Segurança : Cisco Email Security Appliance

Por que as mensagens obtêm entregadas mesmo se a verificação SPF falha?

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento fornece uma explicação a respeito de porque os mensagens de Email estão entregados mesmo quando a validação da estrutura de política do remetente (SPF) falha.

Contribuído por engenheiros de TAC da Cisco.

Por que as mensagens obtêm entregadas mesmo se a verificação SPF falha?

O SPF é um sistema simples da validação do email projetado detectar a falsificação do email fornecendo um mecanismo para reservar receber cambistas de correio para certificar-se do correio recebido de um domínio esteja sendo enviado de um host autorizado pelos administradores desse domínio. 

Na ferramenta de segurança do email de Cisco (ESA), a verificação SPF é permitida para todos os mensagens recebida em políticas do fluxo de correio. Um filtro satisfeito existe que quarantine ou deixe cair as mensagens se a SPF-verificação falha, usando o == “falha” da SPF-verificação e do SPF-estado da circunstância, com ação da quarentena:

Envie logs ou o rastreamento de mensagem mostra os seguintes detalhes:

Thu Aug 20 17:27:37 2009 Info: MID 6153849 SPF: helo identity postmaster@example None
Thu Aug 20 17:27:37 2009 Info: MID 6153849 SPF: mailfrom identity
user@example.com Fail (v=spf1)
Thu Aug 20 17:28:15 2009 Info: MID 6153849 SPF: pra identity user@example.com
None headers from Thu Aug 20 17:28:15 2009 Info: MID 6153849 ready 197 bytes
from <user@example.com>

Contudo, a mensagem é processada e entregada normalmente.

Há três tipos de verificações da identidade do SPF-estado:

  1. IDENTIDADE do SPF-estado (“mailfrom”)
  2. IDENTIDADE do SPF-estado (“pra”)
  3. IDENTIDADE do SPF-estado (“helicóptero”)

Somente os filtros da mensagem podem verificar regras do SPF-estado contra “HELO”, “MAILFROM”, e identidades “PRA”.

Em filtros satisfeitos, somente o resultado da identidade PRA é verificado. Um filtro similar da mensagem olharia como este:

if (spf-status("pra") == "Fail") AND(spf-status("mailfrom") == "Fail") AND
(spf-status ("helo") == "Fail")

Um filtro da mensagem fá-lo mais granulado em que tipo de necessidade de usuário das sentenças SPF de quarantine, quando os filtros satisfeitos não tiverem que muitas opções.

O filtro do seguinte mensagem tomado do guia de usuário avançado de AsyncOS usa a regra diferente do SPF-estado para identidades diferentes:

quarantine-spf-failed-mail:
if (spf-status("pra") == "Fail") {
   if (spf-status("mailfrom") == "Fail") { quarantine("Policy");} 
   else {
   if(spf-status("mailfrom") == "SoftFail") { quarantine("Policy")}
   }
 } else {
   if(spf-status("pra") == "SoftFail"){
      if (spf-status("mailfrom") == "Fail" or spf-status("mailfrom") == "SoftFail")
      { quarantine("Policy");}
 }

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118574