多个服务标记时ESA/CES隔离订单

下载选项

  • PDF     (504.2 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (250.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (189.1 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2020 年 6 月 23 日
文档 ID:214588

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍思科邮件安全设备(ESA)和云邮件安全(CES)设备在邮件被多个用于隔离的服务标记以及邮件流经邮件管道其余部分时的行为。

    先决条件

    要求

    本文档没有任何特定的要求。

    使用的组件

    本文档中的信息基于带有AsyncOS 12.1.0版本的Cisco ESA

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    流经思科ESA和CES设备进行过滤的邮件遵循邮件工作队列管道。该管道是静态的,如果定义了多个服务中的多个操作来标记隔离区的邮件,则它不会按照管道遵循该顺序;相反,ESA/CES会按照自己的顺序隔离该管道。

    注意:标记为操作设置为(最终操作)的邮件将立即优先并退出工作队列处理。

    当邮件被多个服务标记为要进行隔离时,会发生什么情况?

    首先将该邮件优先列入策略病毒爆发(PVO)隔离区。由于PVO会列出电子邮件所在的所有其他隔离区,因此没有指定其进入策略隔离区的顺序。从一个PVO隔离区放行邮件后,邮件会保存在要标记的任何相应隔离区中。

    在释放电子邮件后(手动或通过设置为释放默认操作的计时器),这些电子邮件然后进入垃圾邮件隔离区。从垃圾邮件隔离区放行邮件时,邮件将传入邮件队列,然后进行最终发送。

    注意:从一个PVO隔离区删除的邮件将从其保留的所有后续隔离区中删除该邮件。

    • 防病毒、高级恶意软件防护和灰色邮件引擎会重新扫描从策略和病毒隔离区放行的邮件。
    • 从爆发隔离区放行的邮件由反垃圾邮件、防病毒和AMP引擎重新扫描。
    • 从文件分析隔离区放行的邮件会被重新扫描威胁。
    • 从策略、病毒和爆发隔离区放行后,文件信誉服务会重新扫描带附件的邮件。

    通过ESA完成过滤的初始邮件注入。在此输出中,您会看到垃圾邮件隔离区、病毒隔离区和策略隔离区都标记了它:

    Thu Jun 27 12:51:03 2019 Info: Start MID 378951 ICID 391696
    Thu Jun 27 12:51:03 2019 Info: MID 378951 ICID 391696 From: <matt@lee2.com>
    Thu Jun 27 12:51:10 2019 Info: MID 378951 ICID 391696 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:51:14 2019 Info: MID 378951 Subject 'Test email with AV EICAR and other triggers'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 ready 3292 bytes from <matt@lee2.com>
    Thu Jun 27 12:51:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim verdict using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: MID 378951 using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:51:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:51:15 2019 Info: MID 378951 attachment 'testAV.txt'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 URL https://ihaveabadreputation.com has reputation -9.3 matched Condition: URL Reputation Rule
    Thu Jun 27 12:51:15 2019 Info: MID 378951 Custom Log Entry:  - Match whole word filter
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Policy" (content filter:contnet_quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Virus" (a/v verdict:VIRAL)
    Thu Jun 27 12:51:15 2019 Info: Message finished MID 378951 done
    Thu Jun 27 12:51:15 2019 Info: ICID 391696 close

    在隔离区内调查后,会看到您标记的PVO隔离区中保留的邮件,以及它标记的任何其他隔离区。

    从此隔离区释放后,它会将此事件记录在mail_logs中,并且反映在其他隔离区中,此事件在其他隔离区中不再可用。

    Thu Jun 27 12:52:59 2019 Info: MID 378951 released from quarantine "Virus" (manual) t=104

    将其从保留的PVO隔离区放行,以便邮件随后可以传输到标记的垃圾邮件隔离区。

    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from quarantine "Policy" (manual) t=180
    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from all quarantines
    Thu Jun 27 12:54:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:54:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:54:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:54:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:54:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:54:15 2019 Info: MID 378951 queued for delivery
    Thu Jun 27 12:54:15 2019 Info: RPC Delivery start RCID 13914 MID 378951 to local IronPort Spam Quarantine
    Thu Jun 27 12:54:15 2019 Info: ISQ: Quarantined MID 378951
    Thu Jun 27 12:54:15 2019 Info: RPC Message done RCID 13914 MID 378951
    Thu Jun 27 12:54:15 2019 Info: Message finished MID 378951 done

    在垃圾邮件隔离区的最终版本中,该邮件的目的地是传送队列。

    Thu Jun 27 12:55:33 2019 Info: Start MID 378952 ICID 0 (ISQ Released Message)
    Thu Jun 27 12:55:33 2019 Info: ISQ: Reinjected MID 378951 as MID 378952
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 From: <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 Subject '[WARNING: MALWARE DETECTED][SPAM] Test email with AV EICAR'
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ready 9661 bytes from <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 queued for delivery

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    01-Jul-2019
    初始版本

    提供者

    • 马修·于恩
      思科高级服务

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品