが有益です。
ニュートラルURL
ニュートラル:正または負の動作を持たないURL。ただし、評価は完了しています。つまり、URLには既知のリスクはありません。したがって、これがレピュテーション判定の大部分です。
推奨処置:後続のエンジンをスキャンして、悪意のある可能性のある他のコンテンツを探します。
管理者は、負のスコアが付いたニュートラルURLを脅威として見ることができます。メッセージの数とニュートラルURLの発生回数は、任意に評価してください。シスコのセキュリティプロキシにURLを送信するアクションを利用するために不明なURLや疑わしいURLを更新した方法と同様に、ニュートラルURL、またはニュートラルのマイナス側のサブセットを含むカスタム範囲を検討できます。次の例は、この着信コンテンツフィルタの実装によるニュートラルURLのスキャンを示しています。
メッセージ トラッキング
MIDに関連付けられたURLのメッセージトラッキングオプションを確認します。 URLがmail_logsに記録されない場合があり、メッセージ追跡の詳細で見つけることができます。例:
メッセージトラッキングには、URLの防御とインタラクションを備えたメッセージの高度な検索オプションもあります。
未分類および誤って分類されたURLのレポート
URLは、レピュテーションまたは分類なしとして報告されることがあります。誤って分類されたURLもあります。これらのURLの目撃情報を報告するには、TalosのReputation Center SupportページにあるCisco TalosのWeb Categorization Requestsにアクセスしてください。
URLをレポートした後、My Ticketsページでステータスを確認できます。
悪意のあるURLおよびマーケティングメッセージがスパム対策フィルタまたはアウトブレイクフィルタの対象にならない
これは、サイトのレピュテーションとカテゴリが、スパム対策フィルタやアウトブレイクフィルタが判定に使用する多くの基準の中で2つの基準に過ぎないために発生する可能性があります。これらのフィルタの感度を高めるには、書き換えやURLのテキストへの置き換え、検疫、またはメッセージのドロップなどのアクションを実行するために必要なしきい値を下げます。
または、URLレピュテーションスコアに基づいて、コンテンツまたはメッセージフィルタを作成できます。
付録
短縮されたURLのURLフィルタリングサポートの有効化
注:このセクションは、AsyncOS 11.1 ~ 13.0 for Email Securityにのみ適用されます。
短縮されたURLに対するURLフィルタリングのサポートは、websecurityadvancedconfigコマンドを使用して、CLIでのみ実行できます。
myesa.local> websecurityadvancedconfig
...
Do you want to enable URL filtering for shortened URLs? [N]> Y
For shortened URL support to work, please ensure that ESA is able to connect to following domains:
bit.ly, tinyurl.com, ow.ly, tumblr.com, ff.im, youtu.be, tl.gd, plurk.com, url4.eu, j.mp, goo.gl, yfrog.com, fb.me, alturl.com, wp.me, chatter.com, tiny.cc, ur.ly
シスコでは、URLフィルタリング設定のベストプラクティスに対して、これを有効にすることを推奨しています。有効にすると、短縮されたURLがメッセージ内で使用されるたびにメールログに反映されます。
Mon Aug 27 14:56:49 2018 Info: MID 1810 having URL: http://bit.ly/2tztQUi has been expanded to https://www.wired.com/?p=2270330&drafts-for-friends=js-1036023628&post_type=non-editorial
この記事で説明するようにURLフィルタリングを有効にすると、mail_logsの例から、bit.lyリンクが記録され、展開先の元のリンクも記録されていることがわかります。
-
追加情報
Cisco Secure Email Gatewayに関するドキュメント
セキュアなEメールクラウドゲートウェイに関する文書
Cisco Secure Email and Web Managerに関するドキュメント
Cisco Secure製品ドキュメント