Configurar la política de correo electrónico IMAP en el dispositivo serie SRX
A diferencia de las políticas de análisis de archivos en las que se define una instrucción de permiso o bloque de acción, con la administración de correo electrónico IMAP, la acción a realizar se define en la configuración > correos electrónicos > ventana IMAP . El resto de acciones se definen con comandos de CLI como antes.
En la ventana IMAP de juniper ATP Cloud, puede seleccionar todos los servidores IMAP o servidores IMAP específicos y enumerarlos. Por lo tanto, la configuración IMAP enviada al dispositivo de la serie SRX tiene una marca llamada "process_all_traffic" que es predeterminada como True, y una lista de servidores IMAP, que puede estar vacío. En el caso de que "process_all_traffic" se establezca en True, pero hay servidores enumerados en la lista de servidores IMAP, entonces todos los servidores se procesan independientemente de la lista de servidores. Si "process_all_traffic" no se establece en True, solo se procesan los servidores IMAP de la lista de servidores.
A continuación, se muestra un ejemplo de política con archivos adjuntos de correo electrónico dirigidos en el perfil profile2.
user@host# show services advanced-anti-malware
...
policy policy1 {
http {
inspection-profile default_profile; # Global profile
action permit;
}
imap {
inspection-profile profile2; # Profile2 applies to IMAP email
notification {
log;
}
}
verdict-threshold 8; # Globally, a score of 8 and above indicate possible malware
fallback-options {
action permit;
notification {
log;
}
}
default-notification {
log;
}
whitelist-notification {
log;
}
blacklist-notification {
log;
}
fallback-options {
action permit; # default is permit and no log.
notification log;
}
}
...
En el ejemplo anterior, el perfil de correo electrónico (perfil2) se ve así:
user@host> show services advanced-anti-malware profile
Advanced anti-malware inspection profile:
Profile Name: profile2
version: 1443769434
disabled_file_types:
{
application/x-pdfa: [pdfa],
application/pdf: [pdfa],
application/mbox: []
},
disabled_categories: [java, script, documents, code],
category_thresholds: [
{
category: executable,
min_size: 512,
max_size: 1048576
},
{
category: library,
min_size: 4096,
max_size: 1048576
}]
La política de firewall es similar a la anterior. La política de AAMW se coloca en la zona de confianza a la zona de no confianza. Vea el ejemplo a continuación.
user@host# show security policies from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
advanced-anti-malware-policy policy1;
ssl-proxy {
profile-name ssl-proxy1;
}
}
}
}
}
}
A continuación, se muestra otro ejemplo con el comando de CLI show services advanced-anti-malware policy . En este ejemplo, los correos electrónicos se cuarentenan si se detecta que sus archivos adjuntos contienen malware. Una puntuación de veredicto de 8 y superior indica malware.
user@root> show services advanced-anti-malware policy
Advanced-anti-malware configuration:
Policy Name: policy1
Default-notification : Log
Whitelist-notification: No Log
Blacklist-notification: No Log
Fallback options:
Action: permit
Notification: Log
Protocol: HTTP
Verdict-threshold: recommended (7)
Action: block
Notification: No Log
Inspection-profile: default
Protocol: SMTP
Verdict-threshold: recommended (7)
Action: User-Defined-in-Cloud (permit)
Notification: Log
Inspection-profile: default
Protocol: IMAP
Verdict-threshold: recommended (7)
Action: User-Defined-in-Cloud (permit)
Notification: Log
Inspection-profile: test
Opcionalmente, puede configurar proxy hacia adelante e inverso para la protección del servidor y del cliente, respectivamente. Por ejemplo, si usa IMAPS, es posible que desee configurar el proxy inverso. Para obtener más información sobre cómo configurar el proxy inverso, consulte Configurar el proxy inverso en el dispositivo serie SRX.
# show services ssl
initiation { # for cloud connection
profile srx_to_sky_tls_profile_name {
trusted-ca sky-secintel-ca;
client-certificate sky-srx-cert;
}
}
proxy {
profile ssl-client-protection { # for forward proxy
root-ca ssl-inspect-ca;
actions {
ignore-server-auth-failure;
log {
all;
}
}
}
profile ssl-server-protection { # for reverse proxy
server-certificate ssl-server-protection;
actions {
log {
all;
}
}
}
}
Utilice el comando cli show services advanced-anti-malware statistics para ver información estadística sobre la administración de correo electrónico.
user@host> show services advanced-anti-malware statistics
Advanced-anti-malware session statistics:
Session interested: 3291750
Session ignored: 52173
Session hit blacklist: 0
Session hit whitelist: 0
Total HTTP HTTPS SMTP SMTPS IMAP IMAPS
Session active: 52318 0 0 52318 0 0 0
Session blocked: 0 0 0 0 0 0 0
Session permitted: 1354706 0 0 1354706 0 0 0
Advanced-anti-malware file statistics:
Total HTTP HTTPS SMTP SMTPS IMAP IMAPS
File submission success: 83134 0 0 83134 0 0 0
File submission failure: 9679 0 0 9679 0 0 0
File submission not needed: 86104 0 0 86104 0 0 0
File verdict meets threshold: 65732 0 0 65732 0 0 0
File verdict under threshold: 16223 0 0 16223 0 0 0
File fallback blocked: 0 0 0 0 0 0 0
File fallback permitted: 4512 0 0 4512 0 0 0
File hit submission limit: 0 0 0 0 0 0 0
Advanced-anti-malware email statistics:
Total SMTP SMTPS IMAP IMAPS
Email processed: 345794 345794 0 0 0
Email permitted: 42722 42722 0 0 0
Email tag-and-delivered: 0 0 0 0 0
Email quarantined: 9830 9830 0 0 0
Email fallback blocked: 0 0 0 0 0
Email fallback permitted: 29580 29580 0 0 0
Email hit whitelist: 0 0 0 0 0
Email hit blacklist: 0 0 0 0 0
Como antes, utilice el comando cli clear services advanced-anti-malware statistics para borrar las estadísticas anteriores cuando esté resolviendo problemas.
Para fines de depuración, también puede establecer opciones de seguimiento IMAP.
user@host# set services advanced-anti-malware traceoptions flag imap
Antes de configurar la política de prevención de amenazas IMAP, asegúrese de haber hecho lo siguiente:
Defina la acción a realizar (bloquear o entregar mensajes maliciosos) y la notificación por correo electrónico del usuario final en la ventana Configurar > correos electrónicos > IMAP .
(Opcional) Cree un perfil en la ventana Configurar > perfiles de dispositivo para indicar qué tipos de datos adjuntos de correo electrónico se analizarán. O bien, puede usar el perfil predeterminado.
Los pasos siguientes muestran la configuración mínima. Para configurar la política de prevención de amenazas para IMAP mediante la CLI: