在Cisco ESA上建立用於網路釣魚教育測試的白名單策略

簡介

本文檔介紹如何在思科郵件安全裝置(ESA)或雲郵件安全(CES)例項上建立白名單策略，以允許網路釣魚教育測試/活動。 

必要條件 

需求

思科建議您瞭解以下主題：

• 在WebUI上的Cisco ESA/CES上導航和配置規則。
• 在命令列介面(CLI)上的Cisco ESA/CES上建立消息過濾器。
• 網路釣魚活動/測試所用資源的知識。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

執行網路釣魚教育測試或行銷活動的管理員將生成電子郵件，其中包含的資訊將與反垃圾郵件和/或爆發過濾器規則集上的當前Talos規則相匹配。在這種情況下，網路釣魚活動電子郵件將不會到達終端使用者，並且由Cisco ESA/CES自身啟用，從而導致測試停止。管理員需要確保ESA/CES允許透過這些電子郵件執行活動/測試。

設定

警告：不允許思科在全球範圍內將網路釣魚模擬和教育供應商列入白名單。我們建議管理員使用網路釣魚模擬器服務（例如：PhishMe）獲取其IP，然後將其本地增加到白名單。思科必須保護我們的ESA/CES客戶不受這些IP的影響，以防他們易手或成為威脅。

注意：管理員在測試時應該僅將這些IP儲存在白名單中，如果外部IP在白名單中停留較長時間，則當這些IP受到威脅時，可能會向終端使用者傳送未經請求或惡意的電子郵件。

在思科郵件安全裝置(ESA)上，為您的網路釣魚模擬建立新的發件人組，並將其分配給$TRUSTED郵件流策略。這將允許向終端使用者傳送所有網路釣魚類比電子郵件。此新發件人組的成員不受速率限制，Cisco IronPort反垃圾郵件引擎不會掃描來自這些發件人的內容，但仍會掃描防病毒軟體。

注意：預設情況下，$TRUSTED郵件流策略啟用了防病毒功能，但關閉了防垃圾郵件功能。

建立發件人組

1. 按一下Mail Policies頁籤。
2. 在主機訪問表部分下，選擇HAT概述
   
3. 在右邊，確定您的InboundMail偵聽程式目前已選取。
4. 在下面的Sender Group列中，按一下Add Sender Group...，
5. 填寫Name和Comment欄位。  在策略下拉選單中，選擇「$TRUSTED」，然後按一下提交並增加發件人>>。
6. 在第一個欄位中輸入要列入白名單的IP或主機名。  您的網路釣魚模擬合作夥伴將向您提供發件人IP資訊。

  

              

完成增加條目後，按一下Submit按鈕。請記得按一下Commit Changes按鈕以儲存更改。

建立郵件過濾器

建立發件人組以允許繞過反垃圾郵件和防病毒後，需要郵件過濾器來跳過可能匹配網路釣魚活動/測試的其他安全引擎。

1. 連線到ESA的CLI。
2. 運行filters命令。
3. 運行new 命令以建立新的消息過濾器。
4. 複製並貼上下列篩選範例，視需要編輯您的實際寄件者群組名稱：

skip_amp_graymail_vof_for_phishing_campaigns:
if(sendergroup == "PHISHING_SIMULATION")
{
skip-ampcheck();
skip-marketingcheck();
skip-socialcheck();
skip-bulkcheck();
skip-vofcheck();
}

5. 返回主CLI提示符並按Enter。
6. 運行commit以儲存配置。

驗證

使用第三方資源傳送網路釣魚活動/測試並驗證郵件跟蹤日誌上的結果，以確保跳過所有引擎並傳送電子郵件。