Oi Stefan,

A sugestão é usar um filtro de mensagens. De acordo com o pipeline da ESA, a verificação ocorre antes do restante das verificações, como mostramos:

Filtros de mensagem -> Antispam -> Antivírus -> AMP -> Filtros de conteúdo -> Filtros de epidemia

Tomando o exemplo que você mencionou:

Amostra: mydomain.com

Homoglyph: mydomain.com (xn--mdomain-v2a.com)

Um filtro de mensagem pode ser configurado conforme mostrado abaixo:

if (mail-from == '(?i)(mydominio.com|mydomynio.com|mydomynyo.com|myd0minio.com|myd0mini0.com|myd0myny0.com)$' )
{
notify('stefan@stefandomain.com');
drop();
}

O filtro nos informa que qualquer correspondência com qualquer um dos domínios principais mostrados acima será notificada e descartada. A regex pode crescer de acordo com o domínio e possíveis correspondências.

As informações compartilhadas e os testes realizados foram verificados a partir dos dispositivos em um ambiente de laboratório específico, começando por um padrão. Se sua rede estiver ativa, certifique-se de compreender o impacto potencial de qualquer comando durante o teste.

Nossa sugestão é sempre manter um controle de mudanças monitorado. Espero que esta informação seja útil. Compartilho o seguinte link, onde você pode encontrar mais informações sobre os filtros de mensagens:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa11-1/user_guide/b_ESA_Admin_Guide_11_1/b_ESA_Admin_Guide_chapter_01000.html

Oi Alain,
O ESA tem a possibilidade de configurar ações de acordo com os emails de entrada e saída. Existem dois pontos de onde você pode realizar ações de acordo com o domínio que você recebe ou envia.

1. "Políticas de fluxo de correio" - Aqui você pode indicar os limites do fluxo de correio, ou seja, conexões permitidas por hora, detecção de spam, verificação dkim e spf, bem como o uso de TLS. Em seguida, você cria um grupo de remetentes e coloca os domínios / IPs dentro dele para serem validados de acordo com sua configuração.

2. "Políticas de fluxo de mensagens de entrada" e "filtros de mensagens" - O filtro de mensagens é um ponto de verificação antes das políticas de fluxo de mensagens de entrada. Tudo que você colocar em um filtro de mensagens será verificado para todo o seu universo de mensagens. As políticas de fluxo de mensagens recebidas podem ser configuradas para corresponder a remetentes, destinatários ou uma combinação específica de ambos.
Por exemplo:
usuario1@dominio1.com para usuario2@dominio2.com
Ao combinar com essas políticas, diferentes ações de segurança podem ser configuradas em cada uma delas, como ativar ou desativar ferramentas como Anti-Spam, AntiVírus, entre outras, ou mesmo definir configurações específicas das ferramentas de segurança da melhor maneira. atender às necessidades de sua organização.

Abaixo você pode encontrar a documentação com uma descrição mais clara e ampla:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_chapter_011.html#con_1166176

Atenciosamente,

Oi Didier,
Para responder a esta questão, é necessário levar em consideração os valores recomendados de cada ferramenta.
Nesse caso específico, por falar em mecanismos como filtros AntiSpam e Outbreak, o valor recomendado para verificação é de no máximo 2 MB, pois pode afetar o processamento de mensagens porque estaria ocupando mais recursos do dispositivo ao verificar mensagens maiores. No caso de reputação de arquivo, arquivos maiores que 50 MB podem ser tratados como: não verificáveis.
Esses valores podem mudar e como mencionei vai depender do fluxo de mail que passa pelo ESA e também do seu modelo, levando em consideração esses parâmetros, pode ser aumentado um pouco mais de 2MB sem afetar o processamento das mensagens, mesmo até 10 MB para o valor "nunca verificar arquivos maiores do que".

O valor sugerido é de 2 MB, mas caso as necessidades da sua organização exijam outra configuração, a recomendação é ir com pequenas alterações, acompanhando as alterações e monitorando.

Deixo-vos um link com mais informações sobre isso:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa13-5-1/user_guide/b_ESA_Admin_Guide_13-5-1/b_ESA_Admin_Guide_12_1_chapter_01110.html

Existem mais ferramentas dentro do dispositivo passando por todo o pipeline de segurança (filtros) que nos ajudarão a prevenir qualquer ameaça. Convido você a consultar essas informações no guia de configuração.

Olá Jose,

Os valores configurados por default são propostos de forma a evitar ataques como Directory Harvest Attack, DoS, excesso de SPAM, entre outros. O limite de taxa fornece a margem de quanto tráfego você está permitindo que passe por cada mensagem que corresponda a uma determinada política.

ESA> Mail Flow Policies > Mail policy (compartidas abajo): Rate Limit for Hosts

Existem 4 políticas de fluxo de email definidas por padrão nos ouvintes públicos

• ACCEPTED
• BLOCKED
• THROTTLED
• TRUSTED

Cada um deles tem diferentes configurações de limite de taxa de acordo com seu nível de confiabilidade. Se você manipular esses valores e cair em uma "configuração incorreta", poderá começar a perder e-mails legítimos que deseja receber e começar a ver registros como:

Rejected by receiving controls

Too many connections from your host (external)

Se por algum motivo a configuração padrão não atender às necessidades de sua organização, a recomendação é acompanhar as alterações, fazer pequenas alterações e monitorar seus dispositivos para customizar essas configurações sem cair em resultados inesperados.

Espero que as informações compartilhadas sejam úteis. Para saber mais sobre isso, compartilho os seguintes links:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa13-5-1/user_guide/b_ESA_Admin_Guide_13-5-1/b_ESA_Admin_Guide_12_1_chapter_0110.html

https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118177-technote-esa-00.html

Olá Olipo,

Sim, você pode notificar as pessoas que deseja quando um e-mail é enviado para a quarentena. Uma quarentena muito particular que possui alguns valores padrão é a quarentena de spam. Portanto, você terá que verificar as configurações desta quarentena independentemente das ações que você configurar para o resto (PVO).

A quarentena de spam oferece a capacidade de enviar notificações todos os dias, ao mesmo tempo, para todos os usuários finais, para que também possam liberar emails e personalizar sua própria lista de emails de spam (SLBL). Por outro lado, para o restante das quarentenas personalizadas (PVO), você poderá decidir quem será notificado por meio dos filtros de conteúdo. Ao contrário da quarentena de spam, os usuários não poderão acessar essas mensagens, mesmo se forem notificados.

Espero que as informações compartilhadas sejam úteis. Deixo os links de referência para a configuração da quarentena.

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_12_0_chapter_0100000.html#task_1483408

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_12_0_chapter_011111.html#con_1269393

Atenciosamente,

Oi Jamie,

Sim, o dispositivo ESA tem a capacidade de inspecionar os e-mails recebidos e enviados por meio de suas configurações de:

"Políticas de entrada de e-mail"

"Políticas de envio de correio"

Em ambos, você pode criar políticas personalizadas para determinados usuários ou domínios e eles passam pelos mecanismos de:

Anti-spam, Anti-Virus, AMP, Graymail, Filtros de Conteúdo, OutbreakFilters e no caso de políticas de saída, também contas com DLP para proteção de dados pessoais. Em um e-mail de saída não é necessário ativar todos os engines, a proteção costuma ser mais robusta na entrada e sugere-se usar e verificar o TLS na sua comunicação, para criptografá-lo e protegê-lo entre domínios.

Respondendo à sua segunda pergunta, geralmente CES e ESA não são sugeridos para lidar com o tráfego interno. Esses dispositivos são pensados ​​mais como uma equipe de ponta que oferece robustez e proteção com ferramentas avançadas que permitem proteger seu domínio de ataques externos.

Compartilho o guia com informações mais detalhadas sobre a configuração das políticas de entrada e saída:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_chapter_01001.html#con_1122590

Saudações,