Einleitung
In diesem Dokument wird beschrieben, wie Sie einen Filter erstellen, um E-Mails auszuführen, bei denen die domänenbasierte Überprüfung von Message Authentication, Reporting and Conformance (DMARC) in der E-Mail Security Appliance (ESA) und Cloud E-Mail Security (CES) übersprungen wurde.
Anforderungen
Voraussetzungen
Hintergrundinformationen
ESA/CES mit DMARC-Verifizierung, konfiguriert in den Mail Flow Policies, wobei Message Tracking/mail_logs die Protokollzeile ergeben: DMARC: Verifizierung übersprungen (Sendedomäne konnte nicht bestimmt werden)".
Diese Protokollzeile bedeutet, dass ESA/CES mehr als eine Domänenidentität im Von-Header erkannt hat und dass dieser Header, wenn mehr als eine E-Mail-Adresse im Header vorhanden ist, in den meisten DMARC-Implementierungen übersprungen wird.Verarbeitungs-Header mit mehr als einer Domänenidentität werden in der DMARC-Spezifikation als außerhalb des Gültigkeitsbereichs liegend angezeigt.
Problemumgehungsfilter
Cisco AsyncOS Version 11.1.2 und die nachfolgenden Versionen bieten eine neue Funktion, bei der das Gerät einen neuen X-Header enthält, der verschiedene Ergebnisse der DMARC-Verifizierung mit einem eindeutigen Wert, der auf dem Ergebnis der DMARC-Verifizierung basiert.
Es gibt vier Header-Werte, die für filter- validskip, invalidskip, temperror und permerror verfügbar sind.
Hinweis: In den Fällen, in denen die DMARC-Verifizierung nicht durchgeführt werden konnte, weil Sonderzeichen vorhanden waren oder die Absenderkopfzeilen fehlerhaft sind oder die DMARC-Überprüfung aufgrund eines anderen ungültigen Überspringens oder Überspringens fehlschlug, wird folgender X-Header hinzugefügt: X-Ironport-Dmarc-Check-Result: invalidskip oder validskip.
Hinweis: Dieser Filter kann sowohl auf den Nachrichtenfiltern (mit CLI-Einschränkung) als auch auf den Content-Filtern bereitgestellt werden.
Header-Werte:
- Der Abschnitt "Gültig" umfasst die Fälle, in denen die DMARC-Verifizierung nicht durchgeführt werden konnte, wenn ein from-Header oder kein DMARC-Datensatz vorhanden ist.
- Ungültiger Sprung umfasst die Fälle, in denen der Von-Header ungültige Zeichen enthält, mehrere Von-Header, mehrere Domänenentitäten im Von-Header, die Absenderadresse nicht US-ASCII-Zeichen enthält und ein Fehler beim Analysieren von Werten im From-Header-Feld auftritt.
- Permerror behandelt Fälle, in denen während der DMARC-Bewertung ein permanenter Fehler aufgetreten ist, z. B. ein syntaktisch falscher DMARC-Datensatz. Ein späterer Versuch wird wahrscheinlich kein Endergebnis bringen.
- Temperror behandelt Fälle, in denen während der DMARC-Bewertung ein temporärer Fehler aufgetreten ist.Ein späterer Versuch kann zu einem endgültigen Ergebnis führen.
Es folgt der DMARC-Filter, der das "X-Ironport-Dmarc-Check-Result" auf einen ungültigenÜberspringen überprüft und diesen in Quarantäne stellt.
Die Aktion kann bei Bedarf an andere Anforderungen angepasst werden.
Nachrichtenfilter
Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}
Content-Filter
Zugehörige Informationen