De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft een diepgaande analyse van de gouden configuratie voor Cisco Secure Email Cloud Gateway.
Cisco raadt u aan deze onderwerpen te kennen:
De informatie in dit document is afkomstig van de gouden configuratie en de aanbevelingen voor beste praktijken voor klanten en beheerders van Cisco Secure Email Cloud.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Dit document is ook van toepassing met:
Quarantines worden geconfigureerd en onderhouden op de Email en Web Manager voor Cisco Secure Email Cloud-klanten. Meld u aan bij uw Email and Web Manager om de quarantaine te bekijken:
Waarschuwing: alle wijzigingen in de configuratie(s) op basis van de best practices zoals in dit document verstrekt, moeten worden beoordeeld en begrepen voordat u uw configuratiewijzigingen in uw productieomgeving doorvoert. Raadpleeg uw Cisco CX Engineer, Aangewezen Service Manager (DSM) of Accountteam voordat u de configuratie wijzigt.
De Gold Configuration voor klanten van Cisco Secure Email Cloud is de beste praktijk en configuratie op nul dagen voor zowel de Cloud Gateway als de Cisco Secure Email en Web Manager. Cisco Secure Email Cloud-implementaties maken gebruik van zowel een of meer cloudgateway(s) als ten minste één (1) e-mail en webbeheer. Onderdelen van de configuratie en best practices geven beheerders de opdracht om quarantaine(s) op de e-mail en Web Manager te gebruiken voor gecentraliseerde beheerdoeleinden.
E-mailbeleid > Toegangstabel voor ontvangers (RAT)
De Begunstigde Toegangstabel bepaalt welke ontvangers door een openbare luisteraar worden goedgekeurd. In de tabel wordt ten minste het adres en de acceptatie of afwijzing van het adres vermeld. Beoordeel de RAT om uw domeinen toe te voegen en te beheren zoals nodig.
Netwerk > SMTP-routers
Als de SMTP routebestemming Microsoft 365 is, raadpleeg dan Office365 Throttling CES New Instance met "4.7.500 Server bezig. Probeer het later opnieuw".
De vermelde services worden geconfigureerd voor alle klanten van Cisco Secure Email Cloud met de volgende waarden:
IronPort Anti-Spam (IPAS)
URL-filtering
Grijsdetectie
Uitbraakfilters
Advanced Malware Protection > Bestandsreputatie en -analyse
Berichttracering
Gebruikers (systeembeheer > gebruikers)
Logabonnementen (systeembeheer > logabonnementen)
Aanvullende diensten om te beoordelen en te overwegen
Systeembeheer > LDAP
URL-defensie
SPF
exists:%{i}.spf.<allocation>.iphmx.com
Opmerking: zorg ervoor dat de SPF-record eindigt met ~all of -all. Valideren van de SPF-records voor uw domeinen voor en na eventuele wijzigingen!
Aanvullende SPF-voorbeelden
v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all
v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all
v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all
Anti-Spoof Filter
Kop-filter toevoegen
addHeaders: if (sendergroup != "RELAYLIST")
{
insert-header("X-IronPort-RemoteIP", "$RemoteIP");
insert-header("X-IronPort-MID", "$MID");
insert-header("X-IronPort-Reputation", "$Reputation");
insert-header("X-IronPort-Listener", "$RecvListener");
insert-header("X-IronPort-SenderGroup", "$Group");
insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}
HAT - Overzicht > Aanvullende afzendergroepen
In de vooraf gedefinieerde groep SENDERS VAN DE VERDACHTE
Agressieve HAT-steekproef
Opmerking: De HAT-voorbeelden tonen bovendien geconfigureerd Mail Flow Policies (MFP). Raadpleeg voor volledige informatie over MFP "Understanding the Email Pipeline > Incoming/Receiving" in de Gebruikershandleiding voor de juiste versie van AsyncOS voor de Cisco Secure Email Gateway die u hebt geïmplementeerd.
Voorbeeld:
Standaard beleidsparameters
Beveiligingsinstellingen
Opmerking: DMARC vereist extra afstemming om te configureren. Raadpleeg voor meer informatie over DMARC "E-mailverificatie > DMARC-verificatie" in de gebruikershandleiding voor de juiste versie van AsyncOS voor de Cisco Secure Email Gateway die u hebt geïmplementeerd.
Default Policy is ingesteld op:
anti-spam
antivirus
AMP
Graymail
Contentfilters
Uitbraakfilters
Beleidsnamen (weergegeven)
Het beleid van de post van BLOCKLIST wordt gevormd met alle diensten gehandicapt, behalve Geavanceerde Bescherming Malware, en verbindingen aan een inhoudsfilter met de actie van QUARANTAINE.
Het beleid van de de postpost van allowLIST heeft Antispam, Graymail gehandicapt en de Filters van de Inhoud toegelaten voor URL_QUARANTAINE_MALICIOUS, URL_REWrite_suspICIOUS, URL_INFIT, DKIM_ERROR, SPF_HARDFAIL, Executive SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_limit, of inhoudsfilters van uw keus en configuratie.
Het allow_SPOOF mailbeleid heeft alle standaard services ingeschakeld, met Content Filters ingeschakeld voor URL_QUARANTAINE_MALICIOUS, URL_REWrite_suspICIOUS, URL_INFIT, SDR of content filters van uw keuze en configuratie.
Default Policy is ingesteld op:
anti-spam
antivirus
Advanced Malware Protection
Graymail
Contentfilters
Uitbraakfilters
DLP
Opmerking: voor extra informatie over contentfilters raadpleegt u "contentfilters" in de gebruikershandleiding voor de juiste versie van AsyncOS voor de Cisco Secure Email Gateway die u hebt geïmplementeerd.
URL_QUARANTAINE_KWAADAARDIG
Conditie: URL reputatie; url-reputatie(-10.00, -6.00, "bypass_urls", 1, 1)
Actie: Quarantaine: quarantaine("URL_MALICIOUS")
URL_HERSCHRIJVEN_ACHTERDOCHTIG
Conditie: URL reputatie; url-reputatie(-5.90, -5.60, "bypass_urls", 0, 1)
Actie: URL Reputation; url-reputation-proxy-redirect(-5.90, -5.60,"",0)
URL_ONJUIST
Voorwaarde: URL-categorie; url-categorie (['Adult', 'Child Abuse Content', 'Extreme', 'Hate Speech', 'Illegal Activities', 'Illegal Downloads', 'Illegal Drugs', 'Pornography', 'Filter Avoidance'], "bypass_urls", 1, 1)
Actie: Quarantaine; duplicaat-quarantaine("INPASSEND_CONTENT")
DKIM_FALEN
Voorwaarde: DKIM-verificatie; dkim-verificatie == hardfail
Actie: Quarantaine; duplicaat-quarantaine("DKIM_FAIL")
SPF_HARDFAIL
Voorwaarde: SPF-verificatie; spf-status == niet
Actie: Quarantaine; duplicate-quarantaine("SPF_HARDFAIL")
Executive_SPOOF
Conditie: Vervalste e-mail detectie; vervalste e-mail detectie("Executive_FED", 90, "")
Conditie: Andere kop; header ("X-IronPort-SenderGroup") != "(?i)allowspoof"
* instellen Regel toepassen: Alleen als alle voorwaarden overeenkomen
Actie: Kop toevoegen/bewerken; header-tekst bewerken("Onderwerp", "(.*)", "[EXTERN]\\1")
Actie: Quarantaine; duplicaat-quarantaine("FORGED_EMAIL")
DOMEIN_LEPEL
Voorwaarde: andere header; header("X-Spoof")
Actie: Quarantaine; duplicaat-quarantaine("ANTI_SPOOF")
SDR
Staat: Domeinreputatie; sdr-reputatie (['vreselijk'], "")
Staat: Domeinnaam; sdr-leeftijd ("dagen", <, 5, "")
* set Apply rule: Als een of meer voorwaarden overeenkomen
Actie: Quarantaine; duplicaat-quarantaine("SDR_DATA")
TG_TARIEF_LIMIET
Conditie: andere kop; header("X-TG-RATELIMINIT")
Actie: Loginvoer toevoegen; log-entry("X-TG-RATELIMINIT: $filenames")
BLOKLIJST_QUARANTAINE
Toestand: (geen)
Actie: Quarantaine; quarantaine("BLOKLIJST")
TG_UITGAAND_KWAADAARDIG
Voorwaarde: andere header; header("X-TG-OUTBOUND") == MALWARE
Actie: Quarantaine; quarantaine("TG_OUTBOUND_MALWARE")
Strip_Secret_Header
Voorwaarde: andere kop; header ("PLAATSAANDUIDING") == PLAATSAANDUIDING
Actie: Strip Header; strip-header("X-IronPort-Tenant")
EXTERN_AFZENDER_VERWIJDEREN
Toestand: (geen)
Actie: Kop toevoegen/bewerken; kop-kop-tekst bewerken ("Onderwerp", "\\[EXTERN\\]\\s?", "")
ACCOUNT_OVERNAME
Conditie: Andere kop; header ("X-AMP-Resultaat") == (?i)kwaadaardig
Staat: URL reputatie; url-reputatie(-10.00, -6.00, "", 1, 1)
*Stel Regel toepassen in: Als een of meer voorwaarden overeenkomen
Actie: Melden;melden ("<Insert admin of distro email address>", "MAY ACCOUNT TAKEOVER", "", "ACCOUNT_TAKEOVER_WARNING")
Actie: dubbel quarantaine("ACCOUNT_TAKEOVER")
Voor klanten van Cisco Secure Email Cloud hebben we voorbeelden van inhoudsfilters die zijn opgenomen in de gouden configuratie en aanbevelingen voor best practices. Bekijk daarnaast de "VOORBEELD_" filters voor meer informatie over de bijbehorende voorwaarden en acties die gunstig kunnen zijn voor uw configuratie.
Cisco Live presenteert wereldwijd vele sessies en biedt persoonlijke sessies en technische doorbraken die de best practices van Cisco Secure Email dekken. Voor eerdere sessies en toegang gaat u naar Cisco Live (hiervoor is CCO-aanmelding vereist):
Cisco e-mail security: beste praktijken en fijnafstemming - BRKSEC-2131
Als een sessie niet beschikbaar is, behoudt Cisco Live zich het recht voor om deze te verwijderen vanwege de leeftijd van de presentatie.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
3.0 |
31-Jul-2022 |
Update van de nieuwste Gold Configuration waarden, herformulering om te voldoen aan publicatiecriteria, update van links en referenties. |
1.0 |
15-May-2017 |
Eerste vrijgave |