はじめに
本稿ではスパム判定されたメッセージをアーカイブとしてログファイルに保存する方法をご紹介します。
AsyncOS14.2での動作確認を基にしています。バージョンにより動作が異なる場合があります。
スパムアーカイブの設定
Anti-Spam(スパム対策)では、以下の箇所でアーカイブの設定を有効にすることができます。
GUI > Mail Policies(メールポリシー) > Incoming/Outgoing Mail Policies(受信/送信メールポリシー) > Anti-Spam(スパム対策)
- Positively-Identified Spam setting(陽性と判定されたスパムの設定)
- Suspected Spam Settings(疑わしいスパムの設定)
アーカイブされたメッセージの確認
アーカイブされたメッセージは、asarchiveという名前のログにmbox形式で記録されます。mbox形式では複数のメールが同じファイルに記録されることになります。
CLIでの表示
Grepコマンドでasarchiveを表示します。
SEG CLI > grep
Currently configured logs:
Log Name Log Type Retrieval Interval
---------------------------------------------------------------------------------
1. amp AMP Engine Logs Manual Download None
2. amparchive AMP Archive Manual Download None
3. antispam Anti-Spam Logs Manual Download None
4. antivirus Anti-Virus Logs Manual Download None
5. asarchive Anti-Spam Archive Manual Download None
- snip -
Enter the number of the log you wish to grep.
[]> 5
Enter the regular expression to grep.
[]>
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Define file selection pattern.
[]>
From test@aaa.example.com Thu Aug 31 11:19:48 2023
X-IronPort-RCPT-TO: test@bbb.example.com
X-IPAS-Result: =?us-ascii?q?A0Fl5lsRdvBk/wFsqMBaHgENLwwOCw4BA4JfCIM+liiDX?=
IronPort-Data: A9a23:sLBM+qMZ9ZOzlu3vrR3Il8FynXyQoLVcMsEvi/4bfWQNrUom1WdUy
X-IronPort-Anti-Spam-Filtered: true
Received: from unknown ([192.168.1.1])
by seg.example.com with SMTP; 31 Aug 2023 11:19:26 +0000
To: test@bbb.example.com
From: testuser1 <test@aaa.example.com>
Subject: Test mail
This is a test message1
From test@ccc.example.com Thu Aug 31 12:01:51 2023
X-IronPort-RCPT-TO: test@ddd.example.com
X-IPAS-Result: =?us-ascii?q?A0Fl5lv+gPBk/wFsqMBaHgENLwwOCw4BA4JfCIM+limDX?=
IronPort-Data: A9a23:iac7gKri7AbxFw7zdezRWK6Z/u9eBmJ1ZRIvgKrLsJaIsI4StFCzt
X-IronPort-Anti-Spam-Filtered: true
Received: from unknown ([192.168.1.1])
by seg.example.com with SMTP; 31 Aug 2023 12:01:26 +0000
To: test@ddd.example.com
From: testuser2 <test@ccc.example.com>
Subject: Test mail
This is a test message2
アーカイブされたメッセージには、X-IronPort-RCPT-TOヘッダが追加されます。また、アンチスパム機能により追加されたX-IPAS-Resultなどのヘッダも、アーカイブされたメッセージに含まれています。
GUIからのダウンロード
GUIからasarchiveのログファイルをダウンロードすることができます。
GUI > System Administration(システム管理) > Log Subscriptions (ログサブスクリプション)
Cluster Modeでは、以下のようなURLをブラウザのアドレスバーに直接貼り付けてログファイルにアクセスすることが可能です。
https://(hostname)/cluster/system_administration/log_list?log_type=asarchive
参考: Cluster Mode - GUIからログファイルへのアクセス
https://community.cisco.com/t5/-/-/ta-p/4167867