여러 서비스에 의해 플래그가 지정된 경우 ESA/CES 격리 주문

소개

이 문서에서는 격리 대상 이메일에 여러 서비스가 플래그를 지정하고 나머지 이메일 파이프라인을 통한 이메일 흐름을 표시하는 경우 Cisco ESA(Email Security Appliance) 및 CES(Cloud Email Security) 디바이스의 동작을 설명합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 AsyncOS 12.1.0 버전의 Cisco ESA를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

필터링을 위해 Cisco ESA 및 CES 디바이스를 통해 전달되는 이메일은 이메일 작업 대기열 파이프라인을 따릅니다. 파이프라인은 정적이며, 격리용 이메일을 플래그 지정하기 위해 정의된 여러 서비스의 여러 작업이 있는 경우, 파이프라인에 따른 순서를 따르지 않고, 대신 ESA/CES가 자체 순서로 파이프라인을 격리합니다.

참고: (Final Action)으로 설정된 작업으로 플래그가 지정된 이메일이 즉시 우선 처리되며 작업 대기열 처리를 종료합니다.

격리를 위해 여러 서비스에서 플래그를 지정할 경우 이메일은 어떻게 됩니까?

이메일은 먼저 PVO(Policy Virus Outbreak) 격리에 우선 순위가 지정됩니다. PVO에 이메일이 보관된 다른 모든 격리가 나열되므로 어떤 정책 격리로 이동할지에 대한 특정 순서가 없습니다. 이메일은 PVO 쿼런틴 중 하나에서 릴리스되고 나면 해당 쿼런틴에서 플래그됩니다.

이메일을 릴리스한 후(수동으로 또는 기본 작업이 릴리스로 설정된 타이머를 통해) 이메일을 스팸 격리로 입력합니다. 이메일은 스팸 격리에서 릴리스되면 이후 최종 전달을 위해 전달 대기열로 전환됩니다.

참고: 하나의 PVO 격리에서 삭제된 이메일은 해당 격리에 있는 모든 후속 격리에서 해당 이메일도 제거됩니다.

• 정책 및 바이러스 격리에서 릴리스된 메시지는 안티바이러스, AMP(Advanced Malware Protection) 및 그레이메일 엔진에 의해 다시 검사됩니다.
• Outbreak 격리에서 릴리스된 메시지는 안티스팸, 안티바이러스 및 AMP 엔진에 의해 다시 검사됩니다.
• File Analysis(파일 분석) 격리에서 릴리스된 메시지는 위협에 대해 다시 검사됩니다.
• 첨부 파일이 있는 메시지는 Policy, Virus, Outbreak 격리에서 릴리스될 때 파일 평판 서비스에 의해 다시 검사됩니다.

ESA에서 필터링을 수행한 초기 이메일 삽입 이 출력에서는 스팸 격리, 바이러스 격리 및 정책 격리에 의해 플래그가 지정됩니다.

Thu Jun 27 12:51:03 2019 Info: Start MID 378951 ICID 391696
Thu Jun 27 12:51:03 2019 Info: MID 378951 ICID 391696 From: <matt@lee2.com>
Thu Jun 27 12:51:10 2019 Info: MID 378951 ICID 391696 RID 0 To: <matthewtestdomain@cisco.com>
Thu Jun 27 12:51:14 2019 Info: MID 378951 Subject 'Test email with AV EICAR and other triggers'
Thu Jun 27 12:51:15 2019 Info: MID 378951 ready 3292 bytes from <matt@lee2.com>
Thu Jun 27 12:51:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
Thu Jun 27 12:51:15 2019 Info: MID 378951 interim verdict using engine: CASE spam positive
Thu Jun 27 12:51:15 2019 Info: MID 378951 using engine: CASE spam positive
Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine
Thu Jun 27 12:51:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
Thu Jun 27 12:51:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
Thu Jun 27 12:51:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
Thu Jun 27 12:51:15 2019 Info: MID 378951 attachment 'testAV.txt'
Thu Jun 27 12:51:15 2019 Info: MID 378951 URL https://ihaveabadreputation.com has reputation -9.3 matched Condition: URL Reputation Rule
Thu Jun 27 12:51:15 2019 Info: MID 378951 Custom Log Entry:  - Match whole word filter
Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Policy" (content filter:contnet_quarantine)
Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Virus" (a/v verdict:VIRAL)
Thu Jun 27 12:51:15 2019 Info: Message finished MID 378951 done
Thu Jun 27 12:51:15 2019 Info: ICID 391696 close

격리에서 조사되면 표시한 PVO 격리에 저장된 이메일과 해당 이메일이 표시될 다른 격리가 표시됩니다.

이 격리에서 릴리스된 후 이 이벤트를 mail_logs에 기록하고 다른 격리에서 더 이상 사용할 수 없음을 다른 격리에 반영합니다.

Thu Jun 27 12:52:59 2019 Info: MID 378951 released from quarantine "Virus" (manual) t=104

PVO 격리에서 릴리스하고, 이 상태로 유지되면 이메일을 플래그가 지정된 스팸 격리로 이동할 수 있습니다.

Thu Jun 27 12:54:15 2019 Info: MID 378951 released from quarantine "Policy" (manual) t=180
Thu Jun 27 12:54:15 2019 Info: MID 378951 released from all quarantines
Thu Jun 27 12:54:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
Thu Jun 27 12:54:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
Thu Jun 27 12:54:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
Thu Jun 27 12:54:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
Thu Jun 27 12:54:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
Thu Jun 27 12:54:15 2019 Info: MID 378951 queued for delivery
Thu Jun 27 12:54:15 2019 Info: RPC Delivery start RCID 13914 MID 378951 to local IronPort Spam Quarantine
Thu Jun 27 12:54:15 2019 Info: ISQ: Quarantined MID 378951
Thu Jun 27 12:54:15 2019 Info: RPC Message done RCID 13914 MID 378951
Thu Jun 27 12:54:15 2019 Info: Message finished MID 378951 done

스팸 격리의 최종 릴리스에서는 이메일이 전달 대기열을 목적지로 합니다.

Thu Jun 27 12:55:33 2019 Info: Start MID 378952 ICID 0 (ISQ Released Message)
Thu Jun 27 12:55:33 2019 Info: ISQ: Reinjected MID 378951 as MID 378952
Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 From: <matt@lee2.com>
Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 RID 0 To: <matthewtestdomain@cisco.com>
Thu Jun 27 12:55:33 2019 Info: MID 378952 Subject '[WARNING: MALWARE DETECTED][SPAM] Test email with AV EICAR'
Thu Jun 27 12:55:33 2019 Info: MID 378952 ready 9661 bytes from <matt@lee2.com>
Thu Jun 27 12:55:33 2019 Info: MID 378952 queued for delivery

관련 정보

• Cisco Email Security Appliance − 엔드 유저 가이드
• 기술 지원 및 문서 − Cisco Systems