Salut Jean,

Pendant tout le traitement des e-mails, les courriers électroniques sont analysés et vérifiés, dès l'entrée de l'e-mail (début) jusqu'à la sortie de l'e-mail (fin). Je voudrais vous montrer ce qu'est le traitement en lui-même et qui se divise en trois phases:

• Réception - Lorsque l'appareil se connecte à un hôte distant pour recevoir des e-mails entrants, il respecte les limites configurées et les autres politiques de réception. Par exemple, vérifier que l'hôte peut envoyer du courrier aux utilisateurs, appliquer des limites aux messages entrants et aux connexions ou valider le destinataire du message.
• File d'attente de travail: l'appareil traite le courrier entrant et sortant, effectuant des tâches telles que le filtrage, l'analyse des listes sécurisées / bloquées, l'analyse anti-spam et antivirus, le filtrage des outbreaks et la mise en quarantaine.
• Livraison - Lorsque l'appareil se connecte pour envoyer des e-mails sortants, il respecte les politiques et limites de livraison configurées.

De manière généralisée, nous pourrions dire que le processus de vérification est le suivant:

IncomingEmail -> Réputation (SBRS / SDR / IPAS) -> HAT -> SPF / DKIM / DMARC -> RAT

Puis selon la configuration de votre box:

Filtres de messages -> Anti-Spam -> Anti-Virus -> AMP -> Filtres de contenu / Content Filters -> Filtres d'Outbreak

Comme référence supplémentaire, je vous laisse le lien où le pipeline de l'ESA est décrit en détail : 

• Pipeline de l'ESA esa/esa13-0/user_guide/b_ESA_Admin_Guide_13-0 en anglais

J'espère que ces informations vous seront utiles !

Meilleures salutations

Salut Stefan,

La suggestion est d'utiliser un filtre de messages. Selon le pipeline de l'ESA, la vérification a lieu avant le reste des vérifications, comme nous l'avons montré:

Filtres de messages -> Anti-Spam -> Anti-Virus -> AMP -> Filtres de contenu -> Filtres d'Outbreak

Prenons l'exemple que vous mentionnez:
Exemple: mydomain.com
Homoglyphe: mydomain.com (xn--mdomain-v2a.com)

Un filtre de messages peut être configuré comme indiqué ci-dessous:

if (mail-from == '(?i)(mydominio.com|mydomynio.com|mydomynyo.com|myd0minio.com|myd0mini0.com|myd0myny0.com)$' )
{
notify('stefan@stefandomain.com');
drop();
}

Le filtre nous indique que toute correspondance avec l'un des domaines principaux indiqués ci-dessus sera notifiée et rejetée. Le regex peut évoluer en fonction du domaine et des correspondances possibles.

Les informations partagées et les tests effectués ont été vérifiés à partir des périphériques dans un environnement de laboratoire spécifique, en commençant par un environnement par défaut. Si votre réseau est actif, assurez-vous de comprendre l'impact potentiel de toute commande lors du test.

Notre suggestion est de toujours garder un contrôle des changements surveillé.

Je partage le lien suivant où vous pouvez trouver plus d'informations sur les filtres de messages:

• Guide en anglais esa/esa11-1/user_guide/b_ESA_Admin_Guide_11_1 

J'espère que ces informations vous ont été utiles.

Meilleures salutations

Salut Alain,

L'ESA a la capacité de configurer des actions en fonction des e-mails entrants et sortants. Il existe deux points à partir desquels vous pouvez effectuer des actions en fonction du domaine que vous recevez ou envoyez.

1. «Politiques de flux de messagerie» (Mail Flow Policies) - De là, vous pouvez indiquer les limites de flux de messagerie, c'est-à-dire le nombre de connexions autorisées par heure, la détection de spam, la vérification dkim et spf ainsi que l'utilisation de TLS. Ensuite, vous créez un groupe d'expéditeurs et y placez les domaines / IPs à valider en fonction de votre configuration.
   
   
2. «Politiques de flux de messages entrants» (Incoming Mail Flow Policies) et «filtres de messages» - Le filtre de messages ou courrier est un point de contrôle juste avant les policies de flux de messages entrants. Tout ce que vous mettez dans un filtre de messages sera vérifié pour l'ensemble de votre univers de messagerie. Les politiques de flux de courrier entrant peuvent aussi être configurées pour correspondre aux expéditeurs, aux destinataires ou à une combinaison spécifique des deux.
   
   Par exemple:
   user1@domain1.com à user2@domain2.com
   Lors de la mise en correspondance avec ces politiques, différentes actions de sécurité peuvent être configurées dans chacune d'elles, telles que l'activation ou la désactivation d'outils tels que l'Anti-Spam, l'Antivirus, entre autres, ou même la définition de configurations spécifiques des outils de sécurité en fonction des besoins de votre société.

Vous trouverez ci-dessous la documentation avec une description plus claire et plus détaillée:

• security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0

Meilleures salutations

Salut,

Pour répondre à cette question, il est nécessaire de prendre en compte les valeurs recommandées de chaque outil.

Dans ce cas précis, en ce qui concerne les moteurs tels que les filtres Antispam et Outbreak, la valeur recommandée pour l'analyse est de 2 Mo maximum, car elle peut affecter le traitement des messages puisqu'elle occuperait plus de ressources de l'appareil lors de l'analyse de messages plus volumineux. Dans le cas de la réputation des fichiers (File reputation), les fichiers de plus de 50 Mo peuvent être traités comme "non analysables" (unscannable).

Ces valeurs peuvent changer et comme je l'ai mentionné cela dépendra du flux de messagerie qui passe par l'ESA et aussi de son modèle, en tenant compte de ces paramètres, il peut être augmenté d'un peu plus de 2 Mo sans affecter le traitement des messages, voire jusqu'à 10 Mo en tant que valeur à "ne jamais analyser les fichiers plus grands que".

La valeur suggérée est de 2 Mo, mais si les besoins de votre société nécessitent d'une autre configuration, il est recommandé de procéder à de petits changements, faisant un suivi des modifications en surveillance permanente.

Je vous laisse un lien avec plus de renseignements à ce sujet:

• security/esa/esa13-5-1/user_guide/b_ESA_Admin_Guide_13-5-1 

Il y a encore plus d'outils dans l'appareil qui traversent tout le pipeline de sécurité (filtres) et qui nous aideront à prévenir toute menace. Je vous invite à consulter toutes ces informations dans le guide de configuration.

Cordialement, Erika

Bonjour José,

Les valeurs configurées par défaut sont proposées afin d'éviter des attaques telles que de récolte de répertoire ou attaque d'annuaire (Directory Harvest Attack DHA), DoS, excès de SPAM, entre autres. La limite de débit vous donne la marge du trafic que vous autorisez à passer par chaque message et qui correspond à une certaine politique.

ESA > Mail Flow Policies > Mail policy (partagée ci-dessous): Limite de débit pour les hôtes

Il existe 4 politiques de flux de messagerie définies par défaut dans les écouteurs publics

• ACCEPTED
• BLOCKED
• THROTTLED
• TRUSTED

Chacune d'elles a des paramètres de limite de débit différents en fonction de leur niveau de fiabilité. Si vous manipulez ces valeurs et tombez dans une "mauvaise configuration", vous pouvez commencer à perdre les e-mails légitimes que vous souhaitez recevoir et commencer à voir des journaux tels que:

"Rejeté en recevant des contrôles"
"Trop de connexions de votre hôte" (externe)

Si, pour une raison quelconque, la configuration par défaut ne répond pas aux besoins de votre société, il est recommandé de faire un suivi ponctuel des changements, d'apporter de petites modifications au fur et à mesure, et de surveiller vos appareils pour personnaliser ces paramètres sans tomber dans des résultats "inattendus".

J'espère que les informations partagées sont utiles. Pour en savoir plus, je partage les liens suivants:

• security/esa/esa13-5-1/user_guide/b_ESA_Admin_Guide_13-5-1
• security/email-security-appliance/118177-technote-esa-00

Meilleures salutations

Salut Sandrine,

Oui. Dans la fonctionnalité "filtres de contenu", vous pouvez sélectionner les conditions qui correspondent au type de trafic e-mail que vous recevez. Vous pouvez prendre aussi des mesures pour les e-mails entrants et sortants, ainsi que pour les "types de fichiers" ou "extensions de fichiers" et configurer des fonctionnalités très spécifiques pour cibler des fichiers tels que : ".docx, .exe, zip, etc."

Je vous partage le lien du guide avec les spécificités et descriptifs concernant la configuration des filtres de contenu.

• security/esa/esa11-1/user_guide/b_ESA_Admin_Guide_11_1/b_ESA_Admin_Guide_chapter_01010

Meilleures salutations

Salut,

La licence intelligente vise à améliorer l'expérience client tout au long de son parcours avec les produits Cisco. Elle cherche à simplifier les tâches de licence grâce à un système centralisé et automatisé. Cependant, nous devons prendre en compte pour l'appareil ESA, qu'une fois le passage de la licence classique à la licence intelligente est effectué, il n'y a pas de marche en arrière.

Vous pouvez également retomber sur des erreurs si vous ne suivez pas correctement le processus établi pour effectuer ces changements, je suggère donc de consulter les guides et les informations existantes avant de passer à une licence intelligente.

Je partage avec vous un lien avec une vidéo et un guide pour réussir ce changements.

• Vidéo sur YouTube : Cisco Email Security Update: Smart Licensing
• Document : security/email-security-appliance/214614-smart-licensing-overview-and-best-practi.html

Meilleures salutations