Inleiding
In dit document wordt beschreven hoe u problemen kunt oplossen en de wachtrijen kunt corrigeren op de E-mail security applicatie (ESA) in het geval dat een interne gebruikersaccount is gecompromitteerd en wereldwijd ongevraagde e-mails is verstuurd.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op AsyncOS 7.6 en later voor ESA.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Problemen oplossen
Het is raadzaam de rekening die spam verstuurt, te vergrendelen indien deze bekend is, anders de rekening te vergrendelen zodra deze via het onderzoek van de ESA is ontdekt.
Werkwachtrijcontroles
Wanneer er een groot aantal e-mails in de werkwachtrij teller en het aantal e-mails dat het systeem binnenkomt veel hoger is dan het tarief dat het systeem verlaat, geeft dit aan dat er een impact is op de werkrij. U kunt de werkwachtrijopdracht gebruiken om de controle uit te voeren.
C370.lab> workqueue status
Status as of: Thu Feb 06 12:48:02 2014 GMT
Status: Operational
Messages: 48654
C370.lab> workqueue rate 5
Type Ctrl-C to return to the main prompt.
Time Pending In Out
12:48:04 48654 48 2
12:48:09 48700 31 0
De afzender of het onderwerp van e-mails in de werkvoorraad is bekend
Om de e-mails te verwijderen die gevolgen hebben voor de werkvoorraad, wordt het gebruik van een berichtfilter aanbevolen. Het gebruik van een berichtfilter zal de ESA in staat stellen om deze e-mails aan het begin van de werkrij in plaats van aan het einde te activeren om te helpen bij het verwijderen van de e-mails met een efficiënter interval.
Dit filter kan worden gebruikt om dit te bereiken:
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if (mail-from == 'abc@abc1.com')
{
drop();
}
.
OR
FilterName:
if (subject == "^SUBJECT NAME$")
{
drop();
}
.
Controle van leveringswachtrij
De opdracht tophosts toont de huidige beïnvloede hosts. In een live omgeving ziet u de ontvangende host (huidige actieve bezorgingswachtrij) worden beïnvloed door een groot aantal actieve ontvangers. Voor deze uitvoer is het voorbeeld impactedhost.wachtrij.
C370.lab> tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Thu Feb 06 12:52:17 2014 GMT
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1 impactedhost.queue 321550 50 440 75568 8984
2 the.euq.queue 0 0 0 0 0
3 the.euq.release.queue 0 0 0 0 0
Mocht de getroffen host een onbekend ontvangerdomein zijn waar verdere informatie vereist is voordat alle e-mails worden verwijderd, dan kunnen de opdrachten showontvangers, showmessage, en deleterontvangers worden gebruikt. De opdracht showontvangers toont de Message ID (MID), Berichtgrootte, Leveringspogingen, Afzender van envelop, Ontvanger(s) van Envelope en het onderwerp van de e-mail.
C370.lab> showrecipients
Please select how you would like to show messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 1
Please enter the hostname for the messages you wish to show.
> impactedhost.queue
In het geval dat de vermoedelijke MID in de leveringsrij legitiem lijkt, kunt u de opdracht showmessage gebruiken om de berichtbron weer te geven voordat u enige actie onderneemt.
C370.lab> showmessage
Enter the MID to show.
[]>
Zodra bevestigd als spam, om deze e-mails te verwijderen, ga verder en gebruik de deleterecipient opdracht. Het commando biedt drie opties voor het wissen van e-mail van de bezorgingswachtrij: Door Envelope Sender, Door Recipient Host, of Alle e-mails in de bezorgingswachtrij.
C370.lab> deleterecipients
Please select how you would like to delete messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 2
Please enter the Envelope From address for the messages you wish to delete.
[]>
Proactieve bewaking en actie
Op versie 9.0+ AsyncOS op de ESA, is een nieuwe voorwaarde van het berichtfilter genoemd de Regel van de Herhaling van de Kop beschikbaar.
Kop herhaalt regel
De regel Kop herhaalt evalueert tot waar als op een bepaald moment een bepaald aantal berichten:
- Met hetzelfde onderwerp worden gedetecteerd in het laatste uur.
- Van dezelfde envelop wordt de afzender gedetecteerd in het laatste uur.
- header-repeats(<target>, <drempel> [, <richting>])
Nadere informatie over deze aandoening is beschikbaar in de Online Help Guide van uw apparaat.
Log in op de CLI en implementeer het filter om deze controle en actie uit te voeren. Een voorbeeldfilter om e-mails te laten vallen of een beheerder op de hoogte te stellen nadat een drempelwaarde is bereikt.
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if header-repeats('mail-from',1000,'outgoing')
{
drop();
}
.
OR
FilterName:
if header-repeats('subject',1000,'outgoing')
{
notify('admin@xyz.com');
}
.
Gerelateerde informatie
Feedback