본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
Content Filters(콘텐츠 필터)를 사용하면 이메일의 복잡한 세부 정보를 검사하고 이메일에 대해 Action(작업 없음)을 수행할 수 있습니다.수신 또는 발신 콘텐츠 필터가 생성되면 수신 또는 발신 메일 정책에 적용합니다.이메일이 콘텐츠 필터와 일치하면 Cisco ESA(Email Security Appliance) 및 SMA(Security Management Appliance)의 "Content Filters" 보고서에서 콘텐츠 필터와 일치하는 모든 이메일을 볼 수 있습니다.따라서 아무 조치도 취하지 않더라도 조직에 들어오고 나가는 이메일 유형에 대한 중요한 정보를 확보하여 이메일 흐름을 "패턴"으로 설정할 수 있습니다.
다양한 콘텐츠 필터 "Conditions(조건)" 및 "Actions(작업)"가 있으므로 이 문서에서는 매우 일반적이며 권장되는 수신 및 발신 콘텐츠 필터를 단계별로 안내합니다.
1단계:필요한 사전 가져오기
이 문서에서는 일부 Best Practices Incoming 및 Outgoing Content Filters를 구현하는 데 필요한 단계를 제공합니다.작성하려는 콘텐츠 필터는 몇 개의 사전을 참조하므로 먼저 해당 사전을 가져와야 합니다.ESA는 사전과 함께 제공되며, 생성할 콘텐츠 필터에서 해당 사전을 참조하기 위해 해당 사전을 컨피그레이션으로 가져오기만 하면 됩니다.
2단계: 중앙 집중식 격리 생성
대부분의 콘텐츠 필터에서 "Action(작업)"을 설정하여 이메일(또는 이메일 사본)을 지정된 맞춤형(새로운) 격리로 격리합니다. 따라서 먼저 SMA에 이러한 격리를 생성해야 합니다. 이 문서에서는 ESA와 SMA 간에 중앙 집중식 PVO(정책, 바이러스 및 Outbreak) 격리를 활성화했다고 가정합니다.
3단계:수신 및 발신 콘텐츠 필터 생성 및 정책에 적용
사전을 가져오고 격리가 생성되면 인바운드 콘텐츠 필터를 생성하고 이를 수신 메일 정책에 적용한 다음 발신 콘텐츠 필터를 생성하여 발신 메일 정책에 적용합니다.
컨텐트 필터에서 참조할 사전 가져오기:
욕설:
성적 내용:
독점:
PVO 격리 - 수신 콘텐츠 필터에서 사용 |
|
URL 악성 인바운드: 이름:URL 악성 인바운드 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
SPF 하드 실패: 이름:SPF 하드 실패 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
URL 범주 인바운드: 이름:URL 범주 인바운드 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
SPF 소프트 실패: 이름:SPF 소프트 실패 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
은행 데이터 인바운드: 이름:은행 데이터 인바운드 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
스푸프메일: 이름:스푸프메일 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
SSN 인바운드: 이름:SSN 인바운드 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
DKIM 하드 실패: 이름:DKIM 하드 실패 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
부적절한 인바운드: 이름:부적절한 인바운드 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
암호로 보호된 인바운드: 이름:Pwd 보호 인바운드 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
PVO 격리 - 발신 콘텐츠 필터에서 사용 |
|
은행 데이터 아웃바운드: 이름:은행 데이터 아웃바운드 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
URL 악성 아웃바운드: 이름:URL 악성 아웃바운드 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
SSN 아웃바운드: 이름:SSN 아웃바운드 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
URL 범주 아웃바운드: 이름:URL 범주 아웃바운드 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
부적절한 아웃바운드: 이름:부적절한 아웃바운드 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
암호로 보호된 아웃바운드: 이름:Pwd 보호된 아웃바운드 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
독점 아웃바운드: 이름:독점 아웃바운드 보존 기간:14일 기본 작업:삭제 여유 공간:사용 |
사전을 가져오고 PVO 격리가 생성되면 이제 수신 콘텐츠 필터 생성을 시작할 수 있습니다.
수신 콘텐츠 필터 만들기 |
이름:은행_데이터 2가지 조건 추가: 메시지 본문 또는 첨부 파일: 스마트 식별자 포함:ABA 라우팅 번호 스마트 식별자 포함:신용 카드 번호 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"은행 데이터 인바운드(중앙 집중식)" 중복된 메시지:사용 (적용 규칙은 "하나 이상의 조건이 일치하는 경우"여야 합니다.) |
이름:SSN 조건 하나 추가: 메시지 본문 또는 첨부 파일: 스마트 식별자 포함:사회 보장 번호(SSN) 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"SSN 인바운드(중앙 집중식)" 중복된 메시지:사용 |
이름:부적절한 2가지 조건 추가: 메시지 본문 또는 첨부 파일: 사전에 용어 포함:욕설 사전에 용어 포함:성적_내용 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"부적절한 인바운드(중앙 집중식)" 중복된 메시지:사용 |
이름:URL_범주 조건 하나 추가: URL 범주: 범주 선택: 성인, 데이트, 필터 회피, 프리웨어 및 셰어웨어, 도박, 게임, 해킹, 란제리 그리고 수영복, 비성적인 나체, 파크된 도메인, 피어 파일 전송, 포르노그라피 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"URL 범주 인바운드(중앙 집중식)" 중복된 메시지:사용 (참고:이 콘텐츠 필터를 사용하려면 "보안 서비스"—> "URL 필터링"을 활성화해야 합니다. |
이름:URL_악성 조건 하나 추가: URL 평판: URL 평판:악성(-10.0 ~ -6.0) 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"URL 악성 인바운드(중앙 집중식)" 중복된 메시지:사용 안 함(**** 원본 격리 ***) |
이름:암호 보호 조건 하나 추가: 첨부 파일 보호:하나 이상의 첨부 파일이 보호됨 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"Pwd Protected Inbound(중앙 집중식)" 중복된 메시지:사용 |
이름:크기_10M 조건 하나 추가: 메시지 크기: 다음보다 크거나 같음:1,000만 하나의 작업 추가: 메시지 태그 추가: 용어 입력:NOOP (참고:어떤 작업이 있어야 하므로 여기서는 작업을 수행하지 않음을 나타내는 메시지를 "태그"로 지정합니다.콘텐츠 필터가 "Matched(일치)"인 경우 보고서에 표시될 수 있습니다.Reporting(보고)에 표시하려면 "작업"을 수행할 필요가 없습니다.) |
이름:SPF_Hard_Fail 조건 하나 추가: SPF 확인:"is" 실패 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"SPF Hard Fail(중앙 집중식)" 중복된 메시지:사용 (참고:"is fail"은 Hard SPF 오류이며, 도메인 소유자가 SPF 레코드에 나열되지 않은 발신자로부터 받은 모든 이메일을 삭제하도록 지시하고 있음을 의미합니다.처음에는 "Duplicate message(중복 메시지)"를 사용하고 원래 메시지를 격리하기 전에 1~2주 동안 오류를 검토하는 것이 좋습니다(예: 중복 메시지 끄기). |
이름:SPF_Soft_Fail 조건 하나 추가: SPF 확인:"is" 소프트페일 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"SPF Soft Fail(중앙 집중식)" 중복된 메시지:사용 |
이름:DKIM_Hardfail_Copy 조건 하나 추가: DKIM 인증:"is" 하드웨어 장애 두 가지 작업 추가: 헤더 추가/편집: 헤더 이름:제목 "Prepend to the Value of Existing Header"를 클릭하고 다음을 입력합니다.[복사 - 해제 안 함]" 쿼런틴: 쿼런틴으로 메시지 보내기:"DKIM Hard Fail(중앙 집중식)" 중복된 메시지:사용 (참고:처음에 메시지의 복사본을 격리합니다.) |
이름:DKIM_하드페일_원본 조건 하나 추가: DKIM 인증:"is" 하드웨어 장애 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"DKIM Hard Fail(중앙 집중식)" 중복된 메시지:사용 안 함 (참고:PayPal 및 eBay 도메인에 대한 또 다른 수신 메일 정책 행을 만들고 DKIM 확인을 통과해야 하는 도메인에 대해 이 콘텐츠 필터를 사용합니다.) |
이름:Spoof_SPF_Failures 하나의 조건을 추가하지만 SOFTFAIL 및 Hardfail이 모두 선택되어 있습니다. SPF 확인:"is" Softfail을 클릭하고 "Fail"을 클릭합니다. "Softfail"과 "Fail"을 클릭한 두 개의 확인란 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"SpoofMail(중앙 집중식)" 중복된 메시지:사용 (참고:이 콘텐츠 필터를 사용하여 자신의 도메인에서 보내는 것처럼 가장하는 수신 이메일의 스푸핑 작업을 수행합니다.먼저 사본을 격리하기 위한 작업 집합으로 시작하고 SpoofMail 격리를 2주 검토한 후 SPF TXT DNS 레코드를 수정하여 모든 합법적인 발신자를 추가할 수 있으며, 경우에 따라 중복 메시지 확인란을 비활성화하여 이 콘텐츠 필터를 변경하여 원본을 격리할 수 있습니다.) |
예를 들어, Bank_Data Content Filter는 제출하기 전에 다음과 같이 표시되어야 합니다.
모든 수신 컨텐트 필터를 만든 다음 테이블은 다음과 같습니다.
"Policies" 기능이 선택되었으므로(맨 위 중간에 Policies 하이퍼텍스트 표시) 중간 열에는 콘텐츠 필터가 적용된 수신 메일 정책이 표시됩니다.Incoming Mail Policy(수신 메일 정책)에 적용하지 않았으므로 "Not in use(사용 안 함)"가 표시됩니다.
이 두 주제에는 DKIM Verification 및 SPF Verification을 활용하는 콘텐츠 필터가 포함됩니다.따라서 먼저 DKIM 및 SPF Verification이 모두 활성화되었는지 확인해야 합니다.
1. 메일 플로우 정책에서 DKIM 및 SPF 확인을 활성화합니다.
아웃바운드 Exchange Mail Server에서 ESA로 수신되는 이메일에 대해 DKIM 또는 SPF 확인을 수행하지 않도록 ESA에서 합니다.대부분의 컨피그레이션에서는 "RELAYED" 메일 흐름 정책이 Behavior of Relay의 유일한 행입니다.
2. eBay 및 Paypal에 대한 새 수신 메일 플로우 정책 생성
eBay 및 Paypal에서 받은 인바운드 이메일은 항상 DKIM 확인을 통과해야 합니다.따라서 해당 도메인의 이메일에 DKIM_Hardfail_Original Inal Incoming Content Filter를 사용하도록 또 다른 수신 메일 정책을 생성합니다.
다음 컨피그레이션 패널에서는 이 새로운 수신 메일 정책과 매칭할 메시지를 정의할 수 있습니다.발신자(컨피그레이션 패널의 왼쪽 부분)의 기준만 정의하겠습니다.
3. 도메인에 대한 새 수신 메일 플로우 정책 생성(스푸핑 보호)
이 섹션의 단계를 통해 자신의 도메인의 발신 이메일 주소가 있고 SPF 확인에 실패한 수신 이메일에 대한 조치를 취할 수 있습니다.물론 이는 DNS에 SPF Text Record를 이미 게시한 것에 의존합니다.도메인에 대한 SPF 텍스트 리소스 레코드를 생성/게시하지 않은 경우 이 단계를 건너뜁니다.
다음 컨피그레이션 패널에서는 이 새 수신 메일 정책 행과 매칭할 메시지를 정의할 수 있습니다.발신자(컨피그레이션 패널의 왼쪽 부분)에 대한 기준만 정의할 수 있습니다.
Incoming Mail Policies(수신 메일 정책) 테이블이 다시 표시되지만 이제 Default Policy(기본 정책) 위에 두 번째 새 Mail Policy(메일 정책) 행이 있습니다.
Incoming Mail Policies(수신 메일 정책) 테이블은 다음과 같습니다.
이러한 발신 콘텐츠 필터 만들기 |
이름:은행_데이터 2가지 조건 추가: 메시지 본문 또는 첨부 파일: 스마트 식별자 포함:ABA 라우팅 번호 스마트 식별자 포함:신용 카드 번호 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"은행 데이터 아웃바운드(중앙 집중식)" 중복된 메시지:사용 (적용 규칙은 "하나 이상의 조건이 일치하는 경우"여야 합니다.) |
이름:SSN 조건 하나 추가: 메시지 본문 또는 첨부 파일: 스마트 식별자 포함:사회 보장 번호(SSN) 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"SSN 아웃바운드(중앙 집중식)" 중복된 메시지: 사용 |
이름:부적절한 2가지 조건 추가: 메시지 본문 또는 첨부 파일: 사전에 용어 포함:욕설 사전에 용어 포함:성적_내용 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"부적절한 아웃바운드(중앙 집중식)" 중복된 메시지:사용 |
이름:URL_범주 조건 하나 추가: URL 범주: 범주 선택: 성인, 데이트, 필터 회피, 프리웨어 및 셰어웨어, 도박, 게임, 해킹, 란제리 그리고 수영복, 비성적인 나체, 파크된 도메인, 피어 파일 전송, 포르노그라피 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"URL 범주 아웃바운드(중앙 집중식)" 중복된 메시지:사용 |
이름:URL_악성 조건 하나 추가: URL 평판: URL 평판:악성(-10.0 ~ -6.0) 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"URL 악성 아웃바운드(중앙 집중식)" 중복된 메시지:사용 안 함(**** 원본 격리 ***) |
이름:암호 보호 조건 하나 추가: 첨부 파일 보호:하나 이상의 첨부 파일이 보호됨 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"Pwd Protected Outbound(중앙 집중식)" 중복된 메시지:사용 |
이름:크기_10M 조건 하나 추가: 메시지 크기: 다음보다 크거나 같음:1,000만 하나의 작업 추가: 메시지 태그 추가: 용어 입력:NOOP (참고:어떤 작업이 있어야 하므로 여기서는 작업을 수행하지 않음을 나타내는 메시지를 "태그"로 지정합니다.콘텐츠 필터가 "Matched(일치)"인 경우 보고서에 표시될 수 있습니다.Reporting(보고)에 표시하려면 "작업"을 수행할 필요가 없습니다.) |
이름:독점적 조건 하나 추가: 메시지 본문 또는 첨부 파일: 사전에 용어 포함:독점적 하나의 작업 추가: 쿼런틴: 쿼런틴으로 메시지 보내기:"독점적(중앙 집중식)" 중복된 메시지:사용 |
"Policies(정책)" 기능이 선택되었으므로(맨 위 중간에 Policies(정책) 하이퍼텍스트가 표시됨) 중간 열에는 콘텐츠 필터가 적용된 발신 메일 정책이 표시됩니다.발송 메일 정책에 적용하지 않았으므로 "사용 안 함"이 표시됩니다.
이제 수신 및 발신 콘텐츠 필터에 대한 초기 모범 사례를 구현했습니다.대부분의(전부는 아님) 콘텐츠 필터는 격리 조치를 사용하고 "중복된 메시지" 옵션을 확인(활성화)하도록 선택했습니다. 이 옵션은 원본 이메일의 복사본만 배치하며 이메일이 전달되는 것을 막지 못했습니다.이러한 콘텐츠 필터의 목적은 인바운드와 아웃바운드로 이동하는 이메일 유형에 대한 정보를 수집할 수 있도록 하기 위한 것입니다.
Content Filters(콘텐츠 필터) 보고서를 실행하고 격리에 저장된 이메일 사본을 검토한 후 "Duplicate message(메시지 복제)" 확인란 옵션의 선택을 취소하여 복사/복제 대신 원본 이메일을 격리에 넣는 것이 바람직합니다.