アウトブレイクフィルタは脅威を含めたメールを検知した場合、当該メールを隔離することができます。しかしながら、当該メールはスパム対策で「陽性」と判定され、かつ「陽性」の場合のアクションが「配信」となっている場合、アウトブレイクフィルタで検知されても、隔離されることはありません。これは期待通りの挙動となります。

参考資料：
https://www.cisco.com/c/en/us/td/docs/security/esa/esa14-2/user_guide/b_ESA_Admin_Guide_14-2/b_ESA_Admin_Guide_12_1_chapter_01111.html
If a spam positive message is identified as outbreak positive by Outbreak Filters, the message is not sent to Outbreak Quarantine.

設定箇所：

• スパム対策で「陽性」と判定されるメッセージの動作を「配信」にします。
  
• アウトブレイクフィルタの検疫を有効にします。
  

動作検証：

スパム対策でpositiveと判定されたメッセージはアウトブレイクフィルタでpositiveと判定されても、隔離されないことがわかります。

Thu Jun  2 17:20:32 2022 Info: MID 168 interim verdict using engine: CASE spam positive
Thu Jun  2 17:20:32 2022 Info: MID 168 using engine: CASE spam positive
Thu Jun  2 17:20:34 2022 Info: MID 168 Outbreak Filters: verdict positive
Thu Jun  2 17:20:34 2022 Info: MID 168 Threat Level=5 Category=Phish Type=Phish
Thu Jun  2 17:20:34 2022 Info: MID 168 queued for delivery

なお、スパム対策で「疑わしい」と判定された場合、アウトブレイクフィルタで検知されたメッセージはアウトブレイクフィルタに隔離されます。

Mon Jul  4 17:01:00 2022 Info: MID 291 interim verdict using engine: CASE spam suspect
Mon Jul  4 17:01:00 2022 Info: MID 291 using engine: CASE spam suspect
Mon Jul  4 17:01:00 2022 Info: MID 291 Outbreak Filters: verdict positive
Mon Jul  4 17:01:00 2022 Info: MID 291 Threat Level=5 Category=Phish Type=Phish
Mon Jul  4 17:01:00 2022 Info: MID 291 Virus Threat Level=5
Mon Jul  4 17:01:02 2022 Info: Message finished MID 292 done
Mon Jul  4 17:01:03 2022 Info: MID 291 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Phish: Phish)