SPFとDKIMの検証を監視するためのコンテンツフィルタの設定

概要

このドキュメントでは、SPFおよびDKIMで失敗する可能性があるEメールセキュリティアプライアンス(ESA)メッセージを監視するためのコンテンツフィルタを作成する方法について説明します。

前提条件

• Cisco Eメールセキュリティアプライアンス(ESA)製品の知識
• Sender Policy Framework(SPF)およびDomainKeys Identified Mail(DKIM)の電子メール認証方式の基礎に関する知識。

要件

• メールフローポリシーのいずれかでSPFおよびDKIM検証が有効になっている。
• コンテンツフィルタを作成および実装できる適切なユーザロール。
• コマンドラインオプションを使用してフィルタの一致を検索する場合は、アプライアンスへのCLIアクセスが可能です。

背景説明

この2つのメカニズムを監視するコンテンツフィルタを実装すると、可視性、追跡、さらには、これらのEメール認証テクノロジーで失敗する可能性があるメッセージをエクスポートして、将来の参照や組織に基づくニーズに対応し、将来の実装決定にも役立つ機能を提供できる利点があります。 

SPFとDKIMとは

SPFとDKIMは、電子メールメッセージのセキュリティを維持するメカニズムです。これらのプロトコルには、承認されていないサーバーがドメインから送信されたかのようにメッセージを送信することを防ぐ機能があります。また、受信者が組織から送信された電子メールを確認する手段も用意されています。

SPFレコードは、認証カバレッジと配信可能性を向上させ、ドメインに必要なレベルのセキュリティを促進します。SPFは受信側の電子メールサーバで適用され、送信者のIPアドレス、電子メールのFROMヘッダーのドメイン、およびそのドメインのDNS SPFレコードで許可された送信者のリストを確認します。送信者のIPアドレスがリストにない場合、配信が失敗する可能性があります。

SPFはサーバがドメインとして送信できるかどうかを示しますが、DKIMは電子メールを調べます。これは、受信者サーバが送信元に戻る電子メールをトレースできるシグニチャの形式です。

DKIMは、電子メールが本物であること、転送中に変更されていないこと、および実際にサーバから送信されたことを確認する方法を提供します。DKIMが失敗した場合、受信者は電子メールを信頼できないと見なし、電子メールの処理方法を決定するのは受信者の責任です。ほとんどの場合、受信者の一部のスパムフォルダに入りますが、完全に破棄することもできます。

設定

SPFモニタ用の着信コンテンツフィルタを作成します。

1. ESA GUIから、Mail Policies > Incoming Content Filtersに移動します。
   
2. Add Filterをクリックします。
3. 名前フィールドで、フィルタを識別するための適切な名前を使用します。この例では、SPF_FAILED_MONITORです。
4. Add Conditionをクリックします。
   
5. 左側で、SPF検証を検索します。ここでは、None、SoftFail、Fail、TempError、PermErrorです。
6. これらのオプションをオンにしたら、そのウィンドウの下部にあるOKをクリックします。
7. ここで、Add Actionをクリックし、左側でAdd Log Entryを選択します。
8. テキストフィールドには、最適なテキストを追加できます。この場合は、—> $FilterName triggered <—

注：ログエントリを使用すると、ESA内でこのフィルタがトリガーされるタイミングをより詳細に制御して可視性を得ることができます。たとえば、コマンドラインを使用してトラブルシューティングを行う場合は、アクティブ化されたフィルタをより詳細に把握できます。

以下に例を挙げます。

DKIMモニタの着信コンテンツフィルタを作成します。

1. ESA GUIから、Mail Policies > Incoming Content Filtersに移動します。
2. Add Filterをクリックします。
3. 名前フィールドで、フィルタを識別するための適切な名前を使用します。この場合は、DKIM_FAILED_MONITORを使用します。
4. Add Conditionをクリックします。
5. 左側で、DKIM認証を検索します。ここでは、none、hardfail、permerror、temperrorを使用します。
6. これらのオプションをオンにしたら、そのウィンドウの下部にあるOKをクリックします。
7. SPF設定とは異なり、このDKIMコンテンツフィルタでは、認証結果ごとに条件を追加する必要があります。
8. 条件を追加したら、Add Actionをクリックし、左側でAdd Log Entryを選択します。
9. テキストフィールドには、最適なテキストを追加できます。この場合は次のようになります。—> $FilterName triggered <—

以下に例を挙げます。

受信メールポリシーへの受信コンテンツフィルタを有効にします。

両方のコンテンツフィルタを設定したら、受信メールポリシーでそれらを有効にする必要があります。これを行うには、次の手順を実行します。

1. ESA GUIから、Mail Policies > Incoming Mail Policiesの順に移動します。
   
2. コンテンツフィルタが機能するポリシーを選択する必要があります。この場合は、デフォルトポリシーを使用します。
   
3. 7番目の列（コンテンツフィルタに関連する列）に移動し、その列に表示されるフィールドをクリックします。

4. Content Filtering for: Default Policyというウィンドウが表示されます。

5. その後、[コンテンツフィルタを有効にする（設定をカスタマイズ）]オプションを選択します。このオプションを使用すると、そのポリシーで有効にするコンテンツフィルタを選択できます。

   

6. 次に [Submit] をクリックします。

7. Submitをクリックすると、受信メールポリシーに戻り、Content Filters列に新しいフィルタが追加されたことが表示されます。
   
   

結果の確認

これらのコンテンツフィルタの結果を確認するには、モニタオプションでGUIまたはコマンドラインアクセスを使用して確認できます。

GUIによる監視

1. ESA/SMA GUIから、Monitor > Content Filtersの順に移動します。
   
2. 受信コンテンツフィルタのすべての一致と、フィルタに一致するメッセージを検索します。
   
3. それぞれをクリックすると、一致した項目が表示されます。

4. メッセージ数をクリックすると、メッセージトラッキングに送信され、コンテンツフィルタに一致したメッセージがグローバルに検索されます。

CLIによる監視

これらのコンテンツフィルタは、次の手順でCLIを介してモニタすることもできます。

1. CLIを使用してESAにログインした後、次のコマンドを入力して一致を検索できます。
   grep "SPF_FAILED_MONITOR" mail_logs
2. このコマンドの出力は次のようになります。

esa1.cisco.com> grep "SPF_FAILED_MONITOR" mail_logs Tue Mar 28 08:13:59 2023 Info: MID 3365 Custom Log Entry: --> SPF_FAILED_MONITOR triggered <-- Tue Mar 28 08:22:24 2023 Info: MID 3367 Custom Log Entry: --> SPF_FAILED_MONITOR triggered <-- ================================================================================== esa1.cisco.com> grep "DKIM_FAILED_MONITOR" mail_logs Tue Mar 28 08:09:04 2023 Info: MID 3364 Custom Log Entry: --> DKIM_FAILED_MONITOR triggered <-- Tue Mar 28 08:13:59 2023 Info: MID 3365 Custom Log Entry: --> DKIM_FAILED_MONITOR triggered <-- Tue Mar 28 08:17:45 2023 Info: MID 3366 Custom Log Entry: --> DKIM_FAILED_MONITOR triggered <-- Tue Mar 28 08:22:24 2023 Info: MID 3367 Custom Log Entry: --> DKIM_FAILED_MONITOR triggered <--

関連情報

• 電子メール認証のベストプラクティス：SPF、DKIM、および DMARC を展開する最適な方法