cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Comunicados

Optimisez vos alertes

Optimisez vos alertes

596
Apresentações
10
Útil
31
Respostas
Highlighted
Community Manager

Ask Me Anything Fórum- O que é o Email Security Appliance?

Aqui é possível publicar novas perguntas sobre o tema em questão até sexta-feira, 02 de Outubro de 2020.
Seja bem-vindo ao fórum de “Perguntas e Respostas”!

Detalhes da Especialista

Photo_ervalver_100X140.pngErika Valverde estudou Comunicações e Eletrônica com especialização em Controle e Automação no Instituto Politécnico Nacional (IPN) da Cidade do México.Atualmente é engenheira da Cisco TAC. Trabalha com segurança há 3 anos e possui a certificação CCNP Security atual entre outros cursos relacionados como python, linux, virtualização, etc. Ela trabalha em iniciativas de automação, publicação de conteúdo, documentação e vídeos para tecnologia ESA. Entre outras coisas, ela é vice-presidente de relações públicas (RP) do Cisco Toastmasters Club. Ela gosta de jogar xadrez e encontra a alegria de trabalhar em equipe.

Encontre outros eventos em:https://community.cisco.com/t5/custom/page/page-id/Events?categoryId=comunidade-portugues.

** Incentivamos a participação com votos úteis! **
Certifique-se de classificar as respostas às perguntas

31 RESPOSTAS 31
Highlighted

Oi Jean,

Ao longo do processamento do email, o email está sendo analisado e verificado, desde a entrada do email (início) até a saída do email (final). Eu gostaria de mostrar o processamento de e-mail em três fases:

• Recebimento: quando o dispositivo se conecta a um host remoto para receber e-mails, ele segue os limites configurados e outras políticas de recebimento. Por exemplo, verifique se o host pode enviar mensagens aos usuários, impor limites às mensagens e conexões de entrada e validar o destinatário da mensagem.

• Fila de trabalho: o dispositivo processa e-mails recebidos e enviados, executando tarefas como filtragem, verificação de lista segura / bloqueada, verificação de anti-spam e antivírus, filtragem de epidemias e quarentena.

• Entrega: conforme o dispositivo se conecta para enviar e-mail de saída, ele segue os limites e políticas de entrega configurados.

De forma generalizada, podemos dizer que a verificação é a seguinte:

E-mail de entrada -> Reputação (SBRS / SDR / IPAS) -> HAT -> SPF / DKIM / DMARC -> RAT

Então de acordo com a configuração da sua caixa:

Filtros de mensagem -> Antispam -> Antivírus -> AMP -> Filtros de conteúdo -> Filtros de epidemia

Espero que esta informação seja útil para você. Deixo-vos um link onde o pipeline ESA é descrito em detalhes.

https://www.cisco.com/c/en/us/td/docs/security/esa/esa13-0/user_guide/b_ESA_Admin_Guide_13-0/b_ESA_Admin_Guide_12_1_chapter_011.html

Highlighted
Community Manager

Olá,

O que você recomendaria para detectar e rejeitar / descartar mensagens com remetente de envelope e / ou de cabeçalho contém domínio principal com homoglifo?
Amostra: mydomain.com

Homoglyph: mydomain.com (xn--mdomain-v2a.com)

É melhor detectá-lo por filtro de mensagem ou por filtro de conteúdo?
Devo usar um dicionário ou o REGEX tem que escrever diretamente as condições?

Obrigado Stefan

Nota: Esta questão é a tradução de uma postagem gerada originalmente em inglês por Steflstefan. Ele foi traduzido pela Cisco Community para compartilhar a pergunta e a solução em diferentes idiomas.

Highlighted

Oi Stefan,

A sugestão é usar um filtro de mensagens. De acordo com o pipeline da ESA, a verificação ocorre antes do restante das verificações, como mostramos:

Filtros de mensagem -> Antispam -> Antivírus -> AMP -> Filtros de conteúdo -> Filtros de epidemia

Tomando o exemplo que você mencionou:

Amostra: mydomain.com

Homoglyph: mydomain.com (xn--mdomain-v2a.com)

Um filtro de mensagem pode ser configurado conforme mostrado abaixo:

if (mail-from == '(?i)(mydominio.com|mydomynio.com|mydomynyo.com|myd0minio.com|myd0mini0.com|myd0myny0.com)$' )
{
notify('stefan@stefandomain.com');
drop();
}

O filtro nos informa que qualquer correspondência com qualquer um dos domínios principais mostrados acima será notificada e descartada. A regex pode crescer de acordo com o domínio e possíveis correspondências.

As informações compartilhadas e os testes realizados foram verificados a partir dos dispositivos em um ambiente de laboratório específico, começando por um padrão. Se sua rede estiver ativa, certifique-se de compreender o impacto potencial de qualquer comando durante o teste.

Nossa sugestão é sempre manter um controle de mudanças monitorado. Espero que esta informação seja útil. Compartilho o seguinte link, onde você pode encontrar mais informações sobre os filtros de mensagens:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa11-1/user_guide/b_ESA_Admin_Guide_11_1/b_ESA_Admin_Guide_chapter_01000.html

Highlighted
Community Manager

Como posso controlar meu fluxo de mensagens de diferentes domínios e implementar diferentes ações de segurança neles?

Alain

Nota: esta pergunta é a tradução de uma postagem gerada originalmente em francês por AlainDC010. Ela foi traduzida pela comunidade Cisco para compartilhar a pergunta e a solução em diferentes idiomas.

Highlighted

Oi Alain,
O ESA tem a possibilidade de configurar ações de acordo com os emails de entrada e saída. Existem dois pontos de onde você pode realizar ações de acordo com o domínio que você recebe ou envia.

1. "Políticas de fluxo de correio" - Aqui você pode indicar os limites do fluxo de correio, ou seja, conexões permitidas por hora, detecção de spam, verificação dkim e spf, bem como o uso de TLS. Em seguida, você cria um grupo de remetentes e coloca os domínios / IPs dentro dele para serem validados de acordo com sua configuração.

2. "Políticas de fluxo de mensagens de entrada" e "filtros de mensagens" - O filtro de mensagens é um ponto de verificação antes das políticas de fluxo de mensagens de entrada. Tudo que você colocar em um filtro de mensagens será verificado para todo o seu universo de mensagens. As políticas de fluxo de mensagens recebidas podem ser configuradas para corresponder a remetentes, destinatários ou uma combinação específica de ambos.
Por exemplo:
usuario1@dominio1.com para usuario2@dominio2.com
Ao combinar com essas políticas, diferentes ações de segurança podem ser configuradas em cada uma delas, como ativar ou desativar ferramentas como Anti-Spam, AntiVírus, entre outras, ou mesmo definir configurações específicas das ferramentas de segurança da melhor maneira. atender às necessidades de sua organização.

Abaixo você pode encontrar a documentação com uma descrição mais clara e ampla:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_chapter_011.html#con_1166176

 

Atenciosamente,

Highlighted
Beginner

O fluxo de mensagens é afetado pelo incremento dos valores padrão para arquivos de digitalização maiores que 2 MB?

Highlighted

Oi Didier,
Para responder a esta questão, é necessário levar em consideração os valores recomendados de cada ferramenta.
Nesse caso específico, por falar em mecanismos como filtros AntiSpam e Outbreak, o valor recomendado para verificação é de no máximo 2 MB, pois pode afetar o processamento de mensagens porque estaria ocupando mais recursos do dispositivo ao verificar mensagens maiores. No caso de reputação de arquivo, arquivos maiores que 50 MB podem ser tratados como: não verificáveis.
Esses valores podem mudar e como mencionei vai depender do fluxo de mail que passa pelo ESA e também do seu modelo, levando em consideração esses parâmetros, pode ser aumentado um pouco mais de 2MB sem afetar o processamento das mensagens, mesmo até 10 MB para o valor "nunca verificar arquivos maiores do que".

O valor sugerido é de 2 MB, mas caso as necessidades da sua organização exijam outra configuração, a recomendação é ir com pequenas alterações, acompanhando as alterações e monitorando.

Deixo-vos um link com mais informações sobre isso:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa13-5-1/user_guide/b_ESA_Admin_Guide_13-5-1/b_ESA_Admin_Guide_12_1_chapter_01110.html

Existem mais ferramentas dentro do dispositivo passando por todo o pipeline de segurança (filtros) que nos ajudarão a prevenir qualquer ameaça. Convido você a consultar essas informações no guia de configuração.

Highlighted
Community Manager

Oi Erika!

Tenho uma dúvida, em relação ao controle do tráfego de e-mail, qual a vantagem ou desvantagem de modificar o limite de taxa dentro das políticas pré-configuradas como ACCEPT, THROTTLED, etc ?

Obrigado!

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em espanhol por JoseAlvarado84102.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Highlighted

Olá Jose,

Os valores configurados por default são propostos de forma a evitar ataques como Directory Harvest Attack, DoS, excesso de SPAM, entre outros. O limite de taxa fornece a margem de quanto tráfego você está permitindo que passe por cada mensagem que corresponda a uma determinada política.

ESA> Mail Flow Policies > Mail policy (compartidas abajo): Rate Limit for Hosts

Existem 4 políticas de fluxo de email definidas por padrão nos ouvintes públicos

  • ACCEPTED
  • BLOCKED
  • THROTTLED
  • TRUSTED

Cada um deles tem diferentes configurações de limite de taxa de acordo com seu nível de confiabilidade. Se você manipular esses valores e cair em uma "configuração incorreta", poderá começar a perder e-mails legítimos que deseja receber e começar a ver registros como:

Rejected by receiving controls

Too many connections from your host (external)

Se por algum motivo a configuração padrão não atender às necessidades de sua organização, a recomendação é acompanhar as alterações, fazer pequenas alterações e monitorar seus dispositivos para customizar essas configurações sem cair em resultados inesperados.

Espero que as informações compartilhadas sejam úteis. Para saber mais sobre isso, compartilho os seguintes links:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa13-5-1/user_guide/b_ESA_Admin_Guide_13-5-1/b_ESA_Admin_Guide_12_1_chapter_0110.html

https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118177-technote-esa-00.html

Highlighted
Beginner

Olá Erika,

Tenho mais uma pergunta:

Posso receber alertas quando um e-mail for enviado para a quarentena?

Highlighted

Olá Olipo,

Sim, você pode notificar as pessoas que deseja quando um e-mail é enviado para a quarentena. Uma quarentena muito particular que possui alguns valores padrão é a quarentena de spam. Portanto, você terá que verificar as configurações desta quarentena independentemente das ações que você configurar para o resto (PVO).

A quarentena de spam oferece a capacidade de enviar notificações todos os dias, ao mesmo tempo, para todos os usuários finais, para que também possam liberar emails e personalizar sua própria lista de emails de spam (SLBL). Por outro lado, para o restante das quarentenas personalizadas (PVO), você poderá decidir quem será notificado por meio dos filtros de conteúdo. Ao contrário da quarentena de spam, os usuários não poderão acessar essas mensagens, mesmo se forem notificados.

Espero que as informações compartilhadas sejam úteis. Deixo os links de referência para a configuração da quarentena.

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_12_0_chapter_0100000.html#task_1483408

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_12_0_chapter_011111.html#con_1269393

Atenciosamente,

Highlighted
Community Manager

Oi Erika, algumas perguntas ...

 

Eu entendo que o Email Security protege minhas caixas de correio de todos os emails que entram nelas.

Você também inspeciona o e-mail que envio para evitar que, devido a alguma situação, eu envie spam ou mesmo algum malware ou vírus para outras organizações?


O CES pode proteger ou inspecionar correio interno, ou seja, correio enviado entre usuários na mesma organização?

 

Att,

 

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em espanhol por iasJaimeAl.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Highlighted

Oi Jamie,

Sim, o dispositivo ESA tem a capacidade de inspecionar os e-mails recebidos e enviados por meio de suas configurações de:

"Políticas de entrada de e-mail"

"Políticas de envio de correio"

Em ambos, você pode criar políticas personalizadas para determinados usuários ou domínios e eles passam pelos mecanismos de:

Anti-spam, Anti-Virus, AMP, Graymail, Filtros de Conteúdo, OutbreakFilters e no caso de políticas de saída, também contas com DLP para proteção de dados pessoais. Em um e-mail de saída não é necessário ativar todos os engines, a proteção costuma ser mais robusta na entrada e sugere-se usar e verificar o TLS na sua comunicação, para criptografá-lo e protegê-lo entre domínios.

Respondendo à sua segunda pergunta, geralmente CES e ESA não são sugeridos para lidar com o tráfego interno. Esses dispositivos são pensados ​​mais como uma equipe de ponta que oferece robustez e proteção com ferramentas avançadas que permitem proteger seu domínio de ataques externos.

Compartilho o guia com informações mais detalhadas sobre a configuração das políticas de entrada e saída:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_chapter_01001.html#con_1122590

Saudações,

Highlighted
Community Manager

Oi Erika ...

Mais uma pergunta

Que é melhor? Licenças tradicionais vs smart license?

Nota: Esta questão é a tradução de uma postagem gerada originalmente em espanhol por Didier M. Ele foi traduzido pela Cisco Community para compartilhar a pergunta e a solução em diferentes idiomas.

Highlighted

Oi Didier,

A licença inteligente tem como objetivo aprimorar a experiência do cliente em sua passagem pelos produtos Cisco. Visa simplificar as tarefas de licenciamento por meio de um sistema centralizado e automatizado. No entanto, devemos levar em consideração para o dispositivo ESA que uma vez feita a mudança da licença clássica para a licença inteligente, não há processo de reversão. Também podemos incorrer em erros diferentes se não seguirmos o processo estabelecido para esta alteração. Portanto, para obter o máximo dessa experiência, sugiro dar uma olhada nos guias e nas informações existentes antes de mudar para uma licença inteligente.

Compartilho um link com um vídeo e um guia para fazer essa mudança com sucesso.

https://www.youtube.com/watch?v=vNAjEFfGGSw

https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/214614-smart-licensing-overview-and-best-practi.html

 

CriarFaça o para criar o conteúdo
Content for Community-Ad
Community Helping Community

 Ask to Expert

Não foi possível apresentar este widget.