はじめに
このドキュメントでは、内部ユーザアカウントが侵害され、グローバルに不確定な電子メールが送信された場合に、Eメールセキュリティアプライアンス(ESA)のキューをトラブルシューティングして修正する方法について説明します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、ESAのAsyncOS 7.6以降に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
トラブルシュート
スパムを送信するアカウントが既知の場合は、そのアカウントをロックダウンすることをお勧めします。それ以外の場合は、ESAの調査で検出されたアカウントをロックダウンします。
ワークキューチェック
workqueueカウンタに大量の電子メールがあり、システムに入る電子メールのレートがシステムから出るレートを大幅に超える場合、ワークキューに影響があることを示しています。workqueueコマンドを使用してチェックを実行できます。
C370.lab> workqueue status
Status as of: Thu Feb 06 12:48:02 2014 GMT
Status: Operational
Messages: 48654
C370.lab> workqueue rate 5
Type Ctrl-C to return to the main prompt.
Time Pending In Out
12:48:04 48654 48 2
12:48:09 48700 31 0
ワークキュー内の電子メールの送信者または件名がわかっている
ワークキューに影響する電子メールを削除するには、メッセージフィルタの使用を推奨します。メッセージフィルタを使用すると、ESAは、より効率的な間隔で電子メールを削除するために、最後ではなくワークキューの最初にこれらの電子メールを処理できます。
このフィルタを使用すると、次のことが可能になります。
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if (mail-from == 'abc@abc1.com')
{
drop();
}
.
OR
FilterName:
if (subject == "^SUBJECT NAME$")
{
drop();
}
.
配信キューチェック
tophostsコマンドは現在の影響を受けるホストを表示します。ライブ環境では、多数のアクティブな受信者によって受信者ホスト(現在アクティブな配信キュー)が影響を受けます。この出力の例はimpactedhost.queueです。
C370.lab> tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Thu Feb 06 12:52:17 2014 GMT
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1 impactedhost.queue 321550 50 440 75568 8984
2 the.euq.queue 0 0 0 0 0
3 the.euq.release.queue 0 0 0 0 0
すべての電子メールを削除する前に詳細な情報が必要ななじみのない受信者ドメインが影響を受けるホストである場合は、showreceipients、showmessage、およびdeleterecipientsのコマンドを使用できます。showreceipientsコマンドは、メッセージID (MID)、メッセージサイズ、配信試行、エンベロープ送信者、エンベロープ受信者、電子メールの件名を表示します。
C370.lab> showrecipients
Please select how you would like to show messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 1
Please enter the hostname for the messages you wish to show.
> impactedhost.queue
配信キューに疑わしいMIDが正当であるように見える場合は、何らかのアクションを起こす前に、showmessageコマンドを使用してメッセージソースを表示できます。
C370.lab> showmessage
Enter the MID to show.
[]>
スパムであることが確認されたら、これらの電子メールを削除するため、deleterecipientコマンドを使用します。このコマンドでは、配信キューから電子メールを削除するオプションとして、エンベロープ送信者、受信者ホスト、または配信キュー内のすべての電子メールの3つが用意されています。
C370.lab> deleterecipients
Please select how you would like to delete messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 2
Please enter the Envelope From address for the messages you wish to delete.
[]>
予防的なモニタリングとアクション
ESAのバージョン9.0+ AsyncOSでは、Header Repeats Ruleという新しいメッセージフィルタ条件を使用できます。
ヘッダー繰り返しルール
ヘッダー繰り返しルールは、特定の時点で指定された数のメッセージが発生した場合にtrueと評価されます。
- 最後の1時間で同じ件名が検出されます。
- 同じエンベロープから送信された送信者が過去1時間に検出されました。
- header-repeats(<target>, <threshold> [, <direction>])
この状態の詳細については、デバイスのオンラインヘルプガイドを参照してください。
CLIにログインし、フィルタを展開して、必要なチェックとアクションを実行します。 しきい値に達した後に電子メールをドロップするか、管理者に通知するフィルタの例。
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if header-repeats('mail-from',1000,'outgoing')
{
drop();
}
.
OR
FilterName:
if header-repeats('subject',1000,'outgoing')
{
notify('admin@xyz.com');
}
.
関連情報