Filter zur Behandlung von Nachrichten, die die DMARC-Verifizierung übersprungen haben

Einleitung

In diesem Dokument wird beschrieben, wie Sie einen Filter erstellen, um E-Mails auszuführen, bei denen die domänenbasierte Überprüfung von Message Authentication, Reporting and Conformance (DMARC) in der E-Mail Security Appliance (ESA) und Cloud E-Mail Security (CES) übersprungen wurde.

Anforderungen

Voraussetzungen

• AsyncOS 11.1.2 und höher
• Verständnis von DMARC. (https://tools.ietf.org/html/rfc7489#page-56)
• ESA/CES mit aktivierter DMARC-Verifizierung

Hintergrundinformationen

ESA/CES mit DMARC-Verifizierung, konfiguriert in den Mail Flow Policies, wobei Message Tracking/mail_logs die Protokollzeile ergeben: DMARC: Verifizierung übersprungen (Sendedomäne konnte nicht bestimmt werden)".

Diese Protokollzeile bedeutet, dass ESA/CES mehr als eine Domänenidentität im Von-Header erkannt hat und dass dieser Header, wenn mehr als eine E-Mail-Adresse im Header vorhanden ist, in den meisten DMARC-Implementierungen übersprungen wird.Verarbeitungs-Header mit mehr als einer Domänenidentität werden in der DMARC-Spezifikation als außerhalb des Gültigkeitsbereichs liegend angezeigt. 

Problemumgehungsfilter

Cisco AsyncOS Version 11.1.2 und die nachfolgenden Versionen bieten eine neue Funktion, bei der das Gerät einen neuen X-Header enthält, der verschiedene Ergebnisse der DMARC-Verifizierung mit einem eindeutigen Wert, der auf dem Ergebnis der DMARC-Verifizierung basiert.

Es gibt vier Header-Werte, die für filter- validskip, invalidskip, temperror und permerror verfügbar sind.

Hinweis: In den Fällen, in denen die DMARC-Verifizierung nicht durchgeführt werden konnte, weil Sonderzeichen vorhanden waren oder die Absenderkopfzeilen fehlerhaft sind oder die DMARC-Überprüfung aufgrund eines anderen ungültigen Überspringens oder Überspringens fehlschlug, wird folgender X-Header hinzugefügt: X-Ironport-Dmarc-Check-Result: invalidskip oder validskip.

Hinweis: Dieser Filter kann sowohl auf den Nachrichtenfiltern (mit CLI-Einschränkung) als auch auf den Content-Filtern bereitgestellt werden.

Header-Werte:

• Der Abschnitt "Gültig" umfasst die Fälle, in denen die DMARC-Verifizierung nicht durchgeführt werden konnte, wenn ein from-Header oder kein DMARC-Datensatz vorhanden ist.
• Ungültiger Sprung umfasst die Fälle, in denen der Von-Header ungültige Zeichen enthält, mehrere Von-Header, mehrere Domänenentitäten im Von-Header, die Absenderadresse nicht US-ASCII-Zeichen enthält und ein Fehler beim Analysieren von Werten im From-Header-Feld auftritt.
• Permerror behandelt Fälle, in denen während der DMARC-Bewertung ein permanenter Fehler aufgetreten ist, z. B. ein syntaktisch falscher DMARC-Datensatz. Ein späterer Versuch wird wahrscheinlich kein Endergebnis bringen.
• Temperror behandelt Fälle, in denen während der DMARC-Bewertung ein temporärer Fehler aufgetreten ist.Ein späterer Versuch kann zu einem endgültigen Ergebnis führen.

Es folgt der DMARC-Filter, der das "X-Ironport-Dmarc-Check-Result" auf einen ungültigenÜberspringen überprüft und diesen in Quarantäne stellt.

Die Aktion kann bei Bedarf an andere Anforderungen angepasst werden.

Nachrichtenfilter

Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}

Content-Filter

Zugehörige Informationen

• Cisco Email Security Appliance – Endbenutzerhandbücher
• Technischer Support und Dokumentation für Cisco Systeme
• Was ist DMARC?