Hola Stefan,

La sugerencia sí es utilizar un message filter. De acuerdo al pipeline del ESA, la verificación ocurre antes que el resto de las verificaciones, tal como lo hemos mostrado:

Message filters -> Anti-Spam -> Anti-Virus -> AMP -> Content Filters -> Outbreak Filters

Tomando el ejemplo que mencionas:

Muestra: midominio.com

Homoglyph: mydomain.com (xn--mdomain-v2a.com)

Se puede configurar un message filter como se muestra a continuación:

if (mail-from == '(?i)(mydominio.com|mydomynio.com|mydomynyo.com|myd0minio.com|myd0mini0.com|myd0myny0.com)$' )
{
notify('stefan@stefandomain.com');
drop();
}

El filtro nos indica, que cualquier match con alguno de los dominios primos mostrados arriba será notificado y descartado. La regex puede crecer de acuerdo al dominio y a las posibles coincidencias. 

La información compartida y las pruebas realizadas se verificaron a partir de los dispositivos en un entorno de laboratorio específico, comenzando con una predeterminada. Si tu red está activa, asegúrate de comprender el impacto potencial de cualquier comando al realizar las pruebas. 

Nuestra sugerencia siempre es mantener un control de cambios monitoreado. Espero que esta información sea útil. Te comparto el siguiente link donde puedes encontrar más información sobre Message filters:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa11-1/user_guide/b_ESA_Admin_Guide_11_1/b_ESA_Admin_Guide_chapter_01000.html

Saludos

Hola Alain,
El ESA tiene la posibilidad de configurar acciones de acuerdo a los correos tanto de entrada de correo como de salida. Hay dos puntos desde donde puedes tomar acciones de acuerdo al dominio que recibes o envías. 

1. "Mail Flow Policies" - Desde aquí puedes indicar límites de flujo de correo, es decir conexiones permitidas por hora, detección de spam, verificación dkim y spf así como el uso de TLS. Después creas un sender group, y colocas dentro de él los dominios/IPs para ser validado de acuerdo a tu configuración.

2. "Incoming Mail Flow Policies" y "message filters" - El message filter es un punto de verificación justo antes de las Incoming mail flow policies, todo lo que coloques en un message filter, será verificado para todo tu universo de correos. Las Incoming Mail Flow Policies pueden ser configuradas para hacer match con senders, recipients o una combinación especifica entre ambas.
Por ejemplo:
user1@dominio1.coma user2@dominio2.com
Al hacer match con estas políticas, se pueden configurar diferentes acciones de seguridad en cada una de ellas, tales como activar o desactivar las herramientas como Anti-Spam, AntiVirus, entre otras mas o incluso poner configuraciones especificas de las herramientas de seguridad a como mejor convenga a las necesidades de tu organización. 

Debajo podrás encontrar la documentación con una descripción más clara y amplia:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_chapter_011.html#con_1166176

Saludos

Hola Didier,
Para responder esta pregunta es necesario tomar en cuenta los valores recomendados de cada herramienta.
En este caso en especifico, hablando de engines como AntiSpam y Outbreak filters, el valor recomendado de escaneo es de Maximo 2MB, dado que puede afectar el procesamiento de los mensajes por que estaría ocupando mas recursos del dispositivo al escanear mensajes más grandes. Para el caso de File reputation, archivos mayores a 50 MB podrán ser tratados como: unscannable.
Estos valores pueden cambiar y como he mencionado dependerá del flujo de correo que pase por el ESA y también del modelo de éste, tomando en cuenta estos parámetros, se puede incrementar un poco mas de los 2MB sin afectar el procesamiento de los mensajes, incluso hasta 10MB como valor de "never scan files larger than". 

El valor sugerido es 2MB pero si las necesidades de tu organización requieren otra configuración, la recomendación es ir con cambios pequeños, manteniendo un control de cambios y monitoreo. 

Te dejo un link con más información al respecto:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa13-5-1/user_guide/b_ESA_Admin_Guide_13-5-1/b_ESA_Admin_Guide_12_1_chapter_01110.html

Existen más herramientas dentro del dispositivo pasando por toda la pipeline(filtros) de seguridad que nos ayudaran a prevenir cualquier amenaza. Te invito a consultar esta información dentro de la guía de configuración. 

Hola Jose, 

Los valores configurados por default están propuestos con la finalidad de evitar ataques como Directory Harvest Attack, DoS, exceso de SPAM, entre otros. El rate limit te da el margen de cuánto trafico estás permitiendo pasar por cada mensaje que haga match con cierta política. 

ESA> Mail Flow Policies > Mail policy (compartidas abajo): Rate Limit for Hosts

Existen 4 mail flow policies definidas por default en los listeners públicos

• ACCEPTED
• BLOCKED
• THROTTLED
• TRUSTED

Cada una de ellas tiene configuraciones diferentes de rate limit de acuerdo con su nivel de confiabilidad. Si manipulas estos valores y cae en una "mala configuración" puedes comenzar a perder correos legítimos que deseas recibir y comenzar a ver logs como:

Rejected by receiving controls

Too many connections from your host (external)

Si por alguna razón, la configuración predeterminada no satisface las necesidades de tu organización, la recomendación es mantener un control de cambios, realizar cambios pequeños y monitorear tus dispositivos para personalizar esta configuración sin caer en resultados no esperados.

Espero que la información compartida sea útil. Para conocer más información al respecto, te comparto los siguientes enlaces:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa13-5-1/user_guide/b_ESA_Admin_Guide_13-5-1/b_ESA_Admin_Guide_12_1_chapter_0110.html

https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118177-technote-esa-00.html

Saludos,

Hola Olipo, 

Sí, puedes notificar a las personas que tú desees cuando un correo es enviado a cuarentena. Una cuarentena muy particular y que tiene algunos valores predeterminados es la cuarentena de spam. Así que tendrás que verificar los settings de esta cuarentena independiente de las acciones que configures para el resto (PVO). 

La cuarentena de spam te da la posibilidad de enviar notificaciones todos los días a la misma hora a todos los usuarios finales, así también, los usuarios finales pueden liberar los correos y personalizar su propia lista de correos de spam (SLBL). Por otro lado, para el resto de las cuarentenas personalizadas (PVO) podrás a través de los content filter decidir quiénes serán notificados. A diferencia de la cuarentena de spam, los usuario no podrán tener acceso a estos mensajes aunque sean notificados. 

Espero que la información compartida sea útil. Te dejo los links de referencia para la configuración de cuarentenas. 

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_12_0_chapter_0100000.html#task_1483408

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_12_0_chapter_011111.html#con_1269393

Saludos,

Hola Jaime, 

Sí, el dispositivo ESA tiene la capacidad de inspeccionar el correo electrónico tanto de entrada como de salida a través de sus configuraciones de:

"Incoming mail policies"

"Outgoing mail policies"

En ambos puedes crear políticas personalizadas para ciertos usuarios o dominios y pasan por los motores de:

Anti-spam, Anti-Virus, AMP, Graymail, Content Filters, OutbreakFilters y en el caso de las políticas de salida, también cuentas con DLP para la protección de datos personales. En un correo de salida no es necesario activar todos los engines, la protección suele ser más robusta a la entrada y se sugiere utilizar y verificar TLS en tu comunicación, para cifrar la misma y protegerla entre dominios. 

Respondiendo a tu segunda pregunta, de manera general CES y ESA, no están sugeridos para el manejo de tráfico interno. Estos dispositivos están pensados más como un equipo de borde que te ofrece robustez y protección con herramientas avanzadas que permiten proteger tu dominio de ataques externos. 

Te comparto la guía con información más detallada sobre la configuración de políticas entrantes y salientes:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_chapter_01001.html#con_1122590

Saludos,

Hola Didier, 

Smart license está pensada para mejorar la experiencia del cliente durante su camino a través de los productos de Cisco. Busca simplificar las tareas de licenciamiento a través de un sistema centralizado y automatizado. Sin embargo, debemos tomar en cuenta para el dispositivo ESA que una vez que se realiza el cambio de licencia clásica a smart, no hay proceso de revert. También podemos incurrir en diferentes errores si no seguimos el proceso establecido para este cambio. Por lo que para aprovechar al máximo esta experiencia sugiero echar un vistazo a las guías e información existente antes de realizar el cambio a una licencia smart.

Te comparto un link con un video y una guía para realizar este cambio exitosamente. 

https://www.youtube.com/watch?v=vNAjEFfGGSw

https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/214614-smart-licensing-overview-and-best-practi.html