Segurança : Cisco Email Security Appliance

FAQ sobre o SPF

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve encenações diferentes com estrutura de política do remetente (SPF) na ferramenta de segurança do email de Cisco (ESA).

Contribuído por Rehan Latif, engenheiro de TAC da Cisco.

Prerequiste

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Cisco ESA
  • Todas as versões de AsyncOS

Que é SPF?

A estrutura de política do remetente (SPF) é um sistema simples da validação do email projetado detectar a falsificação do email fornecendo um mecanismo para reservar receber cambistas de correio para certificar-se do correio recebido de um domínio esteja sendo enviado de um host autorizado pelos administradores desse domínio. A lista de anfitriões de emissão autorizados para um domínio é publicada nos registros do Domain Name System (DNS) para esse domínio sob a forma de um registro especialmente formatado TXT. O uso do Spam e do phishing do email frequentemente forjou endereços do remetente, assim que publicar e verificar registros SPF podem ser consideradas técnicas do anti-Spam.

Haverá muito impacto no desempenho nos ESA?

Da perspectiva CPU, não haverá um impacto no desempenho enorme. Contudo, permitir a verificação SPF aumentará perguntas do número DNS e tráfego DNS. Para cada mensagem, o ESA pôde ter que iniciar 1-3 perguntas SPF DNS e este conduzirá ao esconderijo de expiração DNS mais cedo então antes. Consequentemente, o ESA gerará mais perguntas para os outros processos também.

Além do que a informação anterior, o registro SPF será um registro do .TXT que possa ser maior então os registros normais DNS e poderia causar algum tráfego extra DNS.

Como você permite o SPF?

Estas instruções são do Guia do Usuário avançado em estabelecer a verificação SPF:


Para permitir o formato de dados independente SPF/System (SIDF) na política do mailflow do padrão:

  1. Políticas do correio do clique > política do fluxo de correio.

  2. Parâmetros da política padrão do clique.

  3. Nos parâmetros da política padrão, veja a seção dos recursos de segurança.

  4. Na seção da verificação SPF/SIDF, clique sim.

  5. Ajuste o nível da conformidade (o padrão é SIDF-compatível). Esta opção permite que você determine que padrão da verificação SPF ou SIDF a se usar. Além do que a conformidade SIDF, você pode escolher SIDF-compatível, que combina o SPF e o SIDF.

  6. Se você escolhe uma conformidade em nível de SIDF-compatível, configurar se a verificação degrada um resultado da passagem da identidade PRA a nenhuns se há Enviar novamente-remetente: ou Enviar novamente-de: encabeçamentos atuais na mensagem. Você pôde escolher finalidades desta opção de segurança.

  7. Se você escolhe uma conformidade em nível do SPF, configurar se executar um teste contra a identidade HELO. Você pôde usar esta opção para melhorar o desempenho desabilitando a verificação HELO. Isto pode ser útil, porque a regra de filtro SPF-passada verifica o PRA ou o CORREIO das identidades primeiramente. O dispositivo verifica somente HELO o nível da conformidade SPF.

Para tomar a ação em resultados da verificação SPF, adicionar por favor filtros satisfeitos:

  1. Crie um filtro do índice do SPF-estado para cada tipo de verificação SPF/SIDF. Use uma convenção de nomeação para indicar o tipo de verificação. Por exemplo, use SPF-passado para as mensagens que passam a verificação SPF/SIDF, ou o SPF-TempErr para as mensagens que não foram passadas a devido a um erro transitório durante a verificação. Para obter informações sobre de criar um filtro do índice do SPF-estado, veja a regra de filtro satisfeita do SPF-estado no GUI.

  2. Depois que você processa um número de mensagens SPF/SIDF-verified, clique os filtros do monitor > do índice para ver quantas mensagens provocaram cada um dos filtros do índice SPF/SIDF-verified.

Que o “helicóptero testa” e fora do meio? Que acontecerá se o teste do helicóptero falha de um determinado domínio?

Se você escolhe uma conformidade em nível do SPF, configurar se executar um teste contra a identidade HELO. Você pôde usar esta opção para melhorar o desempenho desabilitando a verificação HELO. Isto pode ser útil porque a regra de filtro SPF-passada verifica o PRA ou o CORREIO das identidades primeiramente. O dispositivo verifica somente HELO o nível da conformidade SPF.

Registros válidos SPF

Para passar a verificação SPF HELO, assegure-se de que você inclua um registro SPF para cada MTA de emissão (separe do domínio). Se você não inclui este registro, a verificação HELO conduzirá provavelmente a um nenhum sentença para a identidade HELO. Se você observa que os remetentes SPF a seu domínio retornam um alto número de nenhuns sentenças, estes remetentes não podem ter incluído um registro SPF para cada MTA de emissão.

A mensagem será entregada se não há nenhum filtro da mensagem/índice configurado. Além disso, você pode tomar determinadas ações usando filtros da mensagem/índice para cada sentença SPF/SIDF. 

Que é a melhor maneira da permitir para somente um domínio externo?

Para permitir com certeza o domínio SPF, você pôde precisar de definir um sendergroup novo com uma política do fluxo de correio que tivesse o SPF permitido; crie então filtros como mencionado previamente.

Pode você permitir uma verificação SPF para o Spam suspeitado?

O Anti-Spam de Cisco considera bastante muitos fatores quando o Spam calculador marcar. Ter o registro passível de verificação SPF pode reduzir a contagem do Spam mas há ainda uma possibilidade de receber aquelas mensagens travadas como o Spam suspeitado.

A solução melhor possível seria ao whitelist o endereço IP de Um ou Mais Servidores Cisco ICM NT do remetente OU criaria um filtro da mensagem para saltar o spamcheck com circunstâncias múltiplas (encabeçamento do IP remoto, correio-de, do X-skipspamcheck, etc.). O encabeçamento pode ser adicionado pelo server de emissão para identificar um tipo de mensagem de outro.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 117973