el 09-18-2020 12:26 PM
-Este tipo de evento era formalmente conocido como Pregunte al Experto-
Este foro es la oportunidad perfecta para explorar las soluciones de Cisco Email Security Appliance (ESA). Las amenazas de correo electrónico continúan presentando desafíos de seguridad para todas las organizaciones. Cisco Email Security Appliance (ESA) es un gateway de seguridad de correo electrónico introducido por Cisco para proporcionar una solución a estos difíciles desafíos. Proteja su correo electrónico contra las vulnerabilidades y amenazas actuales, como: spam, phishing, correo electrónico comercial comprometido (BEC), malware, pérdida de datos y ransomware, así como la opción de cifrar su información más importante. y con la nueva normalidad, los datos se consideran el activo más importante de una empresa y una persona, por lo tanto, una amplia compresión del pipeline de la ESA nos proporcionará las habilidades y herramientas para saber cómo se procesa nuestro correo electrónico y cuáles son los mejores. prácticas de configuración.
Únase a Erika durante dos semanas y siga los consejos de nuestro especialista en TAC. Erika Valverde puede ayudarte a responder todas tus dudas sobre el tema. Para ir al foro, haga clic en el botón de acceso
Haga sus preguntas del 21 de Septiembre al 2 de Octubre del 2020.
Este evento esta abierto a todo público incluyendo socios de negocio, ingenieros en redes y telecomunicaciones, estudiantes y clientes de Cisco.
Visite nuestra categoría de Seguridad para más información del tema.
** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.
el 09-25-2020 09:29 PM
Hola Jean,
Durante todo el procesamiento de correo electrónico el correo está siendo analizado y verificado, desde la entrada de correo (inicio) hasta la salida del mismo (fin). Quisiera mostrar el procesamiento de correo electrónico en tres fases:
• Recibo: cuando el dispositivo se conecta a un host remoto para recibir correo electrónico entrante, se adhiere a los límites configurados y otras políticas de recibo. Por ejemplo, verificar que el anfitrión puede enviar correo a los usuarios, hacer cumplir los límites de mensajes y conexiones entrantes y validar el destinatario del mensaje.
• Cola de trabajo: el dispositivo procesa el correo entrante y saliente, realizando tareas como filtrado, escaneo de listas seguras / bloqueadas, escaneo anti-spam y antivirus, filtros de brotes y puesta en cuarentena.
• Entrega: a medida que el dispositivo se conecta para enviar correo electrónico saliente, se adhiere a las políticas y límites de entrega configurados.
De manera generalizada podríamos decir que la verificación es la siguiente:
IncomingEmail -> Reputation (SBRS/SDR/IPAS) -> HAT -> SPF/DKIM/DMARC -> RAT
Luego de acuerdo con la configuración de tu caja:
Message filters -> Anti-Spam -> Anti-Virus -> AMP -> Content Filters -> Outbreak Filters
Espero que esta información sea útil para ti. Te dejo un link donde se describe a detalle el pipeline del ESA.
el 09-25-2020 09:36 AM
Hola,
¿Qué recomendaría para detectar y rechazar / soltar mensajes con remitente de sobre y / o desde encabezado contiene dominio primo con homoglyph?
Muestra: midominio.com
Homoglyph: mydomain.com (xn--mdomain-v2a.com)
¿Es mejor detectarlo por filtro de mensajes o por filtro de contenido?
¿Debo usar un diccionario o el REGEX debe escribir directamente las condiciones?
Gracias Stefan
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Steflstefan. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 09-27-2020 03:03 PM
Hola Stefan,
La sugerencia sí es utilizar un message filter. De acuerdo al pipeline del ESA, la verificación ocurre antes que el resto de las verificaciones, tal como lo hemos mostrado:
Message filters -> Anti-Spam -> Anti-Virus -> AMP -> Content Filters -> Outbreak Filters
Tomando el ejemplo que mencionas:
Muestra: midominio.com
Homoglyph: mydomain.com (xn--mdomain-v2a.com)
Se puede configurar un message filter como se muestra a continuación:
if (mail-from == '(?i)(mydominio.com|mydomynio.com|mydomynyo.com|myd0minio.com|myd0mini0.com|myd0myny0.com)$' ) { notify('stefan@stefandomain.com'); drop(); }
El filtro nos indica, que cualquier match con alguno de los dominios primos mostrados arriba será notificado y descartado. La regex puede crecer de acuerdo al dominio y a las posibles coincidencias.
La información compartida y las pruebas realizadas se verificaron a partir de los dispositivos en un entorno de laboratorio específico, comenzando con una predeterminada. Si tu red está activa, asegúrate de comprender el impacto potencial de cualquier comando al realizar las pruebas.
Nuestra sugerencia siempre es mantener un control de cambios monitoreado. Espero que esta información sea útil. Te comparto el siguiente link donde puedes encontrar más información sobre Message filters:
Saludos
el 09-29-2020 07:12 AM
¿Cómo puedo controlar mi flujo de correo desde diferentes dominios e implementar diferentes acciones de seguridad en ellos?
Alain
Nota: Esta pregunta es una traducción de una publicación generada originalmente en francés por AlainDC010. Ha sido traducida por la Comunidad de Cisco para compartir la pregunta y la solución en diferentes idiomas.
el 09-30-2020 06:41 PM
Hola Alain,
El ESA tiene la posibilidad de configurar acciones de acuerdo a los correos tanto de entrada de correo como de salida. Hay dos puntos desde donde puedes tomar acciones de acuerdo al dominio que recibes o envías.
1. "Mail Flow Policies" - Desde aquí puedes indicar límites de flujo de correo, es decir conexiones permitidas por hora, detección de spam, verificación dkim y spf así como el uso de TLS. Después creas un sender group, y colocas dentro de él los dominios/IPs para ser validado de acuerdo a tu configuración.
2. "Incoming Mail Flow Policies" y "message filters" - El message filter es un punto de verificación justo antes de las Incoming mail flow policies, todo lo que coloques en un message filter, será verificado para todo tu universo de correos. Las Incoming Mail Flow Policies pueden ser configuradas para hacer match con senders, recipients o una combinación especifica entre ambas.
Por ejemplo:
user1@dominio1.coma user2@dominio2.com
Al hacer match con estas políticas, se pueden configurar diferentes acciones de seguridad en cada una de ellas, tales como activar o desactivar las herramientas como Anti-Spam, AntiVirus, entre otras mas o incluso poner configuraciones especificas de las herramientas de seguridad a como mejor convenga a las necesidades de tu organización.
Debajo podrás encontrar la documentación con una descripción más clara y amplia:
Saludos
el 09-29-2020 07:18 AM
¿Se ve afectado el flujo de correo al incrementar los valores predeterminados para archivos escaneados de más de 2 MB?
Nota: Esta pregunta es una traducción de un post originalmente generado en portugués por Didier M. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 09-30-2020 07:16 PM
Hola Didier,
Para responder esta pregunta es necesario tomar en cuenta los valores recomendados de cada herramienta.
En este caso en especifico, hablando de engines como AntiSpam y Outbreak filters, el valor recomendado de escaneo es de Maximo 2MB, dado que puede afectar el procesamiento de los mensajes por que estaría ocupando mas recursos del dispositivo al escanear mensajes más grandes. Para el caso de File reputation, archivos mayores a 50 MB podrán ser tratados como: unscannable.
Estos valores pueden cambiar y como he mencionado dependerá del flujo de correo que pase por el ESA y también del modelo de éste, tomando en cuenta estos parámetros, se puede incrementar un poco mas de los 2MB sin afectar el procesamiento de los mensajes, incluso hasta 10MB como valor de "never scan files larger than".
El valor sugerido es 2MB pero si las necesidades de tu organización requieren otra configuración, la recomendación es ir con cambios pequeños, manteniendo un control de cambios y monitoreo.
Te dejo un link con más información al respecto:
Existen más herramientas dentro del dispositivo pasando por toda la pipeline(filtros) de seguridad que nos ayudaran a prevenir cualquier amenaza. Te invito a consultar esta información dentro de la guía de configuración.
el 09-29-2020 05:01 PM
Hola Erika!
Tengo una duda, en cuanto al control de tráfico de correos, ¿Cual es la ventaja o desventaja de modificar el rate limit dentro de las políticas preconfiguradas como ACCEPT, THROTTLED, etc ?
Gracias!
el 09-30-2020 07:44 PM
Hola Jose,
Los valores configurados por default están propuestos con la finalidad de evitar ataques como Directory Harvest Attack, DoS, exceso de SPAM, entre otros. El rate limit te da el margen de cuánto trafico estás permitiendo pasar por cada mensaje que haga match con cierta política.
ESA> Mail Flow Policies > Mail policy (compartidas abajo): Rate Limit for Hosts
Existen 4 mail flow policies definidas por default en los listeners públicos
Cada una de ellas tiene configuraciones diferentes de rate limit de acuerdo con su nivel de confiabilidad. Si manipulas estos valores y cae en una "mala configuración" puedes comenzar a perder correos legítimos que deseas recibir y comenzar a ver logs como:
Rejected by receiving controls
Too many connections from your host (external)
Si por alguna razón, la configuración predeterminada no satisface las necesidades de tu organización, la recomendación es mantener un control de cambios, realizar cambios pequeños y monitorear tus dispositivos para personalizar esta configuración sin caer en resultados no esperados.
Espero que la información compartida sea útil. Para conocer más información al respecto, te comparto los siguientes enlaces:
Saludos,
el 10-01-2020 06:57 AM
Hola Erika,
Tengo una pregunta más:
¿Puedo recibir alertas cuando se envía un correo electrónico a cuarentena?
Nota: Esta pregunta es una traducción de un post originalmente generado en portugués por Olipo. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 10-01-2020 05:56 PM
Hola Olipo,
Sí, puedes notificar a las personas que tú desees cuando un correo es enviado a cuarentena. Una cuarentena muy particular y que tiene algunos valores predeterminados es la cuarentena de spam. Así que tendrás que verificar los settings de esta cuarentena independiente de las acciones que configures para el resto (PVO).
La cuarentena de spam te da la posibilidad de enviar notificaciones todos los días a la misma hora a todos los usuarios finales, así también, los usuarios finales pueden liberar los correos y personalizar su propia lista de correos de spam (SLBL). Por otro lado, para el resto de las cuarentenas personalizadas (PVO) podrás a través de los content filter decidir quiénes serán notificados. A diferencia de la cuarentena de spam, los usuario no podrán tener acceso a estos mensajes aunque sean notificados.
Espero que la información compartida sea útil. Te dejo los links de referencia para la configuración de cuarentenas.
Saludos,
el 10-01-2020 04:43 PM
Hola Erika, un par de preguntas...
Entiendo que Email Security protege mis buzones de todo correo que ingresa a ellos.
¿También inspecciona el correo que yo envío para evitar que por alguna situación yo envíe correo basura o incluso con algún malware o virus a otras organizaciones?
¿Puede CES proteger o inspeccionar el correo interno, es decir, el que se envían entre usuarios de la misma organización?
Saludos...
el 10-01-2020 06:12 PM
Hola Jaime,
Sí, el dispositivo ESA tiene la capacidad de inspeccionar el correo electrónico tanto de entrada como de salida a través de sus configuraciones de:
"Incoming mail policies"
"Outgoing mail policies"
En ambos puedes crear políticas personalizadas para ciertos usuarios o dominios y pasan por los motores de:
Anti-spam, Anti-Virus, AMP, Graymail, Content Filters, OutbreakFilters y en el caso de las políticas de salida, también cuentas con DLP para la protección de datos personales. En un correo de salida no es necesario activar todos los engines, la protección suele ser más robusta a la entrada y se sugiere utilizar y verificar TLS en tu comunicación, para cifrar la misma y protegerla entre dominios.
Respondiendo a tu segunda pregunta, de manera general CES y ESA, no están sugeridos para el manejo de tráfico interno. Estos dispositivos están pensados más como un equipo de borde que te ofrece robustez y protección con herramientas avanzadas que permiten proteger tu dominio de ataques externos.
Te comparto la guía con información más detallada sobre la configuración de políticas entrantes y salientes:
Saludos,
el 10-02-2020 07:03 AM
Hola Erika...
Una pregunta más
¿Qué es mejor? Licencias tradicionales frente a smart license?
el 10-05-2020 07:35 AM
Hola Didier,
Smart license está pensada para mejorar la experiencia del cliente durante su camino a través de los productos de Cisco. Busca simplificar las tareas de licenciamiento a través de un sistema centralizado y automatizado. Sin embargo, debemos tomar en cuenta para el dispositivo ESA que una vez que se realiza el cambio de licencia clásica a smart, no hay proceso de revert. También podemos incurrir en diferentes errores si no seguimos el proceso establecido para este cambio. Por lo que para aprovechar al máximo esta experiencia sugiero echar un vistazo a las guías e información existente antes de realizar el cambio a una licencia smart.
Te comparto un link con un video y una guía para realizar este cambio exitosamente.
https://www.youtube.com/watch?v=vNAjEFfGGSw
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad