Безопасность : устройства безопасности электронной почты Cisco ESA

Состояние аутентификации SMTP ESA для предотвращения спуфинга

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как создать фильтр на основе Проверенного пользователя Протокола SMTP и регистрировать имя пользователя в X-заголовок.

Внесенный Дэном Уоллером и Робертом Шервином, специалистами службы технической поддержки Cisco.

Предварительные условия

Cisco рекомендует ознакомиться с версией 6.5 AsyncOS и позже.

Общие сведения

Функция аутентификации SMTP позволяет клиентам использовать аутентификацию SMTP для своих клиентов, чтобы соединиться с и передать почту от Устройств Безопасности электронной почты (ESA). Так как функция позволяет проверенному пользователю реле, для пользователей возможно подделать "От": поле на электронных письмах, которые они посылают через ESA Cisco. Чтобы препятствовать тому, чтобы пользователи подделали, версия 6.5 ESA AsyncOS и позже теперь, содержать условие фильтра сообщения, которое разрешает сравнения с аутентифицируемым именем пользователя SMTP и почтой От адреса электронной почты.

Создайте фильтр

Условие фильтра сообщения позволяет администратору писать фильтр, подобный примеру правила в следующем разделе, который сравнивает электронные почты, которые переданы исходящие через сеанс аутентификации SMTP. Если учетные данные SMTP поставились под угрозу, машина, которая посылает электронные письма обычно, генерирует несколько адресов, которые будут использоваться в качестве почты От: заголовок. Условие фильтра сообщения только позволяет электронным почтам уезжать если имя пользователя и почта От: соответствие заголовков. В противном случае электронную почту считают созданной почтой От: и действие фильтрации сообщения активирует. Действие фильтрации сообщения может быть любым заключительным действием; пример правила показывает карантинное действие. Условие фильтра имеет этот синтаксис:

smtp-auth-id-matches("<target>" [, "<sieve-char>"])

Фильтр разрешает сравнение с одной из этих целей:

  • EnvelopeFrom: Сравнивает адрес, заданный в Почте От: в диалоге SMTP.
  • FromAddress: Сравнивает адреса, проанализированные из От: заголовок. Так как множественные адреса разрешены в От: заголовок, только один должен совпасть.
  • Отправитель: Сравнивает адрес, заданный в Отправителе: заголовок.
  • Любой: Совпадает с сообщениями, которые были созданы во время аутентифицируемого сеанса SMTP (независимо от идентичности).
  • Нет: Совпадает с сообщениями, которые не были созданы во время аутентифицируемого сеанса SMTP (например, когда аутентификация SMTP предпочтена).
ID AUTH SMTPCHAR РЕШЕТААДРЕС СРАВНЕНИЯСООТВЕТСТВИЯ?
someuser otheruser@example.comНет
someuser someuser@example.comДа
someuser someuser@face.localhostДа
SomeUser someuser@example.comДа
someuser someuser+folder@example.comНет
someuser+someuser+folder@example.comДа
someUser@example.com someuser@forged.comНет
someUser@example.com someuser@example.comДа
someUser@example.com someuser@example.comДа

Эта подстановка переменных, $SMTPAuthID, была создана, чтобы позволить, что включение в заголовки исходных учетных данных для аутентификации использовало передавать.

Пример правила

Msg_Authentication: if (smtp-auth-id-matches("*Any"))
{
   # Always include the original authentication credentials in a
   # special header.
   insert-header("X-SMTPAUTH", "$SMTPAuthID");

   if (smtp-auth-id-matches("*FromAddress", "+") and
       smtp-auth-id-matches("*EnvelopeFrom", "+"))
   {
       # Username matches. Verify the domain
       if (header('from') != "(?i)@(?:example\.com|example\.com)" or mail-from !=
"(?i)@(?:example\.com|\.com)"
       {
           # User has specified a domain which cannot be authenticated
           quarantine("forged");
       }
   } else {
       # User claims to be an completely different user
       quarantine("forged");
   }
}

Примечание: Этот фильтр предполагает, что у вас есть карантин, названный подделанным.

Дополнительные сведения



Document ID: 117800