簡介
本文檔介紹如何在思科郵件安全裝置(ESA)或雲郵件安全(CES)例項上建立白名單策略,以允許網路釣魚教育測試/活動。
必要條件
需求
思科建議您瞭解以下主題:
- 在WebUI上的Cisco ESA/CES上導航和配置規則。
- 在命令列介面(CLI)上的Cisco ESA/CES上建立消息過濾器。
- 網路釣魚活動/測試所用資源的知識。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
執行網路釣魚教育測試或行銷活動的管理員將生成電子郵件,其中包含的資訊將與反垃圾郵件和/或爆發過濾器規則集上的當前Talos規則相匹配。在這種情況下,網路釣魚活動電子郵件將不會到達終端使用者,並且由Cisco ESA/CES自身啟用,從而導致測試停止。管理員需要確保ESA/CES允許透過這些電子郵件執行活動/測試。
設定
警告:不允許思科在全球範圍內將網路釣魚模擬和教育供應商列入白名單。我們建議管理員使用網路釣魚模擬器服務(例如:PhishMe)獲取其IP,然後將其本地增加到白名單。思科必須保護我們的ESA/CES客戶不受這些IP的影響,以防他們易手或成為威脅。
注意:管理員在測試時應該僅將這些IP儲存在白名單中,如果外部IP在白名單中停留較長時間,則當這些IP受到威脅時,可能會向終端使用者傳送未經請求或惡意的電子郵件。
在思科郵件安全裝置(ESA)上,為您的網路釣魚模擬建立新的發件人組,並將其分配給$TRUSTED郵件流策略。這將允許向終端使用者傳送所有網路釣魚類比電子郵件。此新發件人組的成員不受速率限制,Cisco IronPort反垃圾郵件引擎不會掃描來自這些發件人的內容,但仍會掃描防病毒軟體。
注意:預設情況下,$TRUSTED郵件流策略啟用了防病毒功能,但關閉了防垃圾郵件功能。
建立發件人組
- 按一下Mail Policies頁籤。
- 在主機訪問表部分下,選擇HAT概述
- 在右邊,確定您的InboundMail偵聽程式目前已選取。
- 在下面的Sender Group列中,按一下Add Sender Group...,
- 填寫Name和Comment欄位。 在策略下拉選單中,選擇「$TRUSTED」,然後按一下提交並增加發件人>>。
- 在第一個欄位中輸入要列入白名單的IP或主機名。 您的網路釣魚模擬合作夥伴將向您提供發件人IP資訊。
完成增加條目後,按一下Submit按鈕。請記得按一下Commit Changes按鈕以儲存更改。
建立郵件過濾器
建立發件人組以允許繞過反垃圾郵件和防病毒後,需要郵件過濾器來跳過可能匹配網路釣魚活動/測試的其他安全引擎。
- 連線到ESA的CLI。
- 運行filters命令。
- 運行new 命令以建立新的消息過濾器。
- 複製並貼上下列篩選範例,視需要編輯您的實際寄件者群組名稱:
skip_amp_graymail_vof_for_phishing_campaigns:
if(sendergroup == "PHISHING_SIMULATION")
{
skip-ampcheck();
skip-marketingcheck();
skip-socialcheck();
skip-bulkcheck();
skip-vofcheck();
}
- 返回主CLI提示符並按Enter。
- 運行commit以儲存配置。
驗證
使用第三方資源傳送網路釣魚活動/測試並驗證郵件跟蹤日誌上的結果,以確保跳過所有引擎並傳送電子郵件。