思科邮件安全设备 AsyncOS 9.7 用户指南说明书

admin管理员组

文章数量:1532165

2023年12月30日发(作者：)

适用于思科邮件安全设备的 AsyncOS 9.7 用户指南发布日期：2015 年 8 月 31 日思科系统公司思科在全球设有 200 多个办事处。

有关地址、电话号码和传真号码信息，

可查阅思科网站：

/go/offices。

本手册中有关产品的规格和信息如有更改，恕不另行通知。本手册中的所有声明、信息和建议均准确可靠，但我们不为其提供任何明示或暗示的担保。用户必须承担使用产品的全部责任。随附产品的软件许可和有限担保在随产品一起提供的信息包中提供，且构成本文的一部分。如果您无法找到软件许可或有限担保，请与思科代表联系以获取副本。思科所采用的 TCP 信压缩是加州大学伯克莱分校 (UCB) 开发的一个程序的改版，是 UCB 的 UNIX 操作系统公共域版本的一部分。保留所有权利。版权所有

©1981，加州大学董事会。无论在该手册中是否作出了其他担保，来自这些供应商的所有文档文件和软件都按“原样”提供且仍有可能存在缺陷。思科和上述供应商不承诺所有明示或暗示的担保，包括（但不限于）对特定用途的适销性、适用性、非侵权性以及因交易、使用或商业惯例所衍生的担保。在任何情况下，对于任何间接、特殊、连带发生或偶发的损坏，包括（但不限于）因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏，思科及其供应商概不负责，即使思科及其供应商已获知此类损坏的可能性也不例外。本文档中使用的任何互联网协议 (IP) 地址和电话号码并非实际地址和电话号码。本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用。说明性内容中用到的任何真实 IP 地址或电话号码纯属巧合，并非有意使用。思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。要查看思科商标列表，请访问此 URL：/go/trademarks。文中提及的第三方商标为其相应所有者的财产。“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。(1110R)适用于思科邮件安全设备的 AsyncOS 9.7

用户指南© 2015 年 Cisco Systems, Inc. 保留所有权利。

目录第 1

章思科邮件安全设备使用入门本版本中的新增内容哪里可以获得详细信息文档1-2培训1-2思科通知服务1-2知识库1-3思科支持社区1-3思科客户支持1-3第三方贡献者1-3思科欢迎您进行评论注册思科帐户1-4思科邮件安全设备概述支持的语言1-51-11-11-11-41-4第 2

章访问设备2-12-1基于 Web 的图形用户界面 (GUI)浏览器要求2-1访问 GUI2-2更改配置设置2-2配置更改2-3确认或放弃更改命令行界面 (CLI)第 3

章2-32-3设置和安装3-1安装规划3-1查看影响规划决策的信息3-1计划将邮件安全设备放置在网络外围在 DNS 中注册邮件安全设备3-2安装情景3-2将邮件安全设备通过物理方式连接到网络配置情景3-43-13-4适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

iii

目录

为系统设置做好准备3-8确定连接设备的方式3-8确定网络和 IP 地址分配3-9收集设置信息3-10使用系统设置向导3-13访问基于 Web 的图形用户界面 (GUI)3-13使用基于 Web 的系统设置向导定义基本配置设置与 Active Directory 的连接3-21继续执行后续步骤3-22访问命令行界面 (CLI)3-22运行命令行界面 (CLI) 系统设置向导3-23将系统配置为企业网关3-35验证您的配置和后续步骤第 4

章3-143-35了解邮件管道邮件管道概述邮件管道流量4-14-14-1传入/接收4-4主机访问表 (HAT)、发件人组和邮件流量策略已接收：信头4-5默认域4-5退回验证4-5域映射4-5收件人访问表 (RAT)4-6别名表4-6LDAP 收件人接受4-6SMTP Call-Ahead 收件人验证4-6工作队列/路由4-6邮件管道和安全服务4-7LDAP 收件人接受4-7伪装或 LDAP 伪装4-7LDAP 路由4-7邮件过滤器4-8邮件安全管理器（按收件人扫描）隔离区4-9传送4-10虚拟网关4-10传送限制4-10基于域的限制4-10适用于思科邮件安全设备的 AsyncOS 9.7 用户指南4-54-8

目录

基于域的路由4-11全局取消订阅4-11退回限制4-11第 5

章配置网关以接收邮件使用侦听程序5-25-15-1配置网关以接收邮件的概述配置侦听程序的全局设置5-4包含多种编码的邮件设置5-5通过使用 Web 界面创建侦听程序侦听连接请求部分域、默认域和格式不正确的 MAIL FROM通过使用 CLI 创建侦听程序来侦听连接请求高级 HAT 参数5-11企业网关配置第 6

章5-65-105-105-12发件人信誉过滤6-16-1发件人信誉过滤概述SenderBase 信誉服务6-1SenderBase 信誉服务 (SBRS)6-2SenderBase 信誉过滤器原理6-3不同发件人信誉过滤方法的建议设置编辑侦听程序的发件人信誉过滤得分阈值使用 SBRS 测试发件人信誉过滤6-5监控 SenderBase 信誉服务的状态6-7在邮件主题中输入低 SBRS 得分第 7

章6-46-56-7使用主机访问表 (HAT) 定义允许连接哪些主机有关定义允许连接哪些主机的概述默认 HAT 条目7-27-17-1将远程主机定义在发件人组中7-3发件人组语法7-3网络所有者、域和 IP 地址定义的发件人组按 SenderBase 信誉得分定义发件人组7-6通过查询 DNS 列表定义的发件人组7-7使用邮件流策略定义邮件发件人的访问规则HAT 变量语法7-8了解预定义发件人组和邮件流策略7-107-117-47-7以相同方式处理来自一个发件人组的邮件适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

创建发件人组用于邮件处理7-11将发件人添加到现有发件人组7-12重新排列对传入连接执行规则的顺序7-13搜索发件人7-13使用邮件流策略定义传入邮件规则7-13定义邮件流策略的默认值7-18使用主机访问表配置7-18将主机访问表配置导出到外部文件从外部文件导入主机访问表配置将发件人地址列表用于传入连接规则SenderBase 设置和邮件流策略7-20SenderBase 查询的超时7-20HAT 重要位数功能7-21验证发件人7-22发件人验证: 主机7-23发件人验证：信封发件人7-23实施发件人验证 - 设置示例7-25为来自未经验证的发件人的邮件测试设置发件人验证和日志记录7-31第 8

章7-187-187-197-30基于域名或收件人地址接受或拒绝连接基于收件人地址接受或拒绝连接概述收件人访问表 (RAT) 概述访问 RAT8-28-28-28-18-1编辑默认 RAT 条目域和用户8-3添加为其接受邮件的域和用户8-3重新排列收件人访问表中域和用户的顺序将收件人访问表导出至外部文件8-5从外部文件导入收件人访问表8-6第 9

章8-5使用邮件过滤器实施邮件策略概述9-19-1邮件过滤器的要素9-2邮件过滤器规则9-2邮件过滤器操作9-2邮件过滤器示例语法9-3适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

邮件过滤器处理9-4邮件过滤器顺序9-4邮件信头规则和求值9-5邮件正文与邮件附件9-5内容扫描中的匹配阈值9-6邮件过滤器中的 AND 和 OR 测试邮件过滤器规则9-9过滤器规则概要表9-9规则中的正则表达式9-14智能标识符9-18邮件过滤器规则说明和示例邮件过滤器操作9-44过滤器操作汇总表9-44操作变量9-50匹配内容可视性9-52邮件过滤器操作说明和示例9-89-199-52附件扫描9-71扫描附件的邮件过滤器9-71图像分析9-72配置图像分析扫描引擎9-72配置邮件过滤器根据图像分析结果执行操作通知9-76附件扫描邮件过滤器示例9-76使用 CLI 管理邮件过滤器9-79创建新的邮件过滤器9-81删除邮件过滤器9-81移动邮件过滤器9-81激活和停用邮件过滤器9-82导入邮件过滤器9-85导出邮件过滤器9-86查看非 ASCII 字符集9-86显示邮件过滤器列表9-86显示邮件过滤器详细信息9-86配置过滤器日志订阅9-87更改邮件编码9-89示例邮件过滤器9-90邮件过滤器示例9-97开放中继防御过滤器9-97策略实施过滤器9-979-74适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

路由和域欺骗配置扫描行为第 10

章9-1019-104邮件策略10-110-110-210-3邮件策略概述如何根据每个用户执行邮件策略以不同方式处理传入和传出邮件匹配用户与邮件策略第一个匹配为准策略匹配示例邮件拆分10-5托管例外10-610-310-410-4配置邮件策略10-7配置传入或传出邮件的默认邮件策略创建一组发件人和收件人的邮件策略查找适用于发件人或收件人的策略第 11

章10-710-710-11内容过滤器11-111-1内容过滤器概述内容过滤器的工作原理11-1如何使用内容过滤器扫描邮件内容内容过滤器条件11-2内容过滤器操作11-8操作变量11-1111-2基于内容过滤邮件11-13创建内容过滤器11-13默认情况下为所有收件人启用内容过滤器11-14将内容过滤器应用到特定用户组的邮件11-15有关在 GUI 中配置内容过滤器的说明11-15第 12

章防病毒12-1防病毒扫描概述12-1试用版密钥12-2使用多个防病毒扫描引擎扫描邮件Sophos 防病毒过滤12-2病毒检测引擎12-3病毒扫描12-3检测方法12-3适用于思科邮件安全设备的 AsyncOS 9.7 用户指南12-2

目录

病毒描述Sophos 警报发现病毒时12-412-412-4McAfee 防病毒过滤12-4病毒签名模式匹配12-5加密的多态病毒检测12-5启发式分析12-5发现病毒时12-5如何配置设备以扫描病毒12-6启用病毒扫描和配置全局设置12-6配置面向用户的病毒扫描操作12-7为不同发件人组和收件人组配置防病毒策略防病毒配置注意事项12-13防病毒操作的流程图12-15向设备发送邮件以测试防病毒扫描12-1612-12更新病毒定义12-17关于通过 HTTP 检索防病毒更新12-17配置更新服务器设置12-17监控和手动检查防病毒更新12-18验证设备上的防病毒文件是否已更新12-18第 13

章反垃圾邮件13-1反垃圾邮件扫描概述13-1反垃圾邮件解决方案13-2如何配置设备以扫描邮件垃圾13-2IronPort 反垃圾邮件过滤13-3试用期秘钥13-3思科反垃圾邮件：概述13-3配置 IronPort 反垃圾邮件扫描13-4思科智能多扫描过滤13-5配置思科智能多扫描13-6定义反垃圾邮件策略13-7了解肯定是垃圾邮件和疑似垃圾邮件阈值13-9配置示例：针对肯定是垃圾邮件与疑似垃圾邮件的操作13-10来自合法源的不需要的营销邮件13-10使用自定义信头将疑似垃圾邮件中的 URL 重定向到思科网络安全代理：配置示例13-10在不同的邮件策略中启用不同的反垃圾邮件扫描引擎：配置示例13-11适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

避免垃圾邮件过滤器过滤设备生成的邮件在反垃圾邮件扫描期间添加的信头将分类错误的邮件报告给思科系统13-1313-1413-1413-13通过传入中继确定部署中的发件人 IP 地址具有传入中继的环境示例13-14配置设备以使用传入中继13-16传入中继如何影响功能13-20配置日志以指定使用的信头13-22监控规则更新13-22测试反垃圾邮件13-23向设备发送邮件以测试思科反垃圾邮件不是测试反垃圾邮件效力的方式13-24第 14

章13-23管理灰色邮件灰色邮件概述14-114-114-1邮件安全设备中的灰色邮件管理解决方案灰色邮件分类14-2灰色邮件管理解决方案工作原理安全取消订用工作原理14-414-3配置灰色邮件检测和安全取消订阅14-6灰色邮件检测和安全取消订阅的需求14-6集群配置中的灰色邮件检测和安全取消订阅14-6启用灰色邮件检测和安全取消订阅14-7配置灰色邮件检测和安全取消订阅的传入邮件策略使用邮件过滤器绕过灰色邮件操作14-8监控灰色邮件14-9更新灰色邮件规则14-9为最终用户自定义取消订阅页面的外观14-10最终用户安全列表14-10查看日志14-10对灰色邮件检测和安全取消订阅进行故障排除无法执行安全取消订阅14-10第 15

章14-714-10爆发过滤器15-115-1爆发过滤器概述爆发过滤器工作原理15-2延迟、重定向和修改邮件威胁类别15-2适用于思科邮件安全设备的 AsyncOS 9.7 用户指南15-2

目录

Cisco Security Intelligence Operations15-3Context Adaptive Scanning Engine15-4延迟邮件15-4重定向 URL15-4修改邮件15-5规则的类型：自适应和爆发爆发15-6威胁级别15-7爆发过滤器功能的工作原理邮件得分15-8动态隔离区15-915-815-5管理爆发过滤器15-10配置爆发过滤器全局设置15-11爆发过滤器规则15-13爆发过滤器功能和邮件策略15-14爆发过滤器功能和爆发隔离区15-19监控爆发过滤器15-21爆发过滤器报告15-21爆发过滤器概述和规则列表15-21爆发隔离区15-21警报、SNMP 陷阱和爆发过滤器15-22爆发过滤器功能故障排除15-22向思科报告分类错误的邮件15-22多个附件和绕过的文件类型15-22邮件和内容过滤器及邮件管道15-22第 16

章防御恶意或不需要的 URL关于 URL 的保护和控制评估的 URL16-216-116-1设置 URL 过滤16-2URL 过滤要求16-2启用 URL 过滤16-3关于与思科 Web 安全服务的连接16-3网络交互跟踪16-4集群配置中的 URL 过滤16-5创建 URL 过滤的白名单16-5思科 Web 安全代理最终用户通知页面16-6自定义最终用户通知页面的外观16-7适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

根据邮件中 URL 的信誉或类别采取操作16-7使用 URL 相关条件（规则）和操作16-8按 URL 信誉或 URL 类别过滤：条件和规则16-8修改邮件中的 URL：使用过滤器中的 URL 信誉和 URL 类别操作重定向 URL：最终用户会有哪些体验？16-10监控 URL 过滤结果16-1116-9URL 过滤故障排除16-11查看日志16-11风险通告：SDS：获取注册证书时出错16-11风险通告：SDS：证书无效。16-12无法连接到思科 Web 安全服务16-12风险通告：无法连接到思科汇聚器服务器16-12风险通告：无法从思科汇聚器服务器检索网络交互跟踪信息16-13使用 websecurityadvancedconfig 命令16-13邮件跟踪搜索未找到指定类别的邮件16-13反垃圾邮件或爆发过滤器不会捕获恶意 URL 和营销邮件16-13过滤类别中的 URL 未得到正确处理16-13最终用户通过重写的 URL 访问恶意站点16-14手动配置与思科 Web 安全服务通信的证书16-14关于 URL 类别16-14URL 类别说明16-14确定 URL 的类别16-21报告未归类和分类错误的 URL16-21将来的 URL 类别集变更16-21第 17

章文件信誉过滤和文件分析17-1文件信誉过滤和文件分析概述17-1文件威胁判定更新17-1文件处理概述17-2对哪些文件进行评估和分析？17-3配置文件信誉和分析功能17-4与文件信誉和分析服务通信的要求17-5配置内部部署文件分析服务器17-5启用和配置文件信誉和分析服务17-6（仅限公共云文件分析服务）配置设备组17-7配置文件信誉扫描和文件分析的传入邮件策略17-8隔离附件送交分析的邮件17-9使用文件分析隔离区17-10集中文件分析隔离区17-11适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

文件信誉和分析的 X-Header17-11向最终用户发送有关邮件或附件已删除的通知高级恶意软件保护和集群17-12确保您收到有关高级恶意软件保护问题的警报为高级恶意软件保护功能配置集中报告17-1317-1217-12文件信誉和文件分析报告及跟踪17-13通过 SHA-256 哈希识别文件17-13“文件信誉和文件分析”(File Reputation and File Analysis) 报告页面查看其他报告中的文件信誉过滤数据17-14关于邮件跟踪和高级恶意软件保护功能17-15当文件威胁判定更改时采取行动17-1517-14文件信誉和分析故障排除17-16日志文件17-16使用跟踪17-16关于无法连接到文件信誉或文件分析服务器的许多警报API 密钥错误（内部部署文件分析）17-17关于可送交进行分析的文件类型的警报17-17第 18

章17-16防数据丢失18-1防数据丢失概述18-1DLP 扫描过程的概述防数据丢失的工作原理DLP 部署选项18-318-218-2防数据丢失的系统要求18-4防数据丢失全局设置18-4编辑防数据丢失全局设置18-4RSA 邮件 DLP18-5如何使用 RSA 邮件 DLP 为部署设置防数据丢失启用防数据丢失（RSA 邮件 DLP）18-6适用于 RSA 邮件 DLP 的 DLP 策略18-6DLP 策略说明18-7预定义 DLP 策略模板18-7使用向导设置 RSA 邮件 DLP18-8使用预定义模板创建 DLP 策略18-9创建自定义 DLP 策略（高级）18-10关于使用内容匹配分类器定义禁止内容根据 DLP 策略过滤邮件18-20关于评估违规严重性18-20排列邮件 DLP 策略的顺序用于检测违规18-518-1118-21适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

将 DLP 策略与传出邮件策略关联起来关于编辑或删除 DLP 策略的重要信息RSA Enterprise Manager18-2318-2118-23Enterprise Manager 与邮件安全设备如何配合工作18-23Enterprise Manager 文档18-24如何在包含 RSA Enterprise Manager 的部署中设置防数据丢失从 RSA 邮件 DLP 迁移到 RSA Enterprise Manager18-30从 Enterprise Manager 检查 DLP 策略更新18-31RSA Enterprise Manager 和语言支持18-31将 Enterprise Manager 与集群化设备配合使用18-31关于删除和禁用 Enterprise Manager 部署中的策略18-31邮件安全设备与 Enterprise Manager 之间断开连接18-32从 Enterprise Manager 切换到 RSA 邮件 DLP18-32邮件操作18-32定义要针对 DLP 违规采取的操作（邮件操作）查看和编辑邮件操作18-34起草 DLP 通知18-35关于更新 DLP 引擎和内容匹配分类器18-37确定 RSA DLP 引擎的当前版本18-38DLP 更新注意事项18-38手动更新 DLP 引擎和内容匹配分类器18-38启用自动更新（不推荐）18-39集中化（集群化）设备上的 DLP 更新18-39回滚 DLP 更新18-39与 DLP 事件消息和数据配合使用18-4018-3318-24在“邮件跟踪”(Message Tracking) 中显示或隐藏敏感 DLP 数据18-37防数据丢失故障排除18-40Enterprise Manager 断开邮件安全设备的连接RSA 邮件 DLP 未能检测到邮件附件中的违规（仅限帮助 - 具有主题别名）DLP 策略自定义第 19

章18-4118-4118-41思科邮件加密19-119-119-2思科邮件加密概述如何通过本地密钥服务器加密邮件加密工作流程19-2使用邮件安全设备加密邮件19-3在邮件安全设备上启用邮件加密配置密钥服务如何处理加密邮件19-419-4适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

配置信封的默认区域设置更新为 PXE 引擎的最新版本19-719-7确定要加密的邮件19-8使用 TLS 连接作为备用项19-8使用内容过滤器加密并立即传送邮件在传送时使用内容过滤器加密邮件将加密信头添加到邮件。加密信头19-11加密信头示例19-13第 20

章19-819-1019-11S/MIME 安全服务20-120-120-120-2S/MIME 安全服务概述邮件安全设备中的 S/MIME 安全服务了解 S/MIME 安全服务的工作原理使用 S/MIME 签名、加密或签名并加密传出邮件20-4邮件安全设备中的 S/MIME 签名和加密工作流程20-4如何使用 S/MIME 签名、加密或签名并加密传出邮件20-5设置用于 S/MIME 签名的证书20-5设置用于 S/MIME 加密的公钥20-7管理 S/MIME 发送配置文件20-9确定要签名、加密或签名并加密的邮件20-11使用内容过滤器签名、加密或签名并加密及立即传送邮件20-11传送时使用内容过滤器签名、加密或签名并加密邮件20-12使用 S/MIME 验证、解密或解密并验证传入的邮件20-12邮件安全设备中的 S/MIME 验证和解密工作流程20-13如何使用 S/MIME 验证、解密或解密并验证传入的邮件设置解密邮件的证书20-14设置验证签名邮件的公钥20-15启用 S/MIME 解密和验证20-16配置针对 S/MIME 解密或验证的邮件的操作20-17S/MIME 证书要求签名的证书要求加密的证书要求20-1720-1720-1820-13管理公钥20-19添加公钥20-19从现有导出文件中导入公钥导出公钥20-2020-19适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

第 21

章邮件验证21-1邮件验证概述21-1DomainKey 和 DKIM 验证21-1DomainKey 和 DKIM 验证工作流程21-2AsyncOS 中的 DomainKey 和 DKIM 签名21-2配置 DomainKey 和 DKIM 签名21-3签名密钥21-3公钥21-4域配置文件21-4对外发邮件启用签名21-5对退回和延迟邮件启用签名21-6配置 DomainKey/DKIM 签名 (GUI)21-6域密钥和日志记录21-15使用 DKIM 如何验证传入的邮件21-15AsyncOS 执行的 DKIM 验证检查21-16管理 DKIM 验证配置文件21-16在邮件流策略上配置 DKIM 验证21-19配置针对 DKIM 已验证邮件的操作21-20SPF 和 SIDF 验证概述启用 SPF 和 SIDF21-2321-2621-2121-22使用 SPF/SDIF 如何验证传入邮件确定对 SPF/SIDF 已验证邮件执行的操作验证结果21-26在 CLI 中使用 spf-status 过滤器规则GUI 中的 spf-status 内容过滤器规则使用 spf-passed 过滤器规则21-29测试 SPF/SIDF 结果21-29SPF/SIDF 结果基本粒度测试SPF/SIDF 结果精细粒度测试21-2921-3021-2721-28DMARC 验证21-30DMARC 验证工作流程21-31使用 DMARC 如何验证传入的邮件第 22

章21-31文本资源22-1文本资源概述22-1内容词典22-1文本资源22-1邮件免责声明印记22-2适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

内容词典22-2词典内容22-2将词典作为文本文件导入和导出添加词典22-4删除词典22-4导入词典22-5导出词典22-5使用和测试内容词典过滤器规则词典匹配过滤器规则22-622-622-3了解文本资源22-7将文本资源作为文本文件导入和导出文本资源管理概述22-8添加文本资源22-8删除文本资源22-9导入文本资源22-9导出文本资源22-10基于 HTML 的文本资源概述22-822-10使用文本资源22-11免责声明模板22-11免责声明设置标记和多个编码22-14通知模板22-17防病毒通知模板22-17退回和加密失败通知模板22-19加密通知模板22-21第 23

章使用 SMTP 服务器验证收件人SMTP Call-Ahead 收件人验证概述23-123-123-1SMTP Call-Ahead 收件人验证工作流程如何使用外部 SMTP 服务器验证收件人23-3配置 Call-Ahead 服务器配置文件23-3启用侦听程序以通过 SMTP 服务器验证传入邮件配置 LDAP 路由查询设置SMTP Call-Ahead 查询路由23-623-723-723-5对特定用户或用户组忽略 SMTP Call-Ahead 验证第 24

章与其他 MTA 通信加密24-1与其他 MTA 通信加密概述24-1使用 TLS 加密 SMTP 会话的方法24-1适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

证书的使用24-2部署自签名证书部署自签名证书24-224-3在侦听程序的 HAT 中启用 TLS24-7使用 GUI 为公共或私有侦听程序分配用于 TLS 连接的证书使用 CLI 为公共或私有侦听程序分配用于 TLS 连接的证书日志记录24-8GUI 示例：更改侦听程序 HAT 的 TLS 设置24-8CLI 示例：更改侦听程序 HAT 的 TLS 设置24-9传送时启用 TLS 和证书验证24-10必要 TLS 连接失败时发送警报24-11日志记录24-12管理证书颁发机构列表24-12查看证书颁发机构预装列表24-13禁用系统证书颁发机构列表24-13导入自定义证书颁发机构列表24-13导出证书颁发机构列表24-14为 HTTPS 启用证书第 25

章24-724-824-14配置路由和传送功能25-1本地域的邮件路由25-1SMTP 路由概述25-2默认 SMTP 路由25-2定义 SMTP 路由25-3SMTP 路由限制25-3SMTP 路由和 DNS25-3SMTP 路由和警报25-3SMTP 路由、邮件传送和邮件拆分25-4SMTP 路由和出站 SMTP 身份验证25-4使用 GUI 管理发送出站邮件的 SMTP 路由重写地址25-725-4创建别名表25-7从命令行配置别名表导出和导入别名表从别名表中删除条目配置伪装25-16伪装和altsrchost25-1625-825-825-9域映射功能25-27导入和导出域映射表适用于思科邮件安全设备的 AsyncOS 9.7 用户指南25-33

目录

定向退回的邮件25-34处理无法传送的邮件25-35创建新的退回配置文件25-39将退回配置文件应用到侦听程序使用目标控制来控制邮件传送确定使用哪个接口传送邮件默认传送限制25-42使用目标控制25-4225-4025-4125-39退回验证25-48概述：标记和退回验证25-49接受合法的无标记退回邮件25-50使用退回验证防止退回邮件风暴25-51设置邮件传送参数默认传送 IP 接口可能的传送功能默认最大并发数deliveryconfig 示例25-5225-5325-5325-5325-5325-55使用虚拟网关™ 技术为所有托管的域配置邮件网关概述25-56设置虚拟网关地址25-56监控虚拟网关地址25-64管理每个虚拟网关地址的传送连接25-64使用全局取消订阅25-65使用 CLI 添加全局取消订阅地址导入和导出全局取消订阅文件回顾：邮件管道第 26

章25-6625-6825-69LDAP 查询26-1LDAP 查询概述26-1了解 LDAP 查询26-2了解 LDAP 任何与 AsyncOS 配合使用26-3将 Cisco IronPort 设备配置为与 LDAP 服务器配合使用26-4创建 LDAP 服务器配置文件以存储有关 LDAP 服务器的信息测试 LDAP 服务器26-6启用 LDAP 查询以在特定侦听程序中运行26-6对 Microsoft Exchange 5.5 的增强支持26-9使用 LDAP 查询26-11LDAP 查询的类型26-11基本可区别名称 (DN)26-1226-4适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

LDAP 查询语法26-12安全 LDAP (SSL)26-13路由查询26-13允许客户端匿名绑定到 LDAP 服务器测试 LDAP 查询26-16排除 LDAP 服务器连接故障26-17使用接受查询进行收件人验证接受查询示例26-18为 Lotus Notes 配置接受查询26-1726-1326-1826-19使用路由查询将邮件发送到多个目标地址路由查询示例26-19使用伪装查询重写信封发件人伪装查询示例

26-20伪装“友好名称”26-2026-19使用组 LDAP 查询确定收件人是否为组成员26-21组查询示例

26-21配置组查询26-22示例：使用组查询跳过垃圾邮件和病毒检查26-23使用基于域的查询路由到特定域创建基于域的查询26-25使用链查询执行一系列 LDAP 查询创建链查询26-2626-2426-26将 LDAP 用于目录搜集攻击预防26-27SMTP 会话期间的目录搜集攻击预防26-27工作队列中的目录搜集攻击防御26-29配置 AsyncOS 进行 SMTP 身份验证26-30配置 SMTP 身份验证26-31配置 SMTP 身份验证查询26-32通过另一个 SMTP 服务器SMTP 身份验证（带转发的 SMTP 身份验证）通过 LDAP 进行 SMTP 身份验证26-33使用客户端证书对 SMTP 会话进行身份验证26-37传出 SMTP 身份验证26-37记录和 SMTP 身份验证26-38为用户配置外部 LDAP 身份验证用户帐户查询26-39组成员身份查询26-3926-3826-33对垃圾邮件隔离区的最终用户进行身份验证26-40Active Directory 最终用户身份验证设置示例26-41OpenLDAP 最终用户身份验证设置示例26-41适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

垃圾邮件隔离区别名整合查询26-42Active Directory 别名整合设置示例26-42OpenLDAP 别名整合设置示例26-43确定发件人的用户RSA Enterprise Manager的可区别名称26-43用户可区别名称设置示例26-43将 AsyncOS 配置为与多个 LDAP 服务器配合使用26-44测试服务器和查询26-44故障切换26-44负载均衡26-45第 27

章使用客户端证书对 SMTP 会话进行身份验证27-1证书和 SMTP 身份验证概述27-1如何使用客户端证书验证用户27-2如何使用 SMTP 身份验证 LDAP 查询验证用户27-2如果客户端证书无效，如何使用 LDAP SMTP 身份验证查询验证用户检查客户端证书的有效性使用 LDAP 目录验证用户从设备建立 TLS 连接更新已撤销证书的列表第 28

章27-227-327-327-4使用客户端证书验证通过 TLS 的 SMTP 连接27-527-5使用邮件安全监控28-1邮件安全监控概述28-1邮件安全监控和集中管理28-2邮件安全监控页面28-2搜索和邮件安全监控28-3查看报告中包含的邮件的详细信息28-4我的仪表板页面28-5概述页面28-5“传入邮件”(Incoming Mail) 页面28-9传出邮件目标28-14传出邮件发件人28-14“传送状态”(Delivery Status) 页面28-15内部用户页面28-15DLP 事件页面28-17“内容过滤器”(Content Filters) 页面28-18DMARC 验证页面28-18“爆发过滤器”(Outbreak Filters) 页面28-19适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

“病毒类型”(Virus Types) 页面28-20“URL 过滤”(URL Filtering) 页面28-20“网络交互跟踪”(Web Interaction Tracking)28-21文件信誉和文件分析报告28-21“TLS 连接”(TLS Connections) 页面28-22“入站 SMTP 身份验证”(Inbound SMTP Authentication) 页面“速率限制”(Rate Limits) 页面28-23“系统容量”(System Capacity) 页面28-23“系统状态”(System Status) 页面28-26“大量邮件”(High Volume Mail) 页面28-27“邮件过滤器”(Message Filters) 页面28-28检索 CSV 数据28-28报告概述28-30计划的报告类型28-30设置报告的返回地址28-31管理报告28-31计划的报告28-32存档的报告28-33邮件报告故障排除28-34邮件跟踪链接导致出现意外结果云端的文件分析详细信息不完整第 29

章28-2228-3428-35邮件跟踪29-129-129-129-229-4邮件跟踪概览启用邮件跟踪搜索邮件处理邮件跟踪搜索结果邮件详细信息29-4检查邮件跟踪数据可用性关于邮件跟踪和升级29-629-6邮件跟踪故障排除29-7搜索结果中不显示附件搜索结果中缺失目标邮件第 30

章29-729-7集中策略、病毒和爆发隔离区策略、病毒和爆发隔离区概述集中隔离区概述隔离区类型30-230-230-130-1适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

集中策略、病毒和爆发隔离区30-3在安全管理设备上启用集中策略、病毒和爆发隔离区30-4向每个托管邮件安全设备添加集中策略、病毒和爆发隔离区服务配置策略、病毒和爆发隔离区的迁移30-6指定处理放行邮件的备用设备30-7为自定义用户角色配置集中隔离区访问权限30-8禁用集中策略、病毒和爆发隔离区30-8当邮件安全设备不可用时放行邮件30-8管理策略、病毒和爆发隔离区30-8策略、病毒和爆发隔离区的磁盘空间分配30-9邮件在隔离区中的保留时间30-9自动处理的隔离邮件的默认操作30-10检查系统创建的隔离区的设置30-11配置策略、病毒和爆发隔离区30-11关于编辑策略、病毒和爆发隔离区设置30-13确定策略隔离区分配到的过滤器和邮件操作30-13关于删除策略隔离区30-13监控隔离区状态、容量和活动30-14策略隔离区性能30-15关于隔离区磁盘空间使用量的警报30-15策略隔离区和日志记录30-15关于向其他用户分配邮件处理任务30-16关于集群配置中的策略、病毒和爆发隔离区30-17关于集中策略、病毒和爆发隔离区30-17处理策略、病毒或爆发隔离区中的邮件30-17查看隔离区中的邮件30-17在策略、病毒和爆发隔离区中查找邮件30-19手动处理隔离区中的邮件30-20多个隔离区中的邮件30-22邮件详细信息和查看邮件内容30-23关于重新扫描隔离的邮件30-27爆发隔离区30-27排除集中策略隔离区的故障30-28管理用户无法选择过滤器和 DLP 邮件操作中的隔离区不重新扫描从集中爆发隔离区放行的邮件30-28第 31

章30-530-28垃圾邮件隔离区31-131-131-1垃圾邮件隔离区概述本地与外部垃圾邮件隔离区适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

设置集中式垃圾邮件隔离区31-2启用和配置垃圾邮件隔离区31-2向每个托管邮件安全设备添加集中式垃圾邮件隔离区服务在安全管理设备上配置出站 IP 接口31-4配置浏览器访问垃圾邮件隔离区的 IP 接口31-5配置对垃圾邮件隔离区的管理用户访问权限31-6限制邮件被隔离的收件人31-6确保邮件文本正确显示31-7垃圾邮件隔离区语言31-7编辑垃圾邮件隔离区页面31-731-4使用安全列表和阻止列表基于发件人控制邮件传送31-7安全列表和阻止列表的邮件处理31-8启用安全列表和阻止列表31-8外部垃圾邮件隔离区和安全列表/阻止列表31-9向安全列表和阻止列表中添加发件人和域（管理员）关于最终用户访问安全列表和阻止列表31-11备份和恢复安全列表/阻止列表31-12安全列表和阻止列表故障排除31-1331-9为最终用户配置垃圾邮件管理功能31-14访问垃圾邮件管理功能的最终用户的身份验证选项31-14设置最终用户通过 Web 浏览器访问垃圾邮件隔离区的权限通知最终用户被隔离的邮件31-18管理垃圾邮件隔离区的邮件31-21访问垃圾邮件隔离区（管理用户）31-21搜索垃圾邮件隔离区中的邮件31-21查看垃圾邮件隔离区中的邮件31-22传送垃圾邮件隔离区中的邮件31-22删除垃圾邮件隔离区中的邮件31-22垃圾邮件隔离区的磁盘空间关于禁用外部垃圾邮件隔离区垃圾邮件隔离区功能故障排除第 32

章31-1631-2331-2331-23分配管理任务处理用户帐户用户角色管理用户32-132-132-232-3管理授权管理的自定义用户角色32-6“帐户权限”(Account Privileges) 页面分配访问权限32-8适用于思科邮件安全设备的 AsyncOS 9.7 用户指南32-7

目录

定义自定义用户角色32-12在添加用户帐户时定义自定义用户角色更新自定义用户角色的职责32-13编辑自定义用户角色32-14复制自定义用户角色32-14删除自定义用户角色32-14密码32-15更改密码32-15锁定和解锁用户帐户32-15配置受限制的用户帐户和密码设置外部身份验证32-19配置对邮件安全设备的访问配置基于 IP 的网络访问配置会话超时32-24向管理用户显示消息32-2232-2232-1232-1632-25管理安全外壳 (SSH) 密钥32-26示例：安装新公钥32-26示例：编辑 SSH 服务器配置远程 SSH 命令执行32-28查看会话详细信息32-28查看日志记录详细信息第 33

章32-2732-29系统管理33-1设备管理33-1关闭或重新引导设备33-2暂停邮件接收和传送33-2恢复暂停的邮件的接收和传送33-3重置为出厂默认设置33-3显示 AsyncOS 的版本信息33-4功能密钥33-4添加和管理的功能密钥33-4自动执行功能密钥下载和激活到期的功能密钥33-5思科邮件安全虚拟设备许可证虚拟设备许可证到期33-5管理配置文件33-6管理配置文件33-6查看配置文件33-1133-533-5适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

“配置文件”(Configuration File) 页面33-11管理磁盘空间33-11（仅限虚拟设备）增加可用磁盘空间33-12分配磁盘空间配额33-12管理“其他”(Miscellaneous) 配额的磁盘空间确保收到有关磁盘空间的警报33-13磁盘空间和集中管理33-13服务更新33-1333-13设置以获取升级和更新33-14分配升级和更新的选项33-14将您的网络配置为从思科服务器下载升级和更新33-15配置设备以在严格的防火墙环境中获取升级和更新33-15从本地服务器升级和更新33-15从本地服务器升级和更新的硬件和软件要求33-16在本地服务器上托管升级映像33-17通过代理服务器进行更新33-17配置服务器设置以下载升级和更新33-17配置自动更新33-19配置设备以验证更新程序服务器证书的有效性33-19将设备配置为信任代理服务器通信33-20升级 AsyncOS33-21关于升级集群系统33-21有关升级程序的批量命令33-21可用升级通知33-22升级 AsyncOS 的准备工作33-22下载和安装升级33-22启用远程电源管理33-2533-26恢复到之前版本的 AsyncOS恢复的影响33-26恢复 AsyncOS33-26为设备生成的邮件配置返回地址为系统运行状况参数配置阈值检查邮件安全设备的运行状况警报33-29自动支持33-30警报传送33-30添加警报收件人33-31配置警报设置33-3233-2733-2833-29适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

查看最近的警报警报说明33-3333-33更改网络设置33-45更改系统主机名33-45配置域名系统 (DNS) 设置33-46配置 TCP/IP 通信路由33-48配置默认网关33-48配置 SSL 设置33-49禁用 SSLv3 以增强安全性33-49系统时间33-50选择时区33-50编辑时间设置33-50自定义视图33-51使用收藏夹页面设置用户首选项33-5233-5233-53覆盖 Internet Explorer 兼容模式第 34

章使用 CLI 进行管理和监控34-134-1使用 CLI 进行管理和监控概述读取可用的监控组件34-2读取事件计数器34-2读取系统计量器34-3读取已传送和已退回邮件的速率使用 CLI 监控34-5监控邮件状态34-6监控详细邮件状态34-8监控邮件主机的状态34-11确定邮件队列的组成34-14显示实时活动34-15监控入站邮件连接34-18检查 DNS 状态34-19重置邮件监控计数器34-20识别有效的 TCP/IP 服务34-20管理邮件队列34-21删除队列中的收件34-21退回队列中的收件人34-22重定向队列中的邮件34-24根据队列中的收件人显示邮件暂停邮件传送34-2734-534-25适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

恢复邮件传送34-27暂停接收邮件34-28恢复接收邮件34-28恢复传送和接收邮件34-29安排邮件立即传送34-29暂停工作队列34-30查找和存档旧邮件34-32跟踪系统中的邮件34-33SNMP 监控34-34MIB 文件34-35硬件对象34-35SNMP 陷阱34-36第 35

章SenderBase 网络参与35-135-135-1SenderBase 网络参与概述与 SenderBase 共享统计数据常见问题解答第 36

章35-2GUI 中的其他任务36-1图形用户界面 (GUI)36-1在接口上启用 GUI36-1GUI 中的系统信息从 GUI 收集 XML 状态第 37

章36-236-2高级网络配置37-1以太网接口上的媒体设置37-1使用 etherconfig 编辑以太网接口上的介质设置网络接口卡配对/组合NIC 对命名37-4虚拟局域网 (VLAN)37-6关于配置 VLAN37-7管理 VLAN37-7直接服务器返回37-12启用直接服务器返回以太网接口的最大传输单位37-1237-1637-337-1适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

第 38

章日志记录38-1概述38-1了解日志文件和日志订阅日志类型38-1日志检索方法38-538-1日志类型38-6日志文件中的时间戳38-7使用文本邮件日志38-7使用传送日志38-14使用退回日志38-15使用状态日志38-17使用域调试日志38-19使用注入调试日志38-20使用系统日志38-21使用 CLI 审核日志38-22使用 FTP 服务器日志38-23使用 HTTP 日志38-23使用 NTP 日志38-24使用扫描日志38-25使用反垃圾邮件日志38-25使用灰色邮件日志38-26使用反病毒日志38-26使用垃圾邮件隔离区日志38-27使用垃圾邮件隔离区 GUI 日志38-27使用 LDAP 调试日志38-28使用安全列表/阻止列表日志38-29使用报告日志38-30使用报告查询日志38-31使用更新程序日志38-32了解跟踪日志38-33使用身份验证日志38-33使用配置历史记录日志38-34日志订阅38-35配置日志订阅38-35在 GUI 中创建日志订阅38-36配置日志记录的全局设置38-37回滚日志订阅38-39在 GUI 上查看最近的日志条目38-41在 CLI 中查看最近的日志条目（tail 命令）配置主机密钥38-43

38-41适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

第 39

章使用集群进行集中管理集群要求39-239-139-1使用集群进行集中管理概述集群组织39-2初始配置设置39-3创建和加入集群39-3clusterconfig 命令39-4添加组39-9管理集群39-10通过 CLI 管理集群39-10复制和移动设置39-11测试新配置39-11永久离开集群（删除）39-12升级集群中的计算机39-12CLI 命令支持39-13所有命令均为集群感知39-13限制的命令39-13通过 GUI 管理集群39-14集群通信39-17DNS 和主机名解析39-17集群通信安全39-17集群一致性39-18断开/重新连接39-19相互依赖的设置39-20在集群设备中加载配置39-21最佳实践和常见问题解答39-22最佳实践39-22设置和配置问题39-25一般问题39-26网络问题39-26规划和配置39-27第 40

章测试和故障排除40-140-1使用测试邮件调试邮件流：追踪使用侦听程序测试设备排除网络故障40-13测试设备的网络连接40-940-13适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

排除侦听程序故障排除性能问题40-2240-1940-20排除从设备传送邮件的故障警报响应40-23警报：C380 或 C680 硬件上发生电池充放电超时（RAID 事件）排除警报“其他磁盘使用量接近配额”故障40-23远程重置设备电源40-2340-23使用技术支持40-24对虚拟设备的技术支持40-24从设备提交或更新支持请求40-24启用思科技术支持人员远程访问40-25运行数据包捕获40-27第 41

章使用 D 模式优化设备的出站邮件传送41-1功能摘要：用于优化出站传送的 D 模式41-1启用 D 模式的设备独有的功能41-1在启用了 D 模式的设备中禁用的标准功能41-2适用于启用了 D 模式的设备的标准功能41-2设置设备以优化出站邮件传送配置节约资源的退回设置41-341-341-4使用 IronPort 邮件合并 (IPMM) 发送大量邮件IronPort 邮件合并概述41-4邮件合并功能的优势41-4使用邮件合并41-4命令描述41-7有关定义变量的说明41-8IPMM 会话示例41-8第 42

章集中思科内容安全管理设备中的服务思科内容安全管理设备服务概述网络规划42-142-142-1使用外部垃圾邮件隔离区42-2邮件流和外部垃圾邮件隔离区42-2从本地垃圾邮件隔离区迁移到外部隔离区42-3启用外部垃圾邮件隔离区和外部安全列表/阻止列表禁用本地垃圾邮件隔离区以激活外部隔离区42-4外部垃圾邮件隔离区故障排除42-442-3适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

关于集中策略、病毒和爆发隔离区42-5集中策略、病毒和爆发隔离区42-5关于策略、病毒和爆发隔离区的迁移集中策略、病毒和爆发隔离区42-6关于禁用集中策略、病毒和爆发隔离区集中策略、病毒和爆发隔离区故障排除配置集中报告配置集中邮件跟踪使用集中服务附录

A42-642-842-842-942-1042-10FTP、SSH 和 SCP 访问A-1IP 接口A-1AsyncOS 如何选择默认 IP 接口配置对邮件安全设备的 FTP 访问安全复制 (scp) 访问权限A-4A-2A-2通过串行连接访问邮件安全设备附录

BA-5分配网络和 IP 地址以太网接口B-1B-1选择 IP 地址和网络掩码接口配置示例B-2IP 地址、接口和路由摘要B-3连接思科设备的策略附录

CB-1B-2B-3邮件策略和内容过滤器示例C-1传入邮件策略概述C-1访问邮件策略C-1配置传入邮件的默认反垃圾邮件策略C-3为一组发件人和收件人创建邮件策略C-4为不同的发件人组和收件人组创建邮件策略C-7在邮件策略中查找发件人或收件人C-10基于内容过滤邮件C-12将各个内容过滤器应用到不同的收件人组C-15有关在 GUI 中配置内容过滤器的说明C-17适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

附录

D防火墙信息D-1附录

E最终用户许可协议E-1E-1E-5思科系统公司最终用户许可协议思科系统公司内容安全软件最终用户补充许可协议术语表索引适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

目录

适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

第1章思科邮件安全设备使用入门••••本版本中的新增内容（第 1-1 页）Changed Behavior, page1-4哪里可以获得详细信息（第 1-1 页）思科邮件安全设备概述（第 1-4 页）本版本中的新增内容待定哪里可以获得详细信息思科提供以下资源用于了解有关设备的更多信息：•••••••••文档（第 1-2 页）培训（第 1-2 页）思科通知服务（第 1-2 页）知识库（第 1-3 页）思科支持社区（第 1-3 页）思科客户支持（第 1-3 页）第三方贡献者（第 1-3 页）思科欢迎您进行评论（第 1-4 页）注册思科帐户（第 1-4 页）适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

1-1

第 1 章 思科邮件安全设备使用入门 哪里可以获得详细信息

文档

可通过点击右上角的“帮助和支持”(Help and Support)，直接从设备 GUI 访问在线帮助版本的用户指南。针对思科邮件安全设备设置的文档包括以下文档和手册：••••••版本说明

思科邮件安全设备快速入门指南适用于思科邮件安全设备的 AsyncOS

用户指南（本手册）思科内容安全虚拟设备安装指南适用于思科邮件安全设备的 AsyncOS CLI

参考指南

适用于思科邮件安全设备的 AsyncOS API -

使用入门指南所有思科内容安全产品的文档均可从以下位置获取：思科内容安全产品的文档

硬件和虚拟设备思科邮件安全

思科互联网安全

思科内容安全管理

适用于思科内容安全设备的 CLI

参考指南思科 IronPort 加密位置

请参阅此表中适用的产品。/c/en/us/support/security/content-security-management-appliance/tp:///c/en/us/support/security/web-security-appliance/

/c/en/us/support/security/email-security-appliance/

/c/en/us/support/security/email-security-appliance/tp:///c/en/us/support/security/email-encryption/

培训有关培训的详细信息可从以下网址获得：••/web/learning/le31/email_sec/

/web/learning/

思科通知服务

注册可接收与您的思科内容安全设备相关的通知，例如安全建议、现场通知、停止销售或停止支持声明，以及有关软件更新和已知问题的信息。可以指定通知频率和接收的信息类型等选项。有关使用的每种产品的通知，应单独注册。要进行注册，请访问 /cisco/support/

需要有 帐户。如果没有，请参阅注册思科帐户（第 1-4 页）。适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

第 1 章 思科邮件安全设备使用入门 哪里可以获得详细信息

知识库步骤1转到主产品页面

(/c/en/us/support/security/email-security-appliance/)

查找名称中包含 TechNotes 的链接。步骤2思科支持社区思科支持社区是一个面向思科客户、合作伙伴和员工的在线论坛。它提供了一个讨论常规电邮和

web 安全问题以及有关具体思科产品的技术信息的场合。可以向论坛发布主题咨询问题，并与其他思科用户分享信息。通过以下 URL 访问客户支持门户中的思科支持社区：•针对邮件安全和相关管理：/community/netpro/security/email

针对网络安全和相关管理：/community/netpro/security/web

•思科客户支持请使用以下方法获取支持：美国：拨打 1 (408) 526-7209 或免费电话 1 (800) 553-2447

国际：/en/US/support/tsd_cisco_worldwide_

支持网站：/en/US/products/ps11169/serv_group_

如果您是通过经销商或另一个供应商购买了支持，请直接联系该供应商咨询您的产品支持问题：第三方贡献者思科 AsyncOS 的某些软件根据 FreeBSD, Inc.、Stichting Mathematisch Centrum、Corporation for

National Research Initiatives, Inc. 及其他第三方贡献者的软件许可协议条款、通知和条件分发，所有此类条款和条件均包含在思科许可协议当中。这些协议的全文可通过以下网站查看：/3rdparty/AsyncOS_User_。经 Tobi Oetiker 明确书面同意，思科 AsyncOS 的部分软件基于 RRDtool。本文档中部分相关内容的复制已取得 Dell Computer Corporation 的许可。本文档中部分相关内容的复制已取得 McAfee, Inc. 的许可。本文档中部分相关内容的复制已取得 Sophos Plc 的许可。适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

第 1 章 思科邮件安全设备使用入门 思科邮件安全设备概述

思科欢迎您进行评论思科技术发布团队热衷于完善产品文档。我们时刻欢迎您给出评论和建议。您可以将评论发送至以下电邮地址：*****************************请在邮件主题中提供产品名称、版本号和文档发布日期。注册思科帐户要访问 上的许多资源，都需要有思科帐户。如果您没有 用户 ID，可以在此注册一个帐户：/RPF/register/相关主题••思科通知服务（第 1-2 页）知识库（第 1-3 页）思科邮件安全设备概述思科 AsyncOS™ 操作系统包括以下功能：••••••网关处的反垃圾邮件，通过 SenderBase 信誉过滤器和思科反垃圾邮件集成的独特多层方法。网关处的防病毒，使用 Sophos 和 McAfee 防病毒扫描引擎。Outbreak Filters™，思科的针对新病毒、诈骗和网络钓鱼爆发提供的独特预防保护，可以隔离危险邮件，直到应用新的更新，从而缩短新邮件威胁的漏洞窗口。策略、病毒和病毒爆发隔离区提供一个安全的位置来存储可疑邮件供管理员评估。内部或外部的垃圾邮件隔离区，使最终用户可以访问隔离的垃圾邮件和疑似垃圾邮件。邮件身份验证。思科 AsyncOS 支持各种不同形式的邮件身份验证，包括传入邮件的发件人策略框架 (SPF)、发件人 ID 框架 (SIDF) 和 DomainKeys 确定的邮件 (DKIM) 验证，以及传出邮件的 DomainKeys 和 DKIM 签名。思科邮件加密。可以加密传出邮件以满足 HIPAA、GLBA 或类似的管理需求。为此，需要在邮件安全设备上配置加密策略并使用本地密钥服务器或托管密钥服务来加密邮件。邮件安全管理器，一个综合控制面板，用于管理设备中的所有邮件安全服务和应用。邮件安全管理器可以基于用户组实施邮件安全，以便通过不同的入站和出站策略管理思科信誉过滤器、爆发过滤器、反垃圾邮件、防病毒和邮件内容策略。内部隔离区，用于保留违反邮件策略的邮件。隔离区与病毒爆发过滤器功能无缝交互。机上邮件跟踪。AsyncOS 包含机上邮件跟踪功能，可轻松找到邮件安全设备处理的邮件的状态针对入站和出站邮件的邮件流监控，用于全面了解企业的所有邮件流量。基于发件人的 IP 地址、IP 地址范围或域，针对入站发件人的访问控制。广泛的邮件过滤技术，用于实施公司策略并在特定邮件进入或离开公司基础设施时执行相应操作。过滤器规则根据邮件或附件内容、有关网络的信息、邮件信封、邮件信头或邮件正文识别邮件。过滤器操作允许删除、退回、存档、密件复制或更改邮件，或者生成通知。•••••••适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

第 1 章 思科邮件安全设备使用入门 思科邮件安全设备概述

••通过传输层安全使用安全 SMTP 进行邮件加密可确保加密在公司基础设施与其他可信主机之间传输的邮件。Virtual Gateway™ 技术允许邮件安全设备在单个服务器中用作多个邮件网关，以便划分不同来源或活动中的邮件以通过单独的 IP 地址发送。这样可以确保影响一个 IP 地址的可传送性问题不会影响其他 IP 地址。AsyncOS 支持符合 RFC 2821 标准的简单邮件传输协议 (SMTP)，以接受并传输邮件。大多数报告、监控和配置命令都可通过基于 Web 的 GUI 和 HTTP 或 HTTPS 使用。此外，还为系统提供了从 Secure Shell (SSH) 或直接串行连接访问的交互式命令行界面 (CLI)。还可以设置安全管理设备，以整合对多个邮件安全设备的报告、跟踪和隔离区管理。相关主题•支持的语言（第 1-5 页）支持的语言AsyncOS 可使用以下任何语言显示其 GUI 和 CLI：••••••••••英语法语西班牙语德语意大利语韩语日语葡萄牙语（巴西）中文（繁体和简体）俄语适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

第 1 章 思科邮件安全设备使用入门 思科邮件安全设备概述

适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

第2章访问设备••基于 Web 的图形用户界面 (GUI)（第 2-1 页）命令行界面 (CLI)（第 2-3 页）基于 Web 的图形用户界面 (GUI)

可以使用基于 Web 的图形用户界面 (GUI) 和命令行界面 (CLI) 管理设备。GUI 包含配置和监控系统所需的多数功能。但是，并非所有 CLI 命令在 GUI 中都提供；某些功能只能通过 CLI 提供。••浏览器要求（第 2-1 页）访问 GUI（第 2-2 页）浏览器要求要访问基于 Web 的 UI，您的浏览器必须支持和能够接受 JavaScript 和 Cookie，而且还必须能够显示包含级联样式表 (CSS) 的 HTML 页面。浏览器Internet Explorer 11.0Safari 7.0 及更高版本Firefox 39.0 及更高版本Chrome 44.0 及更高版本操作系统Microsoft Windows 7Mac OS XMicrosoft Windows 7、Mac OS XMicrosoft Windows 7、Mac OS X请勿同时使用多个浏览器窗口或选项卡对设备进行更改。也不要使用并行 GUI 和 CLI 会话。否则将会导致意外行为，且不受支持。要使用 Web 界面，可能需要配置浏览器的弹出阻止设置，因为界面中的某些按钮或链接会导致其他窗口打开。适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

2-1

第 2 章 访问设备 更改配置设置

访问 GUI要在全新的系统中访问 GUI，请访问以下 URL：192.168.42.42显示登录页面时，使用默认的用户名和密码登录系统。相关主题••出厂默认用户名和密码（第 2-2 页）集中管理（第 2-2 页）出厂默认用户名和密码••用户名：admin密码：ironport在全新的（不是从以前的 AsyncOS 版本升级而来）系统上，您将自动重定向到系统设置向导。在初始系统设置期间，需要为接口选择 IP 地址以及是否为这些接口运行 HTTP 和 HTTPS 服务。为接口启用 HTTP 和/或 HTTPS 服务后，可以使用任意支持的浏览器查看 GUI，只需在浏览器的位置区域（即“地址栏”）输入 IP 接口的 IP 地址或主机名作为 URL 即可。例如：192.168.1.1 或192.168.1.1 或

或注意如果为接口启用了 HTTPS（并且 HTTP 请求未重定向至源服务），请记得使用“”前缀访问 GUI。相关主题•添加用户（第 32-4 页）集中管理如果您创建了一个集群，则可以在集群中浏览计算机，也可以从 GUI 内在集群、组和计算机之间。创建、删除、复制和移动设置（即执行

clustermode 和

clusterset 命令的等价命令）有关详细信息，请参阅通过 GUI 管理集群（第 39-14 页）。更改配置设置••配置更改（第 2-3 页）确认或放弃更改（第 2-3 页）适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

第 2 章 访问设备 命令行界面 (CLI)

配置更改可以在邮件操作正常执行时进行配置更改。确认或放弃更改

您必须明确保存多数配置更改。更改等待确认时，“确认更改”(Commit Changes) 按钮变为橙色。要清除或确认这些更改，请点击确认更改 (Commit Changes)。命令行界面 (CLI)命令行界面可通过已在启用了这些服务的情况下配置的 IP 接口上的 SSH 访问，或通过串行端口上的端子仿真软件访问。默认情况下，SSH 在管理端口上配置。使用

interfaceconfig

命令可禁用这些服务。有关 CLI 命令和约定的更多信息，请参阅适用于思科邮件安全设备的 AsyncOS CLI

参考指南。访问 CLI 的出厂默认用户名和密码与 Web 接口的用户名和密码相同。请参阅出厂默认用户名和密码（第 2-2 页）。注意适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

2-3

第 2 章 访问设备 命令行界面 (CLI)

适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

第3章设置和安装•••••安装规划（第 3-1 页）将邮件安全设备通过物理方式连接到网络（第 3-4 页）为系统设置做好准备（第 3-8 页）使用系统设置向导（第 3-13 页）

验证您的配置和后续步骤（第 3-35 页）

安装规划••••查看影响规划决策的信息（第 3-1 页）计划将邮件安全设备放置在网络外围（第 3-1 页）在 DNS 中注册邮件安全设备（第 3-2 页）安装情景（第 3-2 页）查看影响规划决策的信息

•••如果您要配置虚拟邮件安全设备，请先参阅思科内容安全虚拟设备安装指南，然后再继续阅读本章。如果您要配置 M 系列思科内容安全管理设备，请参阅第 42 章“集中思科内容安全管理设备中的服务”。我们建议在安装之前先查看第 4 章“了解邮件管道”，因为某些特性和功能可能会影响您的基础设施中设备的放置。计划将邮件安全设备放置在网络外围邮件安全设备旨在用作 SMTP 网关，也称为邮件交换 (MX)。为获得最佳效果，某些功能要求设备是具有可直接访问互联网的 IP 地址的第一台机器（即它是外部 IP 地址）才能发送和接收邮件。根据收件人的信誉过滤，反垃圾邮件、防病毒和病毒爆发过滤器功能（请参阅 SenderBase 信誉服务（第 6-1 页）、IronPort 反垃圾邮件过滤（第 13-3 页）、Sophos 防病毒过滤（第 12-2 页）和 爆发过滤器（第 15-1 页））旨在处理互联网和内部网络邮件的直接流量。您可以配置设备，对传入及传出企业的所有邮件流量进行策略实施（有关定义允许连接哪些主机的概述（第 7-1 页））。适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

3-1

第 3 章 设置和安装 安装规划

确保邮件安全设备可通过公共互联网访问，且是您的邮件基础设施中的“第一跳”。如果允许其他 MTA 放置在您的网络外围并处理所有外部连接，则邮件安全设备无法确定发件人的 IP 地址。需要发件人的 IP 地址才能识别和区分邮件流监控中的发件人，以查询 SenderBase 信誉服务获得发件人的 SenderBase 信誉得分 (SBRS)，以及提高反垃圾邮件和爆发过滤器功能的效果。如果无法将设备配置为从互联网接收邮件的第一台机器，仍可以使用设备上提供的一些安全服务。有关详细信息，请参阅通过传入中继确定部署中的发件人 IP 地址（第 13-14 页）。当您将邮件安全设备用作 SMTP 网关时：•••注意通过邮件流监控功能（请参阅第 28 章“使用邮件安全监控”），可以全面了解贵企业中来自内部和外部发件人的所有邮件流量。LDAP 路由、别名和伪装查询（请参阅第 26 章“LDAP 查询”）可以整合您的目基础设施并提供更简单的更新。别名表（请参阅创建别名表（第 25-7 页））、基于域的路由（域映射功能（第 25-27 页））和伪装（配置伪装（第 25-16 页））等熟悉的工具可以让您更轻松地从开源 MTA 进行过渡。在 DNS 中注册邮件安全设备恶意邮件发件人会主动搜索公共 DNS 记录寻找新的受害者。为了充分利用反垃圾邮件、爆发过滤器、McAfee 防病毒和 Sophos 防病毒功能，请确保在 DNS 中注册邮件安全设备。要在 DNS 中注册设备，请创建一条 A 记录，将设备的主机名映射到其 IP 地址，再创建一条 MX

记录，将您的公共域映射到设备的主机名。您必须为 MX 记录指定优先级，才能将邮件安全设备公布为域的主 MTA 或备用 MTA。在下面的示例中，邮件安全设备 () 是域 的备用 MTA，因为其

MX 记录具有更高的优先级值 (20)。换句话说，该数值越大，MTA 的优先级越低。$ host -t mx mail is handled (pri=10) by mail is handled (pri=20) by 通过在 DNS 中注册邮件安全设备，无论如何设置 MX 记录的优先级，都将吸引垃圾邮件攻击。但是，病毒攻击很少会瞄准备用 MTA。在这种情况下，如果您最终分地挖掘出防病毒引擎的潜能，请将邮件安全设备的 MX 记录优先级值设置为等于或高于其他 MTA 值。安装情景您可以采用多种方式在现有网络基础设施中安装邮件安全设备。以下情景代表了大多数客户的网络配置。如果您的网络配置有很大的差异，并且希望在规划安装方面获得帮助，请与思科客户支持（请参阅思科客户支持（第 1-3 页））联系。••••配置概述（第 3-3 页）传入（第 3-3 页）传出（第 3-3 页）以太网接口（第 3-3 页）适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

第 3 章 设置和安装 安装规划

••高级配置（第 3-4 页）防火墙设置（NAT，端口）（第 3-4 页）配置概述下图显示邮件安全设备在企业网络环境中的典型安装。在某些情况下，邮件安全设备位于网络“DMZ”内，此时邮件安全设备和组件服务器之间会有一道额外的防火墙。下面介绍以下网络方案：•在防火墙后：两个侦听程序配置（图3-1（第 3-6 页））选择与您的基础设施最匹配的配置。然后继续下一部分为系统设置做好准备（第 3-8 页）。传入•••您指定的本地域接受传入邮件。所有其他域都将被拒绝。外部系统直接连接到邮件安全设备以在本地域中传输邮件，邮件安全设备通过 SMTP 路由将邮件中继到适当的组件服务器（例如，Exchange™、Groupwise™、Domino™）。（请参阅本地域的邮件路由（第 25-1 页）。）传出••内部用户发送的传出邮件通过组件服务器路由到邮件安全设备。邮件安全设备根据私人侦听程序的主机访问表中的设置接受传出邮件。（有关详细信息，请参阅使用侦听程序（第 5-2 页）。）以太网接口在这些配置中，只需要邮件安全设备上的一个可用以太网接口。但是，您可以配置两个以太网接口，并将您的内部网络与外部互联网连接分开。有关将多个 IP 地址分配到可用接口的详细信息，请参阅使用虚拟网关™ 技术为所有托管的域配置邮件网关（第 25-55 页）和附录 B“分配网络和 IP 地址”。适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

3-3

第 3 章 设置和安装 将邮件安全设备通过物理方式连接到网络

硬件端口硬件设备上端口的数量和类型取决于型号：端口

管理

数据

控制台

远程电源管理 (RPC)

类型以太网以太网C17002*C37013NC670139 针NX1070 C380139 针N13有C68013有序列 9 针9 针以太网

NRJ-45RJ-45*对于没有专用管理端口的设备，请使用 Data1 端口进行管理。有关端口的详细信息，请参阅您的设备型号对应的硬件安装指南。相关主题•••配置网络接口（第 3-17 页）通过串行连接访问邮件安全设备（第 A-5 页）启用远程电源管理（第 33-25 页）高级配置除了图3-1 和图3-2 显示的配置外，您还可以配置：••使用集中管理功能的多个邮件安全设备。请参阅第 39 章“使用集群进行集中管理”。

网络接口卡级别的冗余，方法是使用 NIC 配对功能“组合”邮件安全设备上的两个以太网接口。请参阅第 37 章“高级网络配置”。防火墙设置（NAT，端口）SMTP 和 DNS 服务必须具有互联网访问权限。其他服务可能也需要打开的防火墙端口。有关详细信息，请参阅附录 D“防火墙信息”。将邮件安全设备通过物理方式连接到网络•配置情景（第 3-4 页）配置情景邮件安全设备的典型配置场景如下：••接口 - 大多数网络环境只需要邮件安全设备上三个可用以太网接口中的一个。但是，您可以配置两个以太网接口，并将您的内部网络与外部互联网连接分开。公共侦听程序（传入邮件）- 公共侦听程序接收来自许多外部主机的连接并将邮件定向到数量有限的内部组件服务器。适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

第 3 章 设置和安装 将邮件安全设备通过物理方式连接到网络

–根据主机访问表 (HAT) 中的设置接受来自外部邮件主机的连接。默认情况下，HAT 配置为接受来自所有外部邮件主机的连接。–仅当为收件人访问表 (RAT) 中指定的本地域寻址时接受传入邮件。所有其他域都将被拒绝。–将邮件中继到适当的内部组件服务器，如 SMTP 路由所定义。•私人侦听程序（传出邮件）- 私人侦听程序接收来自数量受限的内部组件服务器的连接，并将邮件定向到许多外部邮件主机。–内部组件服务器配置为将传出邮件路由到 思科 C 或 X 系列设备。–邮件安全设备根据 HAT 中的设置接受来自内部组件服务器的连接。默认情况下，HAT 配置为中继来自所有内部邮件主机的连接。相关主题•将传入和传出邮件分离（第 3-5 页）将传入和传出邮件分离您可以通过单独的侦听程序以及在单独的 IP 地址上分离传入和传出邮件流量。您可以使用互联网协议第 4 版 (IPv4) 和第 6 版 (IPv6) 地址。但是，设备上的系统设置向导支持下列初始配置：•在独立的物理接口上配置的 2 个逻辑 IPv4 和 2 个 IPv6 地址上的 2 个独立侦听程序–分离传入和传出流量–您可以将 IPv4 和 IPv6 地址分配到每个侦听程序•在一个物理接口配置的 1 个逻辑 IPv4 地址上的 1 个侦听程序–合并传入和传出流量–您可以将 IPv4 和 IPv6 地址都分配到侦听程序下面包括了一个和两个侦听程序配置的配置工作表（请参阅收集设置信息（第 3-10 页））。下面三幅图中的一幅代表了大多数配置情景。适用于思科邮件安全设备的 AsyncOS 9.7 用户指南

本文标签： 邮件思科使用配置过滤器