安全 : Cisco IronPort Email 安全设备

消息为什么被传送,即使SPF验证发生故障?

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文提供一说明至于电子邮件消息为什么传送,既使当发送方政策架构(SPF)验证发生故障。

由思科 TAC 工程师撰稿。

消息为什么被传送,即使SPF验证发生故障?

SPF是设计的一个简单电子邮件验证系统通过提供机制允许接收邮函交换器检测伪装的电子邮件检查从域的流入的邮件从该域管理员授权的主机被发送。 

在思科电子邮件安全工具(ESA)上, SPF验证为在邮件流量策略的所有传入消息启用。 将检疫或丢弃消息的内容过滤器存在,如果SPF验证发生故障,使用情况SPF验证和SPF状态== “失效”,与检疫的操作:

邮件日志或消息跟踪显示以下详细信息:

Thu Aug 20 17:27:37 2009 Info: MID 6153849 SPF: helo identity postmaster@example None
Thu Aug 20 17:27:37 2009 Info: MID 6153849 SPF: mailfrom identity
user@example.com Fail (v=spf1)
Thu Aug 20 17:28:15 2009 Info: MID 6153849 SPF: pra identity user@example.com
None headers from Thu Aug 20 17:28:15 2009 Info: MID 6153849 ready 197 bytes
from <user@example.com>

然而,消息通常处理并且传送。

有SPF状态标识检查的三种类型:

  1. SPF状态(“mailfrom”)标识
  2. SPF状态(“pra”)标识
  3. SPF状态(“直升机”)标识

仅消息过滤器能根据‘直升机’, ‘MAILFROM’和‘PRA’标识检查SPF状态规则。

在内容过滤器中,仅PRA标识结果被检查。一个相似的消息过滤器如下所示: :

if (spf-status("pra") == "Fail") AND(spf-status("mailfrom") == "Fail") AND
(spf-status ("helo") == "Fail")

消息过滤器在什么类型的SPF判决用户需要使更加粒状检疫,而内容过滤器没有许多选项。

从AsyncOS高级用户指南采取的下列信息过滤器使用另外SPF状态规则不同的标识:

quarantine-spf-failed-mail:
if (spf-status("pra") == "Fail") {
   if (spf-status("mailfrom") == "Fail") { quarantine("Policy");} 
   else {
   if(spf-status("mailfrom") == "SoftFail") { quarantine("Policy")}
   }
 } else {
   if(spf-status("pra") == "SoftFail"){
      if (spf-status("mailfrom") == "Fail" or spf-status("mailfrom") == "SoftFail")
      { quarantine("Policy");}
 }

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118574