従来のバージョンではESA/CESはパスワードで保護された添付ファイルを解凍できないため、当該ファイルのスキャン及び評価はできませんでした。AsyncOS14よりパスワードで保護された添付ファイルのスキャン(Scanning Password-protected Attachments in Messages)機能が実装されました。この機能によりメール本文から抽出した解凍パスワード、あるいはESA/CESにて予め登録したパスワードを利用し、パスワードで保護された添付ファイルの解凍を試みます。解凍ができた場合、当該ファイルのスキャン及び評価ができるようになります。
下記AsyncOS 14.0リリースノートの”What’s New In This Release”の“Scanning Password-protected Attachments in Messages” をご参照ください。
https://www.cisco.com/c/dam/en/us/td/docs/security/esa/esa14-0/Secure_Email_14-0_Release_Notes.pdf
1.本機能の設定
GUI>[セキュリティサービス]>[スキャン動作]>[パスワードで保護された添付ファイルのスキャン]の順で設定できます。
CLIでは下記の通り設定ができます。
example.ironport.com> scanconfig There are currently 5 attachment type mappings configured to be SKIPPED. Choose the operation you want to perform: - NEW - Add a new entry. - DELETE - Remove an entry. - SETUP - Configure scanning behavior. - IMPORT - Load mappings from a file. - EXPORT - Save mappings to a file. - PRINT - Display the list. - CLEAR - Remove all entries. - SMIME - Configure S/MIME unpacking. - SAFEPRINT - Configure safeprint settings. - PROTECTEDATTACHMENTCONFIG - Scan password protected attachments. []> PROTECTEDATTACHMENTCONFIG Scanning of password-protected attachments for inbound mails: enabled. Scanning of password-protected attachments for outbound mails: disabled. Do you want to scan password-protected attachments for inbound mails? y/n [Y]> Do you want to scan password-protected attachments for outbound mails? y/n [N]> Scan password protected attachments configuration unchanged. Scanning of password-protected attachments is enabled. Do you want to use user-defined passwords to scan password-protected attachments? y/n [Y]> You can now use user-defined passwords to scan password-protected attachments. Choose the operation you want to perform on user-defined passwords. - NEW - Add a new password. - EDIT - Edit the password. - SWITCH - Switch the priority of the password. - DELETE - Delete the password. - PRINT - Print the configured password(s). []> new Priority: Password: --------- --------- 1 infected Enter a priority for the new password: [2]> Enter the new password: []> hoge A new password with priority 3 is added. Priority: Password: --------- --------- 1 infected 2 hoge Choose the operation you want to perform on user-defined passwords. - NEW - Add a new password. - EDIT - Edit the password. - SWITCH - Switch the priority of the password. - DELETE - Delete the password. - PRINT - Print the configured password(s). []>
2.本機能の動作
解凍に失敗した場合、[抽出エラーによるスキャン不可メッセージに対するアクション]で設定した処理が行われます。また、下記のようなログがmailログに記録されます。
Thu Apr 21 11:13:54 2022 Info: MID 521 was marked unscannable due to extraction failures. Reason: The password protected attachment 'example.zip' could not be scanned successfully. Thu Apr 21 11:13:54 2022 Warning: MID 521: scanning error (name='example.zip', type=compressed/zip): Extraction failure of password protected attachment
解凍に成功した場合、下記のようなログがcontent_scannerログに記録されます。
Thu Apr 21 14:04:44 2022 Info: PF: MID 526 The password-protected file - "example.zip" is scanned successfully.
- 高度なマルウェア保護機能を有効にしている場合、解凍されたファイルが高度なマルウェア保護機能によって処理されます。また、ファイル分析を有効にしている場合、解凍されたファイルはThreat Gridにアップロードされ、分析されることがあります。
- コンテンツフィルタにて[メッセージ本文あるいは添付ファイル]のような添付ファイルを評価している場合、パスワードで保護された添付ファイルでも当該ファイルの中身が評価されます。
3.本機能の制限
- 本機能は、現時点においてサポートしている言語は英語、イタリア語、ポルトガル語、スペイン語、ドイツ語、およびフランス語となっています。日本語サポートに関しては、機能拡張リクエストCSCwb15154が登録されていますが、現時点ではまだ実装されていません。
- 本機能は、現時点においてサポートしているファイルタイプはAdobe Portable Document Format (PDF)、 MS OfficeのWord、Excel、PowerPoint及びzipフォーマットで圧縮されたファイルとなっています。
- メール本文からベストエフォートでパスワードを抽出しますが、サポートする言語とファイルタイプでもメール本文からパスワードを抽出できない可能性があります。この点については、下記ユーザガイドにも記載されていますので、ご参考ください。
https://www.cisco.com/c/ja_jp/td/docs/security/esa/esa14-0/user_guide/b_ESA_Admin_Guide_14-0.html
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
