소개
이 문서에서는 중앙 집중식 정책, 바이러스 및 Outbreak 격리가 활성화된 경우 전달 및 연결 문제를 해결하는 방법에 대해 설명합니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- AsyncOS 8.1 이상이 포함된 ESA(Email Security Appliance)
- AsyncOS 8.0 이상이 포함된 SMA(Security Management Appliance)
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
PVO(Centralized Policy, Virus and Outbreak) 격리 기능은 ESA(AsyncOS 8.0)/8.1(SMA)에 도입되었습니다. 이 기능에는 추가 네트워크 연결 요구 사항이 있으며 트러블슈팅에 대한 몇 가지 새로운 문제가 있습니다.
커뮤니케이션 이해
- CPQ 통신은 SMTP를 사용하지만, 메타데이터 전송을 위한 몇 가지 추가 명령이 있음
- SMA는 Centralized Services(중앙 집중식 서비스) -> Policy, Virus, and Outbreak Quarantines(정책, 바이러스 및 Outbreak 격리)에 정의된 포트 및 인터페이스에서 연결을 수신합니다. 기본적으로 포트는 7025이지만 이는 관리자 사용자가 변경한 것일 수 있습니다.
- ESA는 Security Services(보안 서비스) -> Policy, Virus and Outbreak Quarantines(정책, 바이러스 및 Outbreak 격리)에 정의된 인터페이스와 포트에서 연결을 수신합니다. 다시 한 번 말하지만, 기본적으로 포트는 7025이지만 이는 관리자 사용자에 의해 변경되었을 수 있습니다!
- 또한 SMA는 SSH(명령 클라이언트를 통해)를 사용하여 ESA에서 컨피그레이션 정보를 가져옵니다. 특히 SMA가 릴리스된 이메일을 ESA에 전달할 때 사용됩니다. SMA는 SSH를 사용하여 ESA 구성을 쿼리하고 릴리스된 이메일을 전달할 인터페이스/포트를 결정합니다.
리스너
ESA에서 SMA로 전달되는 문제 해결
- ESA가 구성된 포트 및 인터페이스에서 SMA에 연결할 수 있는지 확인합니다. 텔넷을 사용하여 이 작업을 수행할 수 있습니다. 통신이 성공하면 220 배너를 받아야 합니다.
- ESA에는 'the.cpq.host'라는 대상 개체가 있습니다. 이 대상 개체는 SMA로 배달되기 위해 대기열에 있는 동안 메시지를 포함합니다. 'tophosts' 또는 Monitor -> Delivery Status를 사용하여 이를 볼 수 있습니다. 'hoststatus'는 함께 사용할 수 없지만 필요한 경우 'showrecipients' 및 'deleterecipients'를 사용할 수 있습니다.
SMA에서 ESA로 전달되는 문제 해결
- SMA가 구성된 포트 및 인터페이스의 ESA에 연결할 수 있는지 확인합니다. 텔넷을 사용할 수 있으며 성공하면 220 배너가 표시됩니다.
- 클러스터를 사용할 때 Security Services(보안 서비스) -> Policy, Virus and Outbreak Quarantines(정책, 바이러스 및 보안 침해 격리) 아래의 클러스터 레벨에서 정의된 인터페이스가 시스템 레벨의 모든 어플라이언스에 대해 존재해야 합니다. (Network(네트워크) -> IP Interfaces(IP 인터페이스)를 선택합니다.)
- SMA에는 릴리스된 메시지가 ESA로 전송되기 위해 대기열에 있는 동안 이를 포함하는 'the.cpq.release.host'라는 대상 개체가 있습니다. 'tophosts'를 사용하여 이를 확인할 수 있습니다. 'hoststatus' 또는 'showrecipients'에서 작동하지 않는 것 같습니다. 'deleterecipients'를 함께 테스트한 적이 없지만 이 역시 작동하지 않을 수 있습니다.
- SMA와 ESA 간의 SSH 통신에 문제가 있을 수도 있습니다. 이러한 문제는 CSCus29647과 같이 반드시 네트워크를 기반으로 하는 것은 아니며 SMA의 내부 구성 요소가 작동하지 않습니다. 이러한 문제는 일반적으로 메일 로그에 애플리케이션 결함으로 나타나며, 일반적으로 SMA를 재부팅하여 해결할 수 있습니다.
TLS/인증서
로그 파일
- SMA에 메일 로그 서브스크립션이 있는 경우(기본적으로 제공됨) 메일 로그를 검토하여 추가 정보를 수집할 수 있습니다.
- CPQ 수신 이벤트는 SMA에 격리되는 메시지와 ESA에 릴리스되는 메시지에 대해 이와 같습니다
New CPQ ICID 12345 interface Management (10.10.10.1) address 10.10.20.1 reverse dns host unknown verified no
- grep를 사용하여 이러한 이벤트를 검색할 수 있습니다. 예: grep "CPQ ICID" mail_logs
- ESA에서 쿼런틴을 수행하고 SMA에서 쿼런틴을 해제하는 CPQ 전송 이벤트는 사용자 지정 포트가 나열되고 일부 행에 '중앙 집중식 정책 쿼런틴'이 포함된다는 점을 제외하고는 다른 전송과 비슷합니다. 아래 예:
Fri Sep 13 15:08:02 2013 Info: New SMTP DCID 12345 interface 10.10.20.1 address 10.10.10.1 port 7025
Fri Sep 13 15:08:02 2013 Info: DCID 12345 TLS success protocol TLSv1 cipher RC4-SHA the.cpq.host
Fri Sep 13 15:08:02 2013 Info: Delivery start DCID 12345 MID 23456 to RID [0] to Centralized Policy Quarantine
Fri Sep 13 15:08:02 2013 Info: Message done DCID 12345 MID 23456 to RID [0] (centralized policy quarantine)
Fri Sep 13 15:08:07 2013 Info: DCID 12345 close
- grep를 사용하여 포트에 대한 검색을 수행하여 이러한 이벤트를 찾을 수 있습니다(예: grep "port 7025" mail_logs)
ESA 'Enable' 버튼 사용 안 함
ESA에서 PVO를 활성화하려고 시도할 때 모든 사전 요구 사항 컨피그레이션이 완료되었음에도 불구하고 'Enable' 버튼이 회색으로 표시될 수 있습니다. ESA는 PVO 페이지를 표시할 때 포트 7025를 통해 SMA와 통신하여 컨피그레이션을 활성화할 준비가 되었는지 확인합니다. 이 통신이 실패하면 '사용' 단추가 비활성화됩니다. ESA에서 "포트 7025"를 선택하여 ESA -> SMA 포트 7025 통신과 마찬가지로 이 문제를 해결할 수 있습니다. 자세한 내용은 관련 정보에 나열된 TechNote를 참조하십시오.
관련 정보