セキュリティ : Cisco E メール セキュリティ アプライアンス

SPF についての FAQ

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Cisco E メール セキュリティ アプライアンス(ESA)の送信側 政策の枠組(SPF)が付いている異なるシナリオを解説していたものです。

Rehan Latif によって貢献される、Cisco TAC エンジニア。

Prerequiste

次の項目に関する知識があることが推奨されます。

  • Cisco ESA
  • AsyncOS のすべてのバージョン

SPF とは何か。

送信側 政策の枠組(SPF)はそのドメインの管理者がホストから承認するドメインからの着信メールが送信されていることを確認するためにメール エクスチェンジャを受け取ることを割り当てるようにメカニズムの提供によって電子メール スプーフィングを検出するように設計されている簡単な電子メール検証 システムです。 ドメインのための承認された送信ホストのリストは特にフォーマットされていた TXT レコードの形でそのドメインのための Domain Name System (DNS)レコードで送達されます。 電子メール スパムおよび使用によって造られる送信側 アドレスを頻繁に phishing、従って SPF レコードを送達することおよびチェックすることは反スパム手法とみなすことができます。

ESA に多くのパフォーマンス影響がありますか。

CPU 見通しから、巨大なパフォーマンス影響がありません。 ただし、SPF 確認を有効に することは数 DNS クエリおよび DNS トラフィックを増加します。 各メッセージに関しては、ESA は 1-3 の SPF DNS クエリを始めなければならないかもしれないし、これは切れる DNS キャッシュという結果にそして前に先に終ります。 従って、ESA は他のプロセスのためのより多くのクエリを同様に生成します。

前の情報に加えて、SPF レコードはより大きいかもしれ、標準 DNS レコード余分 DNS トラフィックを引き起こす可能性がある .TXT レコードです。

SPF を有効に する方法

これらの手順は SPF 確認の設定の先発ユーザガイドからあります:


デフォルト mailflow ポリシーの SPF システム独立データ 形式(SIDF)を有効に するため:

  1. メール「Policies」> メール フロー ポリシーをクリックして下さい。

  2. ポリシー パラメータを『DEFAULT』 をクリック して下さい。

  3. デフォルトポリシー パラメータでは、セキュリティ機能 セクションを表示して下さい。

  4. SPF/SIDF 確認 セクションで、『Yes』 をクリック して下さい。

  5. 準拠のレベルを設定 して下さい(デフォルトは SIDF 互換性があります)。 このオプションは使用するべきか SPF または SIDF 確認のどの規格判別することを可能にします。 SIDF 準拠に加えて、SPF および SIDF を結合する SIDF 互換性がある選択できます。

  6. SIDF 互換性があるの準拠レベルを選択する場合、送り直送信側がある場合確認がどれもに PRA 識別のパス結果をダウングレードかどうか設定して下さい: または送り直から: ヘッダはメッセージで示します。 このオプションをセキュリティ目的で選択するかもしれません。

  7. SPF の準拠レベルを選択する場合、ヘリコプター識別に対してテストを行うためにかどうか設定して下さい。 ヘリコプター チェックをディセーブルにすることによってパフォーマンスを改善するこのオプションを使用するかもしれません。 これは spf 渡されたフィルタ規則が PRA か MAIL FROM 識別をまずチェックするので役立ちます。 アプライアンスは SPF 準拠レベルがあるようにヘリコプターだけを確認します行います。

SPF 確認結果の処置をとるために、コンテンツ フィルタを追加して下さい:

  1. SPF/SIDF 確認の各型のための spf ステータス コンテンツ フィルタを作成して下さい。 命名規則を確認の種類を示すのに使用して下さい。 たとえば、SPF/SIDF 確認を渡す、または確認の間に一時的エラーが原因で渡されなかったメッセージの SPFTempErr 使用して下さいメッセージのために SPF 渡される。 spf ステータス コンテンツ フィルタの作成についての情報に関しては、GUI の spf ステータス コンテンツ フィルタ規則を参照して下さい。

  2. いくつかの SPF/SIDF 確認されたメッセージを処理した後、> 何メッセージが SPF/SIDF 確認されたコンテンツ フィルターのそれぞれを引き起こしたか見るコンテンツ フィルター『Monitor』 をクリック して下さい。

「ヘリコプター テスト」は不規則などういうことを意味しますか。 ヘリコプター テストがある特定のドメインから失敗した場合何が起こりますか。

SPF の準拠レベルを選択する場合、ヘリコプター識別に対してテストを行うためにかどうか設定して下さい。 ヘリコプター チェックをディセーブルにすることによってパフォーマンスを改善するこのオプションを使用するかもしれません。 これは spf 渡されたフィルタ規則が PRA か MAIL FROM 識別をまずチェックするので役立ちます。 アプライアンスは SPF 準拠レベルがあるようにヘリコプターだけを確認します行います。

有効な SPF レコード

各々の送信 MTA のための SPF レコードを含んでいるように SPF ヘリコプター チェックをパスするために、して下さい(ドメインとは別に)。 このレコードを含まない場合、ヘリコプター チェックはどれもという結果に多分ヘリコプター識別のための評決終りません。 ドメインへの SPF 送信側は高頻度のどれも評決戻さないことに注意すれば、これらの送信側は各々の送信 MTA のための SPF レコードを含まないかもしれません。

メッセージは設定されるメッセージ/コンテンツ フィルターがない場合提供されます。 再度、各 SPF/SIDF 評決のためのメッセージ/コンテンツ フィルターを使用してある特定の処置をとることができます。 

1 つの外部ドメインだけのためにそれを有効に する最もよい方法とは何か。

ある特定のドメインのための SPF を有効に するために、有効に なる SPF があるメール フロー ポリシーの新しい sendergroup を定義する必要があるかもしれません; それから以前に述べられるようにフィルターを作成して下さい。

疑われたスパムがあるように確認します SPF を有効に することができますか。

Cisco 反スパムは計算高い間ファクタの多くを無差別に送信しますスコアを考慮します。 証明できる SPF レコードをスパム スコアを減らす今でもそれらのメッセージを疑われたスパムとしてつかまえられて得る可能性があります。

最良ソリューションは whitelist へ送信側 IP アドレスまたは複数の条件(リモートIP、mail-from、X-skipspamcheck ヘッダ、等)の spamcheck をスキップするためにメッセージ フィルターを作成します。 ヘッダは送信 サーバによって他からの 1 つのメッセージ の タイプを識別するために付加することができます。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117973