8-39
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Chapter8      Anti-Spam
Step 1
Click the Incoming Relays link on the Network Tab. The Incoming Relays page 
is displayed:
Figure 8-16
Incoming Relays Page
Step 2
Click Enable to enable Incoming Relays. (If the Incoming Relays feature is 
enabled, you can disable it by clicking Disable.)
Step 3
Commit your changes.
Incoming Relays and Mail Logs
The following example shows a typical log entry containing Incoming Relay 
information:
Adding a Relay
To add a relay:
Step 1
Click the Add Relay button on the Incoming Relays page. The Add Relay page is 
displayed:
Wed Aug 17 11:20:41 2005 Info: MID 58298 IncomingRelay(myrelay): 
Header Received found, IP 192.168.230.120 being used
Pdf form field recognition - extract form data from PDF in C#.net, ASP.NET, MVC, Ajax, WPF
Help to Read and Extract Field Data from PDF with a Convenient C# Solution
extract data from pdf forms; online form pdf output
Pdf form field recognition - VB.NET PDF Form Data Read library: extract form data from PDF in vb.net, ASP.NET, MVC, Ajax, WPF
Convenient VB.NET Solution to Read and Extract Field Data from PDF
extract table data from pdf; how to save editable pdf form in reader
Chapter8      Anti-Spam
8-40
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Figure 8-17
Add Relay Page
Step 2
Enter a name for the relay.
Step 3
Enter an IP Address for the relay. For more information about valid IP address 
entries, see IP Addresses, page8-33.
Step 4
Select a header type (Custom or Received). For more information about custom 
headers, see Custom Header, page8-33. When entering a header, you do not need 
to enter the trailing colon.
For custom headers, enter the header name.
For Received: headers, enter the character or string after which the IP address 
will appear. Enter the number for the “hop” to check for the IP address. For 
more information, see Received Header, page8-34.
Step 5
Commit your changes.
Editing a Relay
To edit a relay:
Step 1
Click on the relay’s name in the Incoming Relay page. The Edit Relay page is 
displayed.
Step 2
Make changes to the relay.
Step 3
Commit your changes.
Deleting a Relay
To delete a relay:
Process Forms in Web Image Viewer | Online Tutorials
to show the results of processing the image field. RasterEdge OCR Engine; PDF Reading; Encode & Decode Twain Scanning; DICOM Reading; Form Recognition & Processing
how to fill out pdf forms in reader; extract data from pdf file to excel
C# Image: How to Process Form in C# Project with .NET Image
Imaging.Form.Processing; using RasterEdge.Imaging.Form.Recognition; form drop out, form field / zone extraction profession imaging controls, PDF document, tiff
pdf form save with reader; how to extract data from pdf to excel
8-41
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Chapter8      Anti-Spam
Step 1
Click on the trash can icon in the corresponding row for the relay you want to 
delete. You are prompted to confirm the deletion.
Step 2
Click Delete.
Step 3
Commit your changes.
Incoming Relays and Logging
In the following log example, the SenderBase Reputation score for the sender is 
reported initially on line 1. Later, once the Incoming Relay is processed, the 
correct SenderBase Reputation score is reported on line 5.
1
Fri Apr 28 17:07:29 2006 Info: ICID 210158 ACCEPT SG 
UNKNOWNLIST match nx.domain  SBRS rfc1918
2
Fri Apr 28 17:07:29 2006 Info: Start MID 201434 ICID 210158
3
Fri Apr 28 17:07:29 2006 Info: MID 201434 ICID 210158 From: 
<joe@sender.com>
4
Fri Apr 28 17:07:29 2006 Info: MID 201434 ICID 210158 RID 0 To: 
<mary@example.com>
5
Fri Apr 28 17:07:29 2006 Info: MID 201434 
IncomingRelay(senderdotcom): Header Received found, IP 
192.192.108.1 being used, SBRS 6.8
6
Fri Apr 28 17:07:29 2006 Info: MID 201434 Message-ID 
'<7.0.1.0.2.20060428170643.0451be40@sender.com>'
7
Fri Apr 28 17:07:29 2006 Info: MID 201434 Subject 'That report...'
8
Fri Apr 28 17:07:29 2006 Info: MID 201434 ready 2367 bytes from 
<joe@sender.com>
9
Fri Apr 28 17:07:29 2006 Info: MID 201434 matched all recipients for 
per-recipient policy DEFAULT in the inbound table
10
Fri Apr 28 17:07:34 2006 Info: ICID 210158 close
11
Fri Apr 28 17:07:35 2006 Info: MID 201434 using engine: CASE spam 
negative
12
Fri Apr 28 17:07:35 2006 Info: MID 201434 antivirus negative
13
Fri Apr 28 17:07:35 2006 Info: MID 201434 queued for delivery
C# PDF - Read Barcode on PDF in C#.NET
Form Process. Data: Read, Extract Field Data. Data: Auto Fill-in Field Data. Field: Insert, Delete, Update Field. C#.NET PDF Barcode Reader & Scanner Controls from
can reader edit pdf forms; extract data out of pdf file
Process Forms in .NET Winforms | Online Tutorials
Click "Image Form Field" to create a single rectangular to show the results of processing the image field. & profession imaging controls, PDF document, image
using pdf forms to collect data; how to fill pdf form in reader
Chapter8      Anti-Spam
8-42
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
VB.NET PDF - How to Decode Barcode from PDF
PDF Page. Image: Copy, Paste, Cut Image in Page. Link: Edit URL. Bookmark: Edit Bookmark. Metadata: Edit, Delete Metadata. Form Process. Data: Read, Extract Field
extract data from pdf using java; how to save a filled out pdf form in reader
C# Imaging - Read 2D QR Code in C#.NET
and advertising field as a promotion tool. Besides, if you want to know more detailed information on barcode reading & recognition from PDF document using C#
exporting pdf form to excel; collect data from pdf forms
CHAPTER
9-1
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
9
Anti-Virus
The Cisco IronPort appliance includes integrated virus scanning engines from 
Sophos, Plc and McAfee, Inc. You can obtain license keys for the Cisco IronPort 
appliance to scan messages for viruses using one or both of these virus scanning 
engines.
You can configure the appliance to scan messages for viruses (based on the 
matching incoming or outgoing mail policy), and, if a virus is found, to perform 
different actions on the message (including “repairing” the message of viruses, 
modifying the subject header, adding an additional X-header, sending the message 
to an alternate address or mailhost, archiving the message, or deleting the 
message).
If enabled, virus scanning is performed in the “work queue” on the appliance, 
immediately after Anti-Spam scanning. (See Understanding the Email Pipeline, 
page 4-1.)
By default, virus scanning is enabled for the default incoming and outgoing mail 
policies. 
This chapter contains the following section: 
Anti-Virus Scanning, page 9-2
Sophos Anti-Virus Filtering, page 9-3 
McAfee Anti-Virus Filtering, page 9-6
Enabling Virus Scanning and Configuring Global Settings, page 9-8
Configuring Virus Scanning Actions for Users, page 9-11
Testing Virus Scanning, page 9-27
Chapter9      Anti-Virus
9-2
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Anti-Virus Scanning
You can configure your Cisco IronPort appliance to scan for viruses using the 
McAfee or Sophos anti-virus scanning engines.
The McAfee and Sophos engines contain the program logic necessary to scan files 
at particular points, process and pattern-match virus definitions with data they 
find in your files, decrypt and run virus code in an emulated environment, apply 
heuristic techniques to recognize new viruses, and remove infectious code from 
legitimate files. 
Evaluation Key
Your Cisco IronPort appliance ships with a 30-day evaluation key for each 
available anti-virus scanning engine. You enable the evaluation key by accessing 
the license agreement in the System Setup Wizard or Security Services > 
Sophos/McAfee Anti-Virus pages (in the GUI) or running the 
antivirusconfig
or 
systemsetup
commands (in the CLI). Once you have accepted the agreement, 
the Anti-Virus scanning engine will be enabled, by default, for the default 
incoming and outgoing mail policies. For information on enabling the feature 
beyond the 30-day evaluation period, contact your Cisco IronPort sales 
representative. You can see how much time remains on the evaluation via the 
System Administration > Feature Keys page or by issuing the 
featurekey
command. (For more information, see the section on working with feature keys in 
“Common Administrative Tasks” in the Cisco IronPort AsyncOS for Email Daily 
Management Guide).
Multi-Layer Anti-Virus Scanning
AsyncOS supports scanning messages with multiple anti-virus scanning engines 
— multi-layer anti-virus scanning. You can configure your Cisco IronPort 
appliance to use one or both of the licensed anti-virus scanning engines on a per 
mail policy basis. You could create a mail policy for executives, for example, and 
configure that policy to scan mail with both Sophos and McAfee engines.
Scanning messages with multiple scanning engines provides “defense in depth” 
by combining the benefits of both Sophos and McAfee anti-virus scanning 
engines. Each engine has leading anti-virus capture rates, but because each engine 
9-3
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Chapter9      Anti-Virus
relies on a separate base of technology (discussed in McAfee Anti-Virus Filtering, 
page 9-6 and Sophos Anti-Virus Filtering, page 9-3) for detecting viruses, the 
multi-scan approach can be even more effective. Using multiple scanning engines 
can lead to reduced system throughput, please contact your Cisco IronPort 
support representative for more information.
You cannot configure the order of virus scanning. When you enable multi-layer 
anti-virus scanning, the McAfee engine scans for viruses first, and the Sophos 
engine scans for viruses second. If the McAfee engine determines that a message 
is virus-free, the Sophos engine scans the message, adding a second layer of 
protection. If the McAfee engine determines that a message contains a virus, the 
Cisco IronPort appliance skips Sophos scanning and performs actions on the virus 
message based on settings you configured. 
Sophos Anti-Virus Filtering
The Cisco IronPort appliance includes integrated virus-scanning technology from 
Sophos, Plc. Sophos Anti-Virus provides cross-platform anti-virus protection, 
detection and disinfection. 
Sophos Anti-Virus provides a virus detection engine that scans files for viruses, 
Trojan horses, and worms. These programs come under the generic term of 
malware, meaning “malicious software.” The similarities between all types of 
malware allow anti-virus scanners to detect and remove not only viruses, but also 
all types of malicious software. 
Virus Detection Engine
The Sophos virus detection engine lies at the heart of the Sophos Anti-Virus 
technology. It uses a proprietary architecture similar to Microsoft’s COM 
(Component Object Model), consisting of a number of objects with well-defined 
interfaces. The modular filing system used by the engine is based on separate, 
self-contained dynamic libraries each handling a different “storage class,” for 
example, file type. This approach allows virus scanning operations to be applied 
on generic data sources, irrespective of type.
Specialized technology for loading and searching data enables the engine to 
achieve very fast scanning speeds. Incorporated within it are:
a full code emulator for detecting polymorphic viruses
Chapter9      Anti-Virus
9-4
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
an on-line decompressor for scanning inside archive files
an OLE2 engine for detecting and disinfecting macro viruses
The Cisco IronPort appliance integrates with the virus engine using SAV 
Interface.
Virus Scanning
In broad terms, the engine’s scanning capability is managed by a powerful 
combination of two important components: a classifier that knows where to look, 
and the virus database that knows what to look for. The engine classifies the file 
by type rather than by relying on the extension.
The virus engine looks for viruses in the bodies and attachments of messages 
received by the system; an attachment’s file type helps determine its scanning. For 
example, if a message’s attached file is an executable, the engine examines the 
header which tells it where the executable code starts and it looks there. If the file 
is a Word document, the engine looks in the macro streams. If it is a MIME file, 
the format used for mail messaging, it looks in the place where the attachment is 
stored. 
Detection Methods
How viruses are detected depends on their type. During the scanning process, the 
engine analyzes each file, identifies the type, and then applies the relevant 
technique(s). Underlying all methods is the basic concept of looking for certain 
types of instructions or certain ordering of instructions.
Pattern matching
In the technique of pattern matching, the engine knows the particular sequence of 
code and is looking for an exact match that will identify the code as a virus. More 
often, the engine is looking for sequences of code that are similar, but not 
necessarily identical, to the known sequences of virus code. In creating the 
descriptions against which files are compared during scanning, Sophos virus 
researchers endeavor to keep the identifying code as general as possible so that – 
using heuristics, as explained below – the engine will find not just the original 
virus but also its later derivatives.
9-5
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Chapter9      Anti-Virus
Heuristics
The virus engine can combine basic pattern matching techniques with heuristics 
– a technique using general rather than specific rules – to detect several viruses in 
the same family, even though Sophos researchers might have analyzed only one 
virus in that family. The technique enables a single description to be created that 
will catch several variants of one virus. Sophos tempers its heuristics with other 
methods, minimizing the incidence of false positives.
Emulation
Emulation is a technique applied by the virus engine to polymorphic viruses. 
Polymorphic viruses are encrypted viruses that modify themselves in an effort to 
hide themselves. There is no visible constant virus code and the virus encrypts 
itself differently each time it spreads. When it runs, it decrypts itself. The 
emulator in the virus detection engine is used on DOS and Windows executables, 
while polymorphic macro viruses are found by detection code written in Sophos’s 
Virus Description Language.
The output of this decryption is the real virus code and it is this output that is 
detected by the Sophos virus detection engine after running in the emulator.
Executables that are sent to the engine for scanning are run inside the emulator, 
which tracks the decryption of the virus body as it is written to memory. Normally 
the virus entry point sits at the front end of a file and is the first thing to run. In 
most cases, only a small amount of the virus body has to be decrypted in order for 
the virus to be recognized. Most clean executables stop emulating after only a few 
instructions, which reduces overhead.
Because the emulator runs in a restricted area, if the code does turn out to be a 
virus, the virus does not infect the appliance.
Virus Descriptions
Sophos exchanges viruses with other trusted anti-virus companies every month. 
In addition, every month customers send thousands of suspect files directly to 
Sophos, about 30% of which turn out to be viruses. Each sample undergoes 
rigorous analysis in the highly secure virus labs to determine whether or not it is 
a virus. For each newly discovered virus, or group of viruses, Sophos creates a 
description.
Chapter9      Anti-Virus
9-6
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Sophos Alerts 
Cisco encourages customers who enable Sophos Anti-Virus scanning to subscribe 
to Sophos alerts on the Sophos site at 
http://www.sophos.com/virusinfo/notifications/. 
Subscribing to receive alerts directly from Sophos will ensure you are apprised of 
the latest virus outbreaks and their available solutions.
When a Virus is Found
When a virus has been detected, Sophos Anti-Virus can repair (disinfect) the file. 
Sophos Anti-Virus can usually repair any file in which a virus has been found, 
after which the file can be used without risk. The precise action taken depends on 
the virus. 
There can be limitations when it comes to disinfecting, because it is not always 
possible to return a file to its original state. Some viruses overwrite part of the 
executable program which cannot be reinstated. In this instance, you define how 
to handle messages with attachments that could not be repaired. You configure 
these settings on a per-recipient basis using the Email Security Feature: the Mail 
Policies > Incoming or Outgoing Mail Policies pages (GUI) or the 
policyconfig 
-> antivirus
command (CLI). For more information on configuring these 
settings, see Configuring Virus Scanning Actions for Users, page9-11.
McAfee Anti-Virus Filtering
The McAfee® scanning engine:
Scans files by pattern-matching virus signatures with data from your files. 
Decrypts and runs virus code in an emulated environment. 
Applies heuristic techniques to recognize new viruses. 
Removes infectious code from files. 
Documents you may be interested
Documents you may be interested