インターネットポータルからの Web ベースの電子メールのブロック

22064

Created On 06/25/20 02:51 AM - Last Modified 03/26/21 18:26 PM

Symptom

Firewall 「ウェブベースの電子メール」カテゴリをフィルタリングするルールで設定されるのは URL 、Webベースの電子メールに直接アクセスする場合のみです。

ただし、「yahoo.com」にログインしたユーザーは、ホームページからメールに直接アクセスできます。

ログインユーザーが含まれる Yahoo ホームページ:

ヤフーのランディングページ

ホームページから「メール」を起動すると、ブロックされずに開きます。

ユーザー追加イメージ

Environment

任意 PAN-OS の .
パロアルト Firewall .
SSL フォワードプロキシが構成されました
URL の Web ベース電子メール URL カテゴリをフィルター処理 firewall します。

Cause

トラフィックは「ssl」アプリケーションとして開始され、 policy トラフィックを許可するセキュリティと一致 SSL します。この例では、以下に policy 示すように、マッチングは「Egress_Thegreatwall」です。ただし、ユーザーがホームページから「メール」にアクセスしようとするとすぐに、アプリケーションのシフトが発生します。アプリケーションは「ssl」から「ヤフーメールベース」に移行します。これにより、 policy ルール 'Match_Webmail' に一致するアプリケーション 'yahoo-mail-base' に対する新しいセキュリティルックアップがトリガーされます。

監視 --> トラフィック

ユーザー追加イメージ

: 詳細なトラフィックビュー:

ユーザー追加イメージ

上で強調表示されているように URL 、/アプリケーションはフィルタリングプロファイルで構成されているためブロック URL されています。それにもかかわらず、ヤフーメールはまだ読み込まれます。これが起こっている理由は、ホームページからYahooメールを起動すると、ページが、ルールによって許可されている複数のソース/URLからコンテンツ firewall を起動し、すぐには明らかではない可能性があるためです。

Resolution

ブラウザーで開発者コンソールをオンにして、Yahoo メールへのアクセス中にブラウザが読み込もうとしているすべてのコンテンツを表示します。

これらのコンテンツをブロックするセキュリティ規則を作成します。必要に応じてワイルドカードを使用 mail.yahoo.comします。この図では、ルールは「Match_Webmail」の下に配置されます。このルールのカスタムオブジェクト 'Yahoo_URLs' にはワイルドカードが含まれ、ルールは拒否に設定されています。セキュリティポリシーを簡素化するために、'インターネットポータル' カテゴリが "Match_Webmail' セキュリティに追加されます policy 。

ポリシー --> セキュリティ:

ヤフーの FQDN をブロックする

policy「インターネットポータル」 URL カテゴリと URL ワイルドカードFQDNを含むカスタムオブジェクトの復号化を作成します。

これで、ホームページからアクセスする Yahoo メールのブロックページが作成されます。クライアントは、強調表示されたをロードしようと URL し、ブロックされます。

ブロックページ

Additional Information

この記事では、読者がアプリケーションのシフト、 URL フィルター処理、および復号化に精通していることを前提としています SSL 。 SSL復号化の結果がない場合、たとえば Chrome のユーザーは Safari や Firefox ではブロックされる可能性がありますが、ユーザーはブロックされない場合があります。したがって、復号化は強くお勧めします。
同じ原則が他の Web ベースの電子メールサービスにも適用されます。パケットキャプチャや開発者コンソールから取得した情報は、ブロックする必要がある API、URL、または FQDN を決定するのに役立ちます。
場合によっては、ブラウザはキャッシュ/クッキーを使用してメールクライアントをロードします。ブラウザクッキーのクリアは一時的な回避策です。長期的な修正は、アウトライン化されたトラフィックを復号化してブロックすることです。