Haben Sie bereits einen Account?

  •   Personalisierte Inhalte
  •   Ihre Produkte und Ihr Support

Benötigen Sie einen Account?

Einen Account erstellen

Best Practice-Leitfaden für Bounce-Verifizierungs- und Zielsteuerelemente

Download-Optionen

  • PDF     (419.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (330.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (430.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:18. Dezember 2019
Dokument-ID:215124
Informationen zur Übersetzung

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einführung

    Die unkontrollierte Bereitstellung großer E-Mails kann die Empfängerdomänen überlasten. AsyncOS gibt Ihnen die vollständige Kontrolle über die Nachrichtenzustellung, indem die Anzahl der Verbindungen definiert wird, die Ihr E-Mail-Sicherheitsdienst öffnen wird, oder die Anzahl der Nachrichten, die an die einzelnen Zieldomänen gesendet werden.

    In diesem Dokument werden folgende Themen behandelt:

    1. Bounce-Verifizierung einrichten, um Ihr Unternehmen vor Bounce-Angriffen zu schützen
    2. Verwenden der Zielsteuerelementtabelle zum Üben von Richtlinien für gute Nachbarschaft
    3. Bereitstellung der DNS-basierten SMTP-Authentifizierung benannter Entitäten (DANE) für die sichere Zustellung von Nachrichten

    Bounce-Verifizierung

    Die Aktivierung der Bounce-Verifizierung ist eine sehr gute Methode, um Backstreut-/Bounce-Angriffe zu bekämpfen. Das Konzept der Bounce-Verifizierung ist einfach. Markieren Sie zunächst Nachrichten, die Ihren ESA. Suchen Sie in Bounce-Nachrichten nach diesem Markup, wenn das Markup vorhanden ist, bedeutet dies, dass Dies ist ein Bounce einer Nachricht, die von Ihrer Umgebung stammt. Wenn das Markup fehlt, die Bounce-Nachricht ist betrügerisch und kann abgelehnt oder verworfen werden.

    Beispiel: joe@example.com wird MAIL FROM: prvs=joe=123ABCDEFG@example.com. Die 123.. -Zeichenfolge im Beispiel ist die Bounce- Verifizierungs-Tag, das dem Umschlagabsender hinzugefügt wird, wenn er von Ihrer ESA-Appliance gesendet wird. Wenn Wenn die Nachricht bounces, wird die Adresse des Umschlagempfängers in der Nachricht mit Bounce zurückgegeben. das Bounce-Verifizierungs-Tag, mit dem die ESA erkennt, dass es sich um ein legitimes Bounce-Ereignis handelt Nachricht.

    Sie können das systemweite Tagging der Bounce-Verifizierung als Standard aktivieren oder deaktivieren. Sie können Aktivieren oder deaktivieren Sie außerdem die Bounce-Verifizierung-Tagging für bestimmte Domänen. In den meisten Bereitstellungen ist sie standardmäßig für alle Domänen aktiviert.

    ESA-Konfiguration

    • Navigieren Sie zu Mail-Policys > Bounce-Verifizierung, und klicken Sie auf Neuer Schlüssel.

    • Geben Sie beliebigen Text ein, der als Schlüssel für die Kodierung und Dekodierung von Adressmarkierungen verwendet werden soll. Beispiel: "Cisco_key".

    • Klicken Sie auf Senden und überprüfen Sie den neuen Adressmarkierungsschlüssel.

    Aktivieren wir jetzt die Bounce-Verifizierung für unsere "Standard"-Domäne:

    • Navigieren Sie zu Mail-Policys > Zielsteuerelemente, und klicken Sie auf die Standardeinstellung.
    • Bounce-Verifizierung konfigurieren: Adressmarkierung durchführen: Ja

    • Klicken Sie auf Änderungen senden und bestätigen. Beachten Sie, dass die Bounce-Verifizierung jetzt für die Standarddomäne aktiviert ist.

    Verwenden der Zielsteuerelementtabelle

    Eine unkontrollierte E-Mail-Zustellung kann die Empfängerdomänen überlasten. Die ESA bietet Ihnen vollständige Kontrolle über Nachrichtenzustellung durch Festlegen der Anzahl der Verbindungen, die Ihre Appliance öffnet, oder der Anzahl der Nachrichten, die Ihre Appliance an jede Zieldomäne sendet. Die Zielsteuerelementtabelle enthält Einstellungen für Verbindungs- und Nachrichtenraten, wenn die ESA an entfernte Ziele. Außerdem werden Einstellungen für den Versuch oder die Durchsetzung der Verwendung von TLS für diese Ziele bereitgestellt. Die ESA wird mit einer Standardkonfiguration für die Zielsteuerelementtabelle konfiguriert.

    In diesem Dokument wird erläutert, wie wir die Steuerung von Zielen verwalten und konfigurieren können, für die der Standardwert nicht geeignet ist. Google hat beispielsweise eine Reihe von Empfangsregeln, die Gmail-Benutzer befolgen sollten, oder sie riskieren, einen SMTP 4XX-Antwortcode zurückzusenden, und eine Nachricht, dass Sie zu schnell senden, oder die Mailbox des Empfängers hat die Speichergrenze überschritten. Wir werden die Gmail-Domäne der Zielsteuerelementtabelle hinzufügen, um die Anzahl der Nachrichten zu begrenzen, die unten an einen Gmail-Empfänger gesendet werden.

    Hinzufügen einer neuen Domäne zur Zielsteuerelementtabelle

    Wie bereits erwähnt, hat Google Einschränkungen für Absender, die an Gmail senden. Empfangsbeschränkungen können überprüft werden, indem Sie die hier veröffentlichten Beschränkungen für Gmail-Absender anzeigen: https://support.google.com/a/answer/1366776?hl=en

    Richten wir die Ziel-Domäne für Gmail als Beispiel für Richtlinien für gute Nachbarschaft ein.

    • Navigieren Sie zu Mail-Policys > Zielsteuerelemente, und klicken Sie auf Ziel hinzufügen, und erstellen Sie ein neues Profil mit den folgenden Parametern:
      1. Ziel: gmail.com
      2. IP-Adresspräferenz: Bevorzugtes IPv4
      3. Gleichzeitige Verbindungen: Max. 20
      4. Max. Nachrichten pro Verbindung: 5
      5. Empfänger: Max. 180 pro 1 Minute
      6. Bounce-Verifizierung: Adressmarkierung durchführen: Standard (Ja)

    • Klicken Sie auf Änderungen senden und bestätigen. So sieht unsere Zielsteuerelementtabelle nach dem Hinzufügen der Domäne aus.

    Beachten Sie die Änderungen bei "Zielgrenzwerte" und "Bounce-Verifizierung" in der Abbildung unten:

    Bereitstellung der DNS-basierten SMTP-Authentifizierung benannter Entitäten (DANE)

    Das SMTP DNS-basierte Authentication of Named Entities (DANE)-Protokoll validiert Ihre X.509-Zertifikate mit DNS-Namen mithilfe einer DNS-Erweiterung (Domain Name System Security), die auf Ihrem DNS-Server konfiguriert ist, und eines DNS-Ressourceneintrags, der auch als TLSA-Datensatz bezeichnet wird.


    Der TLSA-Datensatz wird dem Zertifikat hinzugefügt, das Details über die Zertifizierungsstelle (Certificate Authority, CA), das Endunternehmenszertifikat oder den für den DNS-Namen verwendeten Vertrauensanker enthält, der in RFC 6698 beschrieben ist. Die DNS-Erweiterungen (Domain Name System Security, DNSSEC) bieten zusätzliche Sicherheit, indem sie Sicherheitslücken in der DNS-Sicherheit beheben. DNSSEC stellt mithilfe von kryptografischen Schlüsseln und digitalen Signaturen sicher, dass die Suchdaten korrekt sind und eine Verbindung zu legitimen Servern herstellen.

    Die Verwendung von SMTP DANE für ausgehende TLS-Verbindungen bietet folgende Vorteile:

    • Bietet sichere Nachrichtenübermittlung durch Verhinderung von Man-in-the-Middle-Downgrade-Angriffen (MITM), Abhören und DNS-Cache-Poisoning-Angriffen.
    • Ermöglicht die Authentizität von TLS-Zertifikaten und DNS-Informationen, wenn diese durch DNSSEC gesichert werden.

    ESA-Konfiguration

    Bevor Sie mit der Einrichtung von DANE auf der ESA beginnen, stellen Sie sicher, dass der Umschlagabsender und der TLSA-Ressourcendatensatz DNSSEC-verifiziert sind und dass die empfangende Domäne DANE-geschützt ist. Dies können Sie auf der ESA mithilfe des CLI-Befehls daneverify tun.

    • Navigieren Sie zu Mail-Policys > Zielsteuerelemente, und klicken Sie auf Ziel hinzufügen, und erstellen Sie ein neues Profil mit den folgenden Parametern:
      1. Ziel: dane_protected.com
      2. TLS-Unterstützung: Bevorzugt
      3. DANE-Unterstützung: Opportunistisch

    • Klicken Sie auf Änderungen senden und bestätigen.

    Beigetragen von

    • Gloria Turner
      Technisches Marketing für Cisco Email Security

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.

    Folgen Sie uns
    PressemitteilungenEventsBlogsCommunity
    Über Uns
    Kontaktieren Sie uns
    Mit Uns Arbeiten