Whitelisting Cisco IronPort / Secure Email

Procédure de configuration pour Cisco Email Security Appliance (ESA) / Cloud Email Security (CES)

Important : Cisco ESA dispose de plusieurs couches de sécurité qui peuvent bloquer ou modifier nos emails de simulation. La configuration complète nécessite des actions via l'interface graphique (GUI) et via la ligne de commande (CLI). Le Sender Group seul ne suffit pas : sans le Message Filter, les moteurs AMP, Graymail et Outbreak Filter peuvent toujours bloquer nos emails.

Sommaire

  1. Sender Group — HAT Whitelist (GUI)
  2. Message Filter — Bypass des moteurs de sécurité (CLI)
  3. Outbreak Filter — Bypass Domain Scanning (GUI)
1.
Sender Group — HAT Whitelist

Créez un Sender Group dédié dans la Host Access Table (HAT) et associez-le à la politique $TRUSTED. Les emails provenant de ce groupe ne seront pas soumis au rate limiting et contourneront le moteur antispam.

  1. Connectez-vous à la console d'administration Cisco ESA / CES.
  2. Rendez-vous dans l'onglet Mail Policies.
  3. Sous la section Host Access Table, cliquez sur HAT Overview.
  4. Vérifiez que le listener InboundMail est sélectionné (menu déroulant à droite).
  5. Cliquez sur Add Sender Group…
  6. Renseignez les champs suivants :
    • Name : LEPHISH_SIMULATION
    • Comment : LePhish - Simulation de phishing
    • Policy : sélectionnez $TRUSTED
  7. Cliquez sur Submit and Add Senders >>.
  8. Dans le champ d'ajout de sender, entrez l'adresse IP de notre serveur SMTP :
    185.157.245.77
  9. Cliquez sur Submit.
  10. Vérifiez que le Sender Group LEPHISH_SIMULATION est positionné au-dessus du groupe BLOCKLIST dans la liste. Si nécessaire, réorganisez l'ordre pour qu'il soit évalué en priorité.
  11. Cliquez sur Commit Changes pour sauvegarder.
Résultat : La politique $TRUSTED désactive par défaut le moteur antispam et supprime le rate limiting. Cependant, les moteurs Anti-Virus, AMP, Graymail et Outbreak Filter restent actifs — d'où la nécessité de l'étape 2.
2.
Message Filter — Bypass des moteurs de sécurité

Après avoir créé le Sender Group, un Message Filter est nécessaire pour contourner les moteurs de sécurité restants (AMP, Graymail, Outbreak Filter). Cette étape se fait via la ligne de commande (CLI).

CLI Cette étape nécessite un accès en ligne de commande à l'appliance Cisco ESA.
  1. Connectez-vous en SSH à l'appliance Cisco ESA.
  2. Exécutez la commande :
    filters
  3. Puis la commande :
    new
  4. Collez le filtre suivant (en une seule ligne ou en respectant le format) :
    skip_engines_for_lephish: if (sendergroup == "LEPHISH_SIMULATION") { skip-spamcheck(); skip-viruscheck(); skip-ampcheck(); skip-marketingcheck(); skip-socialcheck(); skip-bulkcheck(); skip-vofcheck(); log-entry("LePhish simulation - scanning engines bypassed"); }
  5. Appuyez sur Entrée, puis tapez un point (.) sur une ligne vide pour terminer la saisie.
  6. Revenez au prompt principal et exécutez :
    commit
⚠ Note : Le nom du Sender Group dans le filtre (LEPHISH_SIMULATION) doit correspondre exactement au nom que vous avez défini à l'étape 1. Il est sensible à la casse.
Détail des actions du filtre :
  • skip-spamcheck() — contourne le moteur antispam (redondant avec $TRUSTED, mais par sécurité)
  • skip-viruscheck() — contourne l'antivirus (Sophos/McAfee)
  • skip-ampcheck() — contourne Cisco AMP (Advanced Malware Protection)
  • skip-marketingcheck() — contourne la détection des emails marketing
  • skip-socialcheck() — contourne la détection des emails réseaux sociaux
  • skip-bulkcheck() — contourne la détection des emails en masse
  • skip-vofcheck() — contourne l'Outbreak Filter (Virus Outbreak Filter)
3.
Outbreak Filter — Bypass Domain Scanning

L'Outbreak Filter de Cisco peut réécrire les URLs contenues dans les emails pour les rediriger via le proxy de sécurité web Cisco. Ajoutez nos domaines à la table Bypass Domain Scanning pour empêcher cette réécriture et éviter les faux positifs dans vos statistiques.

  1. Dans la console d'administration, rendez-vous dans l'onglet Mail Policies.
  2. Cliquez sur Outbreak Filters.
  3. Dans la section Message Modification, repérez le champ Bypass Domain Scanning.
  4. Ajoutez l'adresse IP de notre serveur ainsi que nos domaines de simulation (séparés par des virgules) :
    185.157.245.77 lephish.com lephish.fr departement-informatique.fr linkedin.com.hr github.support mircosoft365.fr zendesk-support.fr ta-mutuelle.fr securelink-services.com livraison-laposte.fr quarantaine-notification.com hackers.solutions ressources-humaines-du-groupe.fr espace-client.ovh sage.com.hr docusign-fr.com mon-interessement.fr cegld.com microsofr-teams.com slack-online.com cybermalveillance-qouv.fr login-mircosoft.com qooqle-alert.com qooqle-share.com la-gazette-des-communes.fr chatgpt-validation.com com-session.com cosoluce-security.fr join-conference.com yousiqn.com passoptions.com edenerd.fr organisation-file.com www-amaz-on.com mail-drogbox.com avertissement-rgpd.fr
  5. Cliquez sur Submit, puis Commit Changes.
Cette étape est essentielle : sans Bypass Domain Scanning, l'Outbreak Filter réécrit les liens de nos simulations au format proxy Cisco et peut analyser les URLs automatiquement, générant des faux positifs dans vos statistiques de campagne.
Vérification

Une fois la configuration terminée, lancez une campagne de test manuelle depuis votre espace client LePhish, puis vérifiez les points suivants :

  • Les emails arrivent correctement dans les boîtes de réception
  • Les emails ne sont pas mis en quarantaine par l'Outbreak Filter
  • Les liens ne sont pas réécrits par le proxy web Cisco
  • Aucun clic automatique n'est comptabilisé dans les statistiques
  • Les pièces jointes éventuelles ne sont pas bloquées par AMP

Vous pouvez également vérifier le bon fonctionnement du Message Filter dans les mail_logs de l'appliance en recherchant l'entrée "LePhish simulation - scanning engines bypassed".

← Retour aux procédures de whitelisting