侵害されたアカウントからのESAでの不要な送信電子メールのトラブルシューティング

ダウンロード オプション

  • PDF     (335.1 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (79.4 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (67.1 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 3 月 30 日
Document ID:200030

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、内部ユーザアカウントが侵害され、グローバルに不確定な電子メールが送信された場合に、Eメールセキュリティアプライアンス(ESA)のキューをトラブルシューティングして修正する方法について説明します。

    前提条件

    要件

    このドキュメントに関する固有の要件はありません。

    使用するコンポーネント

    このドキュメントの情報は、ESAのAsyncOS 7.6以降に基づくものです。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

    トラブルシュート

    スパムを送信するアカウントが既知の場合は、そのアカウントをロックダウンすることをお勧めします。それ以外の場合は、ESAの調査で検出されたアカウントをロックダウンします。

    ワークキューチェック

    workqueueカウンタに大量の電子メールがあり、システムに入る電子メールのレートがシステムから出るレートを大幅に超える場合、ワークキューに影響があることを示しています。workqueueコマンドを使用してチェックを実行できます。

    C370.lab> workqueue status

Status as of:  Thu Feb 06 12:48:02 2014 GMT
Status:        Operational
Messages:      48654

C370.lab> workqueue rate 5

Type Ctrl-C to return to the main prompt.

Time      Pending    In   Out
12:48:04    48654    48     2
12:48:09    48700    31     0

    ワークキュー内の電子メールの送信者または件名がわかっている

    ワークキューに影響する電子メールを削除するには、メッセージフィルタの使用を推奨します。メッセージフィルタを使用すると、ESAは、より効率的な間隔で電子メールを削除するために、最後ではなくワークキューの最初にこれらの電子メールを処理できます。

    このフィルタを使用すると、次のことが可能になります。

    C370.lab> filters


Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new

Enter filter script.  Enter '.' on its own line to end.

    
FilterName:
if (mail-from == 'abc@abc1.com')
{
drop();
}
.

OR

    FilterName:
if (subject == "^SUBJECT NAME$")
{
drop();
}
.

    配信キューチェック

    tophostsコマンドは現在の影響を受けるホストを表示します。ライブ環境では、多数のアクティブな受信者によって受信者ホスト(現在アクティブな配信キュー)が影響を受けます。この出力の例はimpactedhost.queueです。

    C370.lab> tophosts

Sort results by:

1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]>  1

Status as of:                   Thu Feb 06 12:52:17 2014 GMT
Hosts marked with '*' were down as of the last delivery attempt.

                                 Active  Conn.     Deliv.       Soft       Hard
#   Recipient Host               Recip.    Out     Recip.    Bounced    Bounced

1   impactedhost.queue           321550     50        440      75568       8984
2   the.euq.queue                     0      0          0          0          0
3   the.euq.release.queue             0      0          0          0          0

    すべての電子メールを削除する前に詳細な情報が必要ななじみのない受信者ドメインが影響を受けるホストである場合は、showreceipientsshowmessage、およびdeleterecipientsのコマンドを使用できます。showreceipientsコマンドは、メッセージID (MID)、メッセージサイズ、配信試行、エンベロープ送信者、エンベロープ受信者、電子メールの件名を表示します。 

    C370.lab> showrecipients

Please select how you would like to show messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 1

Please enter the hostname for the messages you wish to show.
> impactedhost.queue

    配信キューに疑わしいMIDが正当であるように見える場合は、何らかのアクションを起こす前に、showmessageコマンドを使用してメッセージソースを表示できます。

    C370.lab> showmessage

Enter the MID to show.
[]>

    スパムであることが確認されたら、これらの電子メールを削除するため、deleterecipientコマンドを使用します。このコマンドでは、配信キューから電子メールを削除するオプションとして、エンベロープ送信者、受信者ホスト、または配信キュー内のすべての電子メールの3つが用意されています。

    C370.lab> deleterecipients

Please select how you would like to delete messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 2

Please enter the Envelope From address for the messages you wish to delete.
[]>

    予防的なモニタリングとアクション

    ESAのバージョン9.0+ AsyncOSでは、Header Repeats Ruleという新しいメッセージフィルタ条件を使用できます。

    ヘッダー繰り返しルール

    ヘッダー繰り返しルールは、特定の時点で指定された数のメッセージが発生した場合にtrueと評価されます。

    • 最後の1時間で同じ件名が検出されます。
    • 同じエンベロープから送信された送信者が過去1時間に検出されました。
    • header-repeats(<target>, <threshold> [, <direction>])

    この状態の詳細については、デバイスのオンラインヘルプガイドを参照してください。

    CLIにログインし、フィルタを展開して、必要なチェックとアクションを実行します。 しきい値に達した後に電子メールをドロップするか、管理者に通知するフィルタの例。

    C370.lab> filters


Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new

Enter filter script.  Enter '.' on its own line to end.

    
FilterName:
if header-repeats('mail-from',1000,'outgoing')
{
drop();
}
.

OR

    FilterName:
if header-repeats('subject',1000,'outgoing')
{
notify('admin@xyz.com');
}
.

    関連情報

    更新履歴

    改定 発行日 コメント
    1.0
    16-Jul-2015
    初版
    TAC Authored

    シスコ エンジニア提供

    • マシュー・フイン
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています