Filtro para tratar mensagens que ignoraram a verificação DMARC

Introdução

Este documento descreve como criar um filtro para e-mails de ação que ignoraram a verificação de Autenticação de mensagem baseada em domínio, Relatório e conformidade (DMARC) no Email Security Appliance (ESA) e Cloud Email Security (CES).

Requisitos

Pré-requisitos

• AsyncOS 11.1.2 e posteriores.
• Compreensão do DMARC. (https://tools.ietf.org/html/rfc7489#page-56)
• ESA/CES com verificação DMARC ativada.

Informações de Apoio

ESA/CES com verificação de DMARC configurada nas políticas de fluxo de e-mail, onde o rastreamento de mensagens/mail_logs está produzindo a linha de log: DMARC: Verificação ignorada (o domínio de envio não pôde ser determinado)".

Essa linha de log significa que o ESA/CES detectou mais de uma identidade de domínio no cabeçalho de e quando houver mais de um endereço de e-mail no cabeçalho, esse cabeçalho será ignorado na maioria das implementações de DMARC. Os cabeçalhos de processamento com mais de uma identidade de domínio são expostos como fora do escopo na especificação de DMARC. 

Filtro alternativo

A versão 11.1.2 do Cisco AsyncOS e as versões subsequentes adicionam um novo recurso em que o dispositivo incluirá um novo cabeçalho x que capturará diferentes Resultados da verificação de DMARC com um valor exclusivo baseado no resultado da verificação de DMARC.

Há quatro valores de cabeçalho disponíveis para filtrar: validskip, invalidskip, temperror e permerror.

Observação: nos casos em que a verificação de DMARC não pôde ser executada porque havia caracteres especiais ou os cabeçalhos de estão malformados ou a verificação de DMARC falhou devido a alguma outra não conformidade válida para ignorar ou ignorar inválido, o cabeçalho x adicionado será: X-Ironport-Dmarc-Check-Result: invalidskip ou validskip.

Observação: esse filtro pode ser implantado nos filtros de Mensagem (CLI restrito) e de Conteúdo.

Valores do cabeçalho:

• Ignorar válido abrange os casos em que a verificação de DMARC não pôde ser executada quando há um cabeçalho de ou nenhum registro de DMARC.
• Ignorar inválido abrange os casos em que há caracteres inválidos no cabeçalho de, vários cabeçalhos de, várias entidades de domínio no cabeçalho de, o endereço do remetente tem caracteres não US-ASCII e se houver um erro na análise de valores no campo do cabeçalho.
• Permerror abrange os casos em que um erro permanente ocorreu durante a avaliação de DMARC, como encontrar um registro de DMARC sintaticamente incorreto. É improvável que uma tentativa posterior produza um resultado final.
• O erro temporário cobrirá os casos em que ocorreu um erro temporário durante a avaliação do DMARC. Uma tentativa posterior pode produzir um resultado final.

A seguir está o filtro DMARC que verifica o "X-Ironport-Dmarc-Check-Result" para um invalidskip e continua a colocá-lo em quarentena.

A ação pode ser personalizada para outros requisitos quando necessário.

Filtro de mensagens

Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}

Filtro de conteúdo

Informações Relacionadas

• Cisco Email Security Appliance – Guias do usuário final
• Suporte Técnico e Documentação - Cisco Systems
• O que é DMARC?