Безопасность : устройства безопасности электронной почты Cisco ESA

Почему делают сообщения переданы, даже если отказывает проверка SPF?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ предоставляет пояснение относительно того, почему сообщения электронной почты отправлены, даже когда  отказывает проверка Системы политик отправителя (SPF).

Внесенный специалистами службы технической поддержки Cisco.

Почему делают сообщения переданы, даже если отказывает проверка SPF?

SPF является простой почтовой системой проверки, разработанной для обнаружения спуфинга электронной почты путем обеспечения механизма, чтобы позволить получать диспетчеры почты, чтобы проверить, что входящая почта от домена передается от хоста, авторизовавшего администраторами того домена. 

На Cisco Email Security Appliance (ESA) проверка SPF включена для всех входящих сообщений на Почтовой Политике Потока. Фильтр контента существует, который изолирует или отбросит сообщения, если Проверка SPF откажет, с помощью Проверки SPF условия  и spf-статуса == "сбой", с действием Карантина:

Почтовые журналы или отслеживание сообщений показывают следующие детали:

Thu Aug 20 17:27:37 2009 Info: MID 6153849 SPF: helo identity postmaster@example None
Thu Aug 20 17:27:37 2009 Info: MID 6153849 SPF: mailfrom identity
user@example.com Fail (v=spf1)
Thu Aug 20 17:28:15 2009 Info: MID 6153849 SPF: pra identity user@example.com
None headers from Thu Aug 20 17:28:15 2009 Info: MID 6153849 ready 197 bytes
from <user@example.com>

Однако сообщение обработано и обычно отправляется.

Существует три типа установления личности Статуса SPF:

  1. spf-статус ("mailfrom") ИДЕНТИЧНОСТЬ
  2. spf-статус ("pra") ИДЕНТИЧНОСТЬ
  3. spf-статус ("helo") ИДЕНТИЧНОСТЬ

Только фильтры сообщения могут проверить, что статус SPF выносит обвинительное заключение 'HELO', 'MAILFROM' и личностям 'PRA'.

В фильтрах контента только проверен идентификационный результат PRA. Подобный фильтр сообщения был бы похож на это:

if (spf-status("pra") == "Fail") AND(spf-status("mailfrom") == "Fail") AND
(spf-status ("helo") == "Fail")

Фильтр сообщения делает его более гранулированным на том, какой пользователь вердиктов SPF должен изолировать, в то время как фильтры контента не имеют этого многими опциями.

Фильтр следующего сообщения, взятый от Руководства Опытного пользователя AsyncOS, использует другое правило статуса SPF для других личностей:

quarantine-spf-failed-mail:
if (spf-status("pra") == "Fail") {
  if (spf-status("mailfrom") == "Fail") { quarantine("Policy");} 
   else {
  if(spf-status("mailfrom") == "SoftFail") { quarantine("Policy")}
  }
 } else {
  if(spf-status("pra") == "SoftFail"){
     if (spf-status("mailfrom") == "Fail" or spf-status("mailfrom") == "SoftFail")
     { quarantine("Policy");}
 }

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.