CISCO ESA — Incoming Content Filters

Олег

  • 6 декабря 2018
Cisco Email Security Appliance

Выполним начальную настройку Incoming Content Filters на Cisco ESA C190. Incoming Content Filters задают правила фильтрации входящей почты. 

Создадим шесть первых фильтров в помощь сисадмину. Mail Policies → Incoming Content Filters:

esa

Фильтры применяются по порядку, поэтому, важное значение имеет их номер. Изменить порядок можно кнопкой Edit Filter Order...

После добавления фильтра его нужно включить в политику, можно кликнуть на Default Policy. Или Mail Policies > Incoming Mail Policies:

imp

Менять порядок можно мышкой, Cisco рекомендует работать рукой не слишком быстро:

esa

Новый фильтр создаётся кнопкой Add Filter.

  1. SKIP_IP
  2. SKIP_email
  3. DROP_domains
  4. DROP_NOSPF
  5. BLACK_LIST_domain
  6. BLACK_LIST_email

Я для начала создал 6 фильтров.  DROP и BLACK_LIST — эти фильтры дропают почту. SKIP, наоборот, пропускает.

6. BLACK_LIST_email

Данный фильтр я буду использовать для списка email адресов, помеченных как спам. Письма от этих отправителей не будут приниматься.

esa

Actions — что делать с письмами, которые удовлетворяют условиям Conditions. Drop удаляет письмо.

Conditions — список email, письма которых нужно дропнуть. Давайте добавим ещё один email. Кликаем на Add Condition:

esa

Envelope Sender — отправитель. Выбираем, что он точно соответствует нашему email адресу. Ok.

esa

Теперь у нас в списке Conditions два email адреса, от которых нужно удалять почту. Обратите внимание на настройку If one or more condition match — логическое ИЛИ.

5. BLACK_LIST_domain

Данный фильтр я буду использовать для списка доменов, помеченных как спам. Письма из этих доменов не будут приниматься.

esa

Внутри всё то же самое как и для BLACK_LIST_email, только вместо точного соответствия Envelop Sender - Equals выбираем Contains:

esa

Оба правила BLACK_LIST_domain и BLACK_LIST_email можно было бы объединить в одно. Разделение просто для удобства.

Потом ещё появится правило BLACK_LIST_IP, для удаления писем с определённых IP адресов, мне пока блокировать некого. Там вместо Envelope Sender будет выбираться Remote IP/Hostname:

esa

4. DROP_NOSPF

Правило простое — дропает все письма, которые не прошли проверку SPF:

esa

esa

3. DROP_domains

Вот это очень важное правило. Там всё то же самое, что и в BLACK_LIST_domain с одним тонким моментом. Это список моих доменов. Тех же самых, что мы указываем при добавлении домена:

Cisco ESA C190 - добавление домена 

esa

Зачем? Очень просто, я шлю свои письма сам себе миную спам-фильтр ESA. И если на ESA попадает письмо от моего домена — это жуткий злобный хитрый и коварный спамер, дропаем.

2. SKIP_email

Это белый список email адресов, которые мы пропускаем. Переименую этот фильтр в WHITE_LIST_email. Принцип тот же что у BLACK_LIST_email, но вместо drop мы делаем Skip Remaining Content Filters. Эта штука отменяет все дальнейшие фильтры и не дропает почту.

esa

1. SKIP_IP

Белый список IP адресов. Переименую его в WHITE_LIST_IP. Примечательно, что можно указывать не только IP адреса, но и диапазоны и доменные имена.

esa

Начальную настройку Incoming Content Filters выполнили.

Теги

💰 Поддержать проект

 

Похожие материалы

Cisco ESA C190 — LDAP Authentication

Олег

Cisco ESA C190
Настраиваем доменную аутентификацию на Cisco ESA C190 — Email Security Appliance. Гораздо проще управлять правами пользователей из домена. Сделаем вход в веб интерфейс ESA по доменному логину и паролю.

Теги

Межсетевой экран Cisco ASA 5505

Олег

Cisco ASA 5505
Оборудование Cisco ASA 5505 поддерживает разнообразные сервисы, включая межсетевой экран, виртуальные сети (VPN), SSL. ASDM (Cisco Adaptive Security Device Manager) позволяет эксплуатировать оборудование. Cisco ASA 5505 поддерживает функции 8-ми портового коммутатора 10/100 с динамическим перераспределением портов, поддерживает организацию 3-х виртуальных сетей.

Теги

Почитать