annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
8997
Visites
5
Compliment
31
Réponses

Demandez-moi N'importe Quoi - Comprendre ce qu'est l'Email Security Appliance

Détails de notre expert

Photo_ervalver_100X140.pngErika Valverde a étudié Communications et l'Électronique avec une spécialisation en contrôle et automatisation à l'Institut Polytechnique National (IPN) du Mexique. Elle est ingénieur chez Cisco TAC en Sécurité depuis 3 ans et possède une Certification CCNP Security entre autres études connexes tels que Python, Linux, la virtualisation, etc. Elle collabore aussi en Automatisation, sur la publication de contenus,  la documentation et les initiatives vidéo pour la technologie ESA. Entre autres, elle est la vice-présidente des Relations Publiques (PR) du Club de Cisco Toastmasters. Elle aime jouer aux échecs et trouve la joie de travailler en équipe.


Posez vos questions à notre expert du 21 septembre au 2 octobre 2020

(Cliquez sur le bouton de "Répondre" pour poser vos questions)
** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

31 RÉPONSES 31

Salut Jossanc,

Merci d'avoir participé à ce forum. Je vous confirme qu'effectivement l'ESA est capable de vérifier et de scanner les fichiers joints. Cet outil permet de vérifier le contenu d'un zip, ou d'un zip dans un autre zip, etc. Le composant antivirus dispose d'un décompresseur en ligne pour analyser les fichiers compressés, ainsi que de l'outil de filtrage de contenu. Ces filtres nous aident à analyser le contenu des fichiers et ils prendront des mesures s’ils découvrent qu’un fichier correspond aux règles configurées.

J'espère que cette information vous a été utile.

Je vous partage les liens suivants où vous pouvez trouver plus d'informations à ce sujet :

Salutations

JeanMD
Level 1
Level 1

Bonjour Erika,

Merci pour cette foire aux questions. Je voudrais savoir combien de couches d'authentification / vérification l'ESA possède-t-elle ?

Cdlt. JMD

Salut Jean,

Pendant tout le traitement des e-mails, les courriers électroniques sont analysés et vérifiés, dès l'entrée de l'e-mail (début) jusqu'à la sortie de l'e-mail (fin). Je voudrais vous montrer ce qu'est le traitement en lui-même et qui se divise en trois phases:

  • Réception - Lorsque l'appareil se connecte à un hôte distant pour recevoir des e-mails entrants, il respecte les limites configurées et les autres politiques de réception. Par exemple, vérifier que l'hôte peut envoyer du courrier aux utilisateurs, appliquer des limites aux messages entrants et aux connexions ou valider le destinataire du message.
  • File d'attente de travail: l'appareil traite le courrier entrant et sortant, effectuant des tâches telles que le filtrage, l'analyse des listes sécurisées / bloquées, l'analyse anti-spam et antivirus, le filtrage des outbreaks et la mise en quarantaine.
  • Livraison - Lorsque l'appareil se connecte pour envoyer des e-mails sortants, il respecte les politiques et limites de livraison configurées.

De manière généralisée, nous pourrions dire que le processus de vérification est le suivant:

IncomingEmail -> Réputation (SBRS / SDR / IPAS) -> HAT -> SPF / DKIM / DMARC -> RAT

Puis selon la configuration de votre box:

Filtres de messages -> Anti-Spam -> Anti-Virus -> AMP -> Filtres de contenu / Content Filters -> Filtres d'Outbreak

Comme référence supplémentaire, je vous laisse le lien où le pipeline de l'ESA est décrit en détail : 

J'espère que ces informations vous seront utiles !

Meilleures salutations

Bonjour,

Que recommanderiez-vous pour détecter et rejeter / supprimer les messages avec l'expéditeur de l'enveloppe et / ou depuis l'en-tête contient un domaine cousin avec homoglyphe ?

Exemple: mydomain.com

Homoglyphe: mýdomain.com (xn--mdomain-v2a.com)

Vaut-il mieux le détecter par "filtre de messages" ou par "filtre de contenu"  ?
Dois-je utiliser un dictionnaire ou faut-il saisir directement le REGEX dans les conditions ?

Merci Stefan

* Voici la traduction d'un message créé à l'origine par Steflstefan en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Stefan,

La suggestion est d'utiliser un filtre de messages. Selon le pipeline de l'ESA, la vérification a lieu avant le reste des vérifications, comme nous l'avons montré:

Filtres de messages -> Anti-Spam -> Anti-Virus -> AMP -> Filtres de contenu -> Filtres d'Outbreak

Prenons l'exemple que vous mentionnez:
Exemple: mydomain.com
Homoglyphe: mydomain.com (xn--mdomain-v2a.com)

Un filtre de messages peut être configuré comme indiqué ci-dessous:

if (mail-from == '(?i)(mydominio.com|mydomynio.com|mydomynyo.com|myd0minio.com|myd0mini0.com|myd0myny0.com)$' )
{
notify('stefan@stefandomain.com');
drop();
}

Le filtre nous indique que toute correspondance avec l'un des domaines principaux indiqués ci-dessus sera notifiée et rejetée. Le regex peut évoluer en fonction du domaine et des correspondances possibles.

Les informations partagées et les tests effectués ont été vérifiés à partir des périphériques dans un environnement de laboratoire spécifique, en commençant par un environnement par défaut. Si votre réseau est actif, assurez-vous de comprendre l'impact potentiel de toute commande lors du test.

Notre suggestion est de toujours garder un contrôle des changements surveillé.

Je partage le lien suivant où vous pouvez trouver plus d'informations sur les filtres de messages:

J'espère que ces informations vous ont été utiles.

Meilleures salutations

AlainDC010
Level 1
Level 1

Comment puis-je contrôler mon flux de messagerie à partir de divers domaines et mettre en œuvre différentes actions de sécurité sur eux ?

Alain

Salut Alain,

L'ESA a la capacité de configurer des actions en fonction des e-mails entrants et sortants. Il existe deux points à partir desquels vous pouvez effectuer des actions en fonction du domaine que vous recevez ou envoyez.

  1. «Politiques de flux de messagerie» (Mail Flow Policies) - De là, vous pouvez indiquer les limites de flux de messagerie, c'est-à-dire le nombre de connexions autorisées par heure, la détection de spam, la vérification dkim et spf ainsi que l'utilisation de TLS. Ensuite, vous créez un groupe d'expéditeurs et y placez les domaines / IPs à valider en fonction de votre configuration.

  2. «Politiques de flux de messages entrants» (Incoming Mail Flow Policies) et «filtres de messages» - Le filtre de messages ou courrier est un point de contrôle juste avant les policies de flux de messages entrants. Tout ce que vous mettez dans un filtre de messages sera vérifié pour l'ensemble de votre univers de messagerie. Les politiques de flux de courrier entrant peuvent aussi être configurées pour correspondre aux expéditeurs, aux destinataires ou à une combinaison spécifique des deux.

    Par exemple:
    user1@domain1.com à user2@domain2.com
    Lors de la mise en correspondance avec ces politiques, différentes actions de sécurité peuvent être configurées dans chacune d'elles, telles que l'activation ou la désactivation d'outils tels que l'Anti-Spam, l'Antivirus, entre autres, ou même la définition de configurations spécifiques des outils de sécurité en fonction des besoins de votre société.

Vous trouverez ci-dessous la documentation avec une description plus claire et plus détaillée:

Meilleures salutations

Est-ce que le flux de la messagerie est-il affecté si l'on accroit les valeurs par défaut pour les archives scannées supérieures à 2 Mo ?

 

* Voici la traduction d'un message créé à l'origine par Didi en portugais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut,

Pour répondre à cette question, il est nécessaire de prendre en compte les valeurs recommandées de chaque outil.

Dans ce cas précis, en ce qui concerne les moteurs tels que les filtres Antispam et Outbreak, la valeur recommandée pour l'analyse est de 2 Mo maximum, car elle peut affecter le traitement des messages puisqu'elle occuperait plus de ressources de l'appareil lors de l'analyse de messages plus volumineux. Dans le cas de la réputation des fichiers (File reputation), les fichiers de plus de 50 Mo peuvent être traités comme "non analysables" (unscannable).

Ces valeurs peuvent changer et comme je l'ai mentionné cela dépendra du flux de messagerie qui passe par l'ESA et aussi de son modèle, en tenant compte de ces paramètres, il peut être augmenté d'un peu plus de 2 Mo sans affecter le traitement des messages, voire jusqu'à 10 Mo en tant que valeur à "ne jamais analyser les fichiers plus grands que".

La valeur suggérée est de 2 Mo, mais si les besoins de votre société nécessitent d'une autre configuration, il est recommandé de procéder à de petits changements, faisant un suivi des modifications en surveillance permanente.

Je vous laisse un lien avec plus de renseignements à ce sujet:

Il y a encore plus d'outils dans l'appareil qui traversent tout le pipeline de sécurité (filtres) et qui nous aideront à prévenir toute menace. Je vous invite à consulter toutes ces informations dans le guide de configuration.

Cordialement, Erika

Salut Erika !

J'ai une question, concernant le contrôle du trafic de messagerie. Quel est l'avantage ou l'inconvénient de modifier la limite de débit dans les politiques préconfigurées telles que ACCEPTER, THROTTLED, etc.?

Je vous remercie !

* Voici la traduction d'un message créé à l'origine par JoseAlvarado84102 en espagnol. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bonjour José,

Les valeurs configurées par défaut sont proposées afin d'éviter des attaques telles que de récolte de répertoire ou attaque d'annuaire (Directory Harvest Attack DHA), DoS, excès de SPAM, entre autres. La limite de débit vous donne la marge du trafic que vous autorisez à passer par chaque message et qui correspond à une certaine politique.

ESA > Mail Flow Policies > Mail policy (partagée ci-dessous): Limite de débit pour les hôtes

Il existe 4 politiques de flux de messagerie définies par défaut dans les écouteurs publics

  • ACCEPTED
  • BLOCKED
  • THROTTLED
  • TRUSTED

Chacune d'elles a des paramètres de limite de débit différents en fonction de leur niveau de fiabilité. Si vous manipulez ces valeurs et tombez dans une "mauvaise configuration", vous pouvez commencer à perdre les e-mails légitimes que vous souhaitez recevoir et commencer à voir des journaux tels que:

"Rejeté en recevant des contrôles"
"Trop de connexions de votre hôte" (externe)

Si, pour une raison quelconque, la configuration par défaut ne répond pas aux besoins de votre société, il est recommandé de faire un suivi ponctuel des changements, d'apporter de petites modifications au fur et à mesure, et de surveiller vos appareils pour personnaliser ces paramètres sans tomber dans des résultats "inattendus".

J'espère que les informations partagées sont utiles. Pour en savoir plus, je partage les liens suivants:

Meilleures salutations

Sandrine964
Spotlight
Spotlight

Bonjour,

Y a-t-il des paramètres que nous pourrions envisager dans nos e-mails pour correspondre à un contenu ou à des types de fichiers spécifiques?

Merci, Sandrine

Salut Sandrine,

Oui. Dans la fonctionnalité "filtres de contenu", vous pouvez sélectionner les conditions qui correspondent au type de trafic e-mail que vous recevez. Vous pouvez prendre aussi des mesures pour les e-mails entrants et sortants, ainsi que pour les "types de fichiers" ou "extensions de fichiers" et configurer des fonctionnalités très spécifiques pour cibler des fichiers tels que : ".docx, .exe, zip, etc."

Je vous partage le lien du guide avec les spécificités et descriptifs concernant la configuration des filtres de contenu.

Meilleures salutations

 

Salut Erika ...
Une dernière question ref Licences traditionnelles vs Licences intelligentes
à t'on avis, qu'est-ce qui est mieux?

 

*Voici la traduction d'un message créé à l'origine par DM en espagnol. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut,

La licence intelligente vise à améliorer l'expérience client tout au long de son parcours avec les produits Cisco. Elle cherche à simplifier les tâches de licence grâce à un système centralisé et automatisé. Cependant, nous devons prendre en compte pour l'appareil ESA, qu'une fois le passage de la licence classique à la licence intelligente est effectué, il n'y a pas de marche en arrière.

Vous pouvez également retomber sur des erreurs si vous ne suivez pas correctement le processus établi pour effectuer ces changements, je suggère donc de consulter les guides et les informations existantes avant de passer à une licence intelligente.

Je partage avec vous un lien avec une vidéo et un guide pour réussir ce changements.

Meilleures salutations