セキュリティ : Cisco E メール セキュリティ アプライアンス

スプーフィングすることを防ぐべき ESA SMTP 認証状態

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Simple Mail Transfer Protocol (SMTP) 認証済みユーザに基づいてフィルタを作成し X ヘッダにユーザ名を記録 する方法を記述されています。

ダン Waller およびロバート Sherwin によって貢献される、Cisco TAC エンジニア。

前提条件

Cisco は AsyncOS バージョン 6.5 および それ 以降の知識があることを推奨します。

背景説明

SMTP 認証 機能はに接続するために顧客がクライアントのために SMTP 認証および E メール セキュリティ アプライアンス(ESA)からのメール送信を使用することを可能にします。 機能は認証済みユーザが中継で送ることを可能にするのでユーザが「からの造ることは可能性のあるです: 」彼らが Cisco ESA を通して送信 する電子メールのフィールド。 ユーザを鍛造材から防ぐために、ESA AsyncOS バージョン 6.5 および それ 以降は今認証された SMTP ユーザ ユーザ名に対して比較および eメールアドレスからのメールを可能にするメッセージ フィルタ状態が含まれています。

フィルタを作成して下さい

メッセージ フィルター状態は管理者がルール例と同じような SMTP 認証 セッションによって中継で送られた発信である電子メールを比較する次の セクションにフィルタを書くことを可能にします。 SMTP 資格情報が妥協される場合、電子メールを送信 する マシンは通常メールとしてからの使用されるべき複数のアドレスを生成します: ヘッダ。 メッセージ フィルター状態はユーザ名およびメールからのだけ電子メールが去るようにします: ヘッダ一致。 さもなければ、電子メールは造られたメールとからのみなされます: およびメッセージ フィルター操作アクティブ化。 メッセージ フィルター操作はどの最終措置である場合もあります; ルール例は検疫操作を示します。 フィルター条件にこの構文があります:

smtp-auth-id-matches("<target>" [, "<sieve-char>"])

フィルタ割り当てこれらのターゲットの 1 つに対する比較:

  • EnvelopeFrom: メールからの規定 される アドレスを比較します: SMTP メッセージ交換。
  • FromAddress: からからの解析されるアドレスを比較します: ヘッダ。 複数のアドレスがでからの許可されるので: ヘッダは、1 だけ一致する必要があります。
  • 送信側: 送信側で規定 される アドレスを比較します: ヘッダ。
  • : 認証された SMTP セッションの間に作成されたメッセージと一致します(識別に関係なく)。
  • None: SMTP 認証が好まれるとき)認証された SMTP セッションの間に作成されなかったメッセージと一致します(たとえば。
SMTP AUTH IDふるい文字比較アドレス一致か。
someuser otheruser@example.comなし
someuser someuser@example.com
someuser someuser@face.localhost
SomeUser someuser@example.com
someuser someuser+folder@example.comなし
someuser+someuser+folder@example.com
someUser@example.com someuser@forged.comなし
someUser@example.com someuser@example.com
someUser@example.com someuser@example.com

この可変代替は、$SMTPAuthID、中継で送るのに使用されたオリジナル認証クレデンシャルのヘッダの包含を可能にするために作成されました。

ルール例

Msg_Authentication: if (smtp-auth-id-matches("*Any"))
{
    # Always include the original authentication credentials in a
    # special header.
    insert-header("X-SMTPAUTH", "$SMTPAuthID");

    if (smtp-auth-id-matches("*FromAddress", "+") and
        smtp-auth-id-matches("*EnvelopeFrom", "+"))
    {
        # Username matches.  Verify the domain
        if (header('from') != "(?i)@(?:example\.com|example\.com)" or mail-from !=
"(?i)@(?:example\.com|\.com)"
        {
            # User has specified a domain which cannot be authenticated
            quarantine("forged");
        }
    } else {
        # User claims to be an completely different user
        quarantine("forged");
    }
}

: このフィルタは呼出される検疫を造ってもらうことを仮定します。

関連情報



Document ID: 117800