この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
コンテンツフィルタを使用すると、電子メールの複雑な詳細を調べ、電子メールに対してアクション(またはアクションなし)を実行できます。着信または発信コンテンツフィルタが作成されたら、着信または発信メールポリシーに適用します。いずれかの電子メールがコンテンツフィルタと一致すると、Cisco Eメールセキュリティアプライアンス(ESA)およびセキュリティ管理アプライアンス(SMA)の「コンテンツフィルタ」レポートに、コンテンツフィルタに一致するすべての電子メールが表示されます。したがって、何もアクションを実行しなくても、組織に出入りする電子メールの種類に関する有益な情報を取得する優れた方法であり、電子メールフローを「パターン化」できます。
コンテンツフィルタには「条件」と「アクション」が数多く存在するため、このドキュメントでは一般的で推奨される着信および発信コンテンツフィルタについて説明します。
ステップ 1:必要な辞書のインポート
このドキュメントでは、着信および発信コンテンツフィルタのベストプラクティスを実装するために必要な手順について説明します。作成するコンテンツフィルタは、いくつかの辞書を参照します。したがって、まずそれらの辞書をインポートする必要があります。ESAには辞書が付属しており、作成するコンテンツフィルタで参照するために、それらを設定にインポートするだけで済みます。
ステップ2:集中型隔離の作成
ほとんどのコンテンツフィルタでは、「アクション」を作成し、指定されたカスタム(新)隔離に電子メール(または電子メールのコピー)を隔離するように設定します。したがって、SMA上で隔離を作成する必要がありますesaおよびSMA。
ステップ 3:着信および発信コンテンツフィルタの作成とポリシーへの適用
辞書をインポートして検疫を作成したら、着信コンテンツフィルタを作成し、着信メールポリシーに適用してから、発信コンテンツフィルタを作成し、発信メールポリシーに適用します。
コンテンツフィルタで参照する辞書のインポート:
収益性:
性的なコンテンツ:
独自:
PVO隔離 – 着信コンテンツフィルタで使用 |
|
URL の悪意のあるインバウンド: [Name]:URL の悪意のあるインバウンド 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
SPFハード障害: [Name]:SPFハード障害 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
URLカテゴリ受信: [Name]:URLカテゴリ受信 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
SPFソフト障害: [Name]:SPFソフト障害 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
銀行データインバウンド: [Name]:銀行データインバウンド 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
SpoofMail: [Name]:SpoofMail 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
SSNインバウンド: [Name]:SSNインバウンド 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
DKIMハード障害: [Name]:DKIMハード障害 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
不適切なインバウンド: [Name]:不適切なインバウンド 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
パスワード保護受信: [Name]:Pwd Protected Inbound 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
PVO隔離 – 発信コンテンツフィルタで使用 |
|
銀行データアウトバウンド: [Name]:銀行データ発信 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
URL の悪意のあるアウトバウンド: [Name]:URL の悪意のあるアウトバウンド 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
SSNアウトバウンド: [Name]:SSNアウトバウンド 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
URLカテゴリアウトバウンド: [Name]:URLカテゴリアウトバウンド 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
不適切なアウトバウンド: [Name]:不適切なアウトバウンド 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
Password Protected Outbound: [Name]:Pwd Protected Outbound 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
独自のアウトバウンド: [Name]:独自のアウトバウンド 保存期間:14 日 デフォルトのアクション:[削除(Delete)] 空き領域:Enable |
辞書がインポートされ、PVO検疫が作成されたら、着信コンテンツフィルタの作成を開始できます。
これらの着信コンテンツフィルタの作成 |
[Name]:Bank_Data 次の2つの条件を追加します。 メッセージ本文または添付ファイル: スマートIDを含む:ABAルーティング番号 スマートIDを含む:クレジットカード番号 アクションを1つ追加: 隔離: メッセージを検疫に送信:「Bank Data Inbound(集中型)」 重複メッセージ:有効 (適用ルールは「1つ以上の条件が一致する場合」である必要があります) |
[Name]:SSN 条件を1つ追加: メッセージ本文または添付ファイル: スマートIDを含む:社会保障番号(SSN) アクションを1つ追加: 隔離: メッセージを検疫に送信:「SSNインバウンド(集中型)」 重複メッセージ:有効 |
[Name]:不適切 次の2つの条件を追加します。 メッセージ本文または添付ファイル: 辞書に用語が含まれています:下品 辞書に用語が含まれています:性的_内容 アクションを1つ追加: 隔離: メッセージを検疫に送信:「不適切なインバウンド(集中型)」 重複メッセージ:有効 |
[Name]:URL_Category 条件を1つ追加: URLカテゴリ: カテゴリの選択: 大人、デート、フィルター回避、フリーウェアとシェアウェア、ギャンブル、 ゲーム,ハッキング,ランジェリーと水着,性的でないヌード, パークされたドメイン、ピアファイル転送、ポルノ アクションを1つ追加: 隔離: メッセージを検疫に送信:「URL Category Inbound(集中型)」 重複メッセージ:有効 (注:このコンテンツフィルタでは、[セキュリティサービス]—> [URLフィルタリング]を有効にする必要があります) |
[Name]:URL_Malicious 条件を1つ追加: URLレピュテーション: URLレピュテーション:悪意のある(-10.0 ~ -6.0) アクションを1つ追加: 隔離: メッセージを検疫に送信:「URL Malicious Inbound(集中型)」 重複メッセージ:無効(****元の隔離****) |
[Name]:Password_Protected 条件を1つ追加: プロテクトされている添付ファイル:1つ以上の添付ファイルが保護されています アクションを1つ追加: 隔離: メッセージを検疫に送信:「Pwd Protected Inbound(集中型)」 重複メッセージ:有効 |
[Name]:サイズ_10M 条件を1つ追加: メッセージサイズ: 以上:1,000 万 アクションを1つ追加: メッセージタグの追加: [Term:NOOP (注:何らかのアクションが必要なので、ここではメッセージを「タグ付け」して操作を行いません。コンテンツフィルタが「一致」していたという事実により、レポートに表示できます。レポートに表示する「アクション」は必要ありません)。 |
[Name]:SPF_Hard_Fail 条件を1つ追加: SPF検証:「is」失敗 アクションを1つ追加: 隔離: メッセージを検疫に送信:「SPFハード障害(集中型)」 重複メッセージ:有効 (注:「is Fail」はハードSPF障害であり、ドメインの所有者から、SPFレコードにリストされていない送信者から受信したすべての電子メールをドロップするように指示されたことを意味します。最初は、「重複メッセージ」を使用し、元のメッセージを隔離する前に1週間か2週間の障害を確認することをお勧めします(重複メッセージをオフにします)。 |
[Name]:SPF_Soft_Fail 条件を1つ追加: SPF検証:「is」ソフトフェイル アクションを1つ追加: 隔離: メッセージを検疫に送信:「SPFソフト障害(集中型)」 重複メッセージ:有効 |
[Name]:DKIM_Hardfail_Copy 条件を1つ追加: DKIM認証:ハードフェイル 次の2つのアクションを追加します。 ヘッダーの追加/編集: ヘッダー名:Subject [Prepend to the Value of Existing Header]をクリックし、次のように入力します。[コピー – リリースしない]" 隔離: メッセージを検疫に送信:「DKIMハード障害(集中型)」 重複メッセージ:有効 (注:メッセージのコピーを最初に検疫します)。 |
[Name]:DKIM_Hardfail_Original 条件を1つ追加: DKIM認証:ハードフェイル アクションを1つ追加: 隔離: メッセージを検疫に送信:「DKIMハード障害(集中型)」 重複メッセージ:Disabled (注:PayPalドメインとeBayドメイン用に別の受信メールポリシー行を作成し、DKIM検証に合格する必要があることが分かっているドメインに対してこのコンテンツフィルタを使用します)。 |
[Name]:Spoof_SPF_Failures [One Condition]を追加しますが、[SOFTFAIL]と[Hardfail]の両方がオンになっています。 SPF検証:「is」ソフトフェイルと「Fail」をクリック (したがって、[Softfail]と[Fail]の2つのチェックボックスをクリックしました)。 アクションを1つ追加: 隔離: メッセージを検疫に送信:「SpoofMail(集中型)」 重複メッセージ:Enable (注:このコンテンツフィルタを使用して、自分のドメイン(スプーフィング)から送信する電子メールの着信に対するアクションを実行します。コピーを検疫するアクションセットから開始し、SpoofMail検疫を数週間確認した後、SPF TXT DNSレコードを変更してすべての正当な送信者を追加できます。また、ある時点で、重複メッセージチェックボックスを無効にして元のコンテンツフィルタを検疫できます)。 |
例として、送信する前にBank_Dataコンテンツフィルタが次のようになります。
すべての着信コンテンツフィルタを作成した後、テーブルは次のようになります。
「ポリシー」機能が選択され(中央のポリシーハイパーテキストが表示されます)、中央の列には、コンテンツフィルタが適用された受信メールポリシーが表示されます。どの着信メールポリシーにも適用されていないため、「Not in use」と表示されます。
これら2つのトピックには、DKIM検証とSPF検証を利用するコンテンツフィルタが含まれます。したがって、まず、DKIMとSPFの両方の検証が有効になっていることを確認する必要があります。
1.メールフローポリシー内でDKIMとSPFの検証を有効にする
ESAがExchangeメールサーバから送信を受け取った電子メールのDKIMまたはSPF検証を実行しないようにします。ほとんどの設定では、「RELAYED」メールフローポリシーは、リレーの動作を持つ唯一の行です。
2. eBayおよびPaypalの新しい着信メールフローポリシーを作成します
eBayおよびPaypalから受信したインバウンド電子メールは、常にDKIM検証に合格する必要があります。したがって、これらのドメインからの電子メールにDKIM_Hardfail_Original Incoming Content Filterを使用する別の着信メールポリシーを作成します。
次の設定パネルでは、この新しい着信メールポリシーに一致するメッセージを定義できます。ここでは、[Sender](設定パネルの左側)の基準だけを定義します。
3.ドメインの新しい受信メールフローポリシーの作成(スプーフィング保護)
このセクションの手順では、自分のドメインの[From]電子メールアドレスを持ち、SPFの検証に失敗している受信メールに対してアクションを実行できます。もちろん、これはDNSでSPFテキストレコードをすでに公開している場合に依存します。ドメインのSPFテキストリソースレコードを作成または公開していない場合は、これらの手順をスキップします。
次の設定パネルでは、この新しい[受信メールポリシー(Incoming Mail Policy)]行に一致するメッセージを定義できます。[Sender](設定パネルの左側)の条件だけを定義します。
[受信メールポリシー(Incoming Mail Policies)]テーブルが再度表示されますが、[デフォルトポリシー(Default Policy)]の上に2番目の新しい[メールポリシー(Mail Policy)]行があります。
[受信メールポリシー]テーブルは次のようになります。
これらの発信コンテンツフィルタの作成 |
[Name]:Bank_Data 次の2つの条件を追加します。 メッセージ本文または添付ファイル: スマートIDを含む:ABAルーティング番号 スマートIDを含む:クレジットカード番号 アクションを1つ追加: 隔離: メッセージを検疫に送信:「Bank Data Outbound(集中型)」 重複メッセージ:有効 (適用ルールは「1つ以上の条件が一致する場合」である必要があります) |
[Name]:SSN 条件を1つ追加: メッセージ本文または添付ファイル: スマートIDを含む:社会保障番号(SSN) アクションを1つ追加: 隔離: メッセージを検疫に送信:「SSNアウトバウンド(集中型)」 重複メッセージ: 有効 |
[Name]:不適切 次の2つの条件を追加します。 メッセージ本文または添付ファイル: 辞書に用語が含まれています:下品 辞書に用語が含まれています:性的_内容 アクションを1つ追加: 隔離: メッセージを検疫に送信:「不適切なアウトバウンド(集中型)」 重複メッセージ:有効 |
[Name]:URL_Category 条件を1つ追加: URLカテゴリ: カテゴリの選択: 大人、デート、フィルター回避、フリーウェアとシェアウェア、ギャンブル、 ゲーム,ハッキング,ランジェリーと水着,性的でないヌード, パークされたドメイン、ピアファイル転送、ポルノ アクションを1つ追加: 隔離: メッセージを検疫に送信:「URL Category Outbound(集中型)」 重複メッセージ:有効 |
[Name]:URL_Malicious 条件を1つ追加: URLレピュテーション: URLレピュテーション:悪意のある(-10.0 ~ -6.0) アクションを1つ追加: 隔離: メッセージを検疫に送信:「URL Malicious Outbound(集中型)」 重複メッセージ:無効(****元の隔離****) |
[Name]:Password_Protected 条件を1つ追加: プロテクトされている添付ファイル:1つ以上の添付ファイルが保護されています アクションを1つ追加: 隔離: メッセージを検疫に送信:「Pwd Protected Outbound(集中型)」 重複メッセージ:有効 |
[Name]:サイズ_10M 条件を1つ追加: メッセージサイズ: 以上:1,000 万 アクションを1つ追加: メッセージタグの追加: [Term:NOOP (注:何らかのアクションが必要なので、ここではメッセージを「タグ付け」して操作を行いません。コンテンツフィルタが「一致」していたという事実により、レポートに表示できます。レポートに表示する「アクション」は必要ありません)。 |
[Name]:独自 条件を1つ追加: メッセージ本文または添付ファイル: 辞書に用語が含まれています:独自 アクションを1つ追加: 隔離: メッセージを検疫に送信:「独自(中央集中型)」 重複メッセージ:有効 |
[Policies]機能が選択されている(中央の[Policies]ハイパーテキストが表示される)ため、中央の列にコンテンツフィルタが適用されている発信メールポリシーが表示されます。送信メールポリシーに適用されていないため、[Not in use]が表示されます。
これで、着信および発信コンテンツフィルタの初期ベストプラクティスが実装されました。ほとんどの(すべてではない)コンテンツフィルタは、検疫アクションを使用し、[重複メッセージ]オプションをチェック(有効)します。このオプションは、元の電子メールのコピーのみを配置し、電子メールの配信を妨げませんでした。これらのコンテンツフィルタの目的は、インバウンドとアウトバウンドを企業に流れる電子メールのタイプに関する情報を収集できるようにすることです。
ただし、コンテンツフィルタレポートを実行し、隔離に保存された電子メールコピーを調べた後、[重複メッセージ]チェックボックスをオフにして、コピー/複製ではなく元の電子メールを隔離に配置することを推奨します。