Filtre para manejar los mensajes que saltaron la verificación DMARC

Introducción

Este documento describe cómo crear un filtro a los correos electrónicos de la acción que saltaron la verificación basada en el dominio de la autenticación del mensaje, de la información y de la conformidad (DMARC) en la Seguridad del correo electrónico del dispositivo de seguridad (ESA) y de la nube del correo electrónico (CES).

Requisitos

Prerequistes

• AsyncOS 11.1.2 y hacia adelante.
• Comprensión de DMARC. (https://tools.ietf.org/html/rfc7489#page-56)
• ESA/CES con la verificación DMARC habilitada.

Antecedentes

ESA/CES con la verificación DMARC configurada en las directivas del flujo de correo, donde Seguimiento de mensajes/los mail_logs están rindiendo la línea del registro: DMARC: Verificación saltada (el envío del dominio no podría ser determinado)”.

Esta línea del registro significa que ESA/CES ha detectado más de una identidad del dominio en de la encabezado y cuando hay más de una dirección de correo electrónico en la encabezado, esta encabezado será saltada en la mayoría de las implementaciones DMARC. Procesando las encabezados con más de una identidad del dominio se exponen como hacia fuera-de-alcance en la especificación DMARC. 

Filtro del Workaround

La versión de Cisco AsyncOS 11.1.2 y las versiones posteriores agrega una nueva función donde el dispositivo incluirá una nueva x-encabezado que capture diversos resultados de la verificación DMARC con un valor único basado en el resultado de la verificación DMARC.

Hay cuatro valores de encabezado que disponible filtrar el validskip, el invalidskip, el temperror y el permerror.

Note: Para los casos donde la verificación DMARC no podría ser realizada porque había caracteres especiales o de las encabezados es el control malformado o DMARC fallado debido a un cierto otro salto válido de la inconformidad o el salto inválido, la x-encabezado agregada estará: X-Ironport-Dmarc-Control-resultado: invalidskip o validskip.

Note: Este filtro se puede desplegar en los filtros del mensaje (CLI restringido) y los filtros contentos.

Valores de encabezado:

• El salto válido cubre los casos donde la verificación DMARC no podría ser realizada cuando hay a de la encabezado o de ningún expediente DMARC.
• El salto inválido cubre los casos donde hay caracteres no válidos en de la encabezado, múltiples de las encabezados, las entidades del dominio múltiple en de la encabezado, el direccionamiento del remitente tiene caracteres NON-E.E.U.U.-ASCII y si hay un error en los valores del análisis en del campo del encabezado.
• Permerror cubre los casos cuando un error permanente ocurrió durante la evaluación DMARC, tal como encuentro de un expediente sintácticamente incorrecto DMARC. Una tentativa posterior es poco probable producir un resultado final.
• Temperror cubrirá los casos cuando el error temporal ocurrió durante la evaluación DMARC. Una tentativa posterior pudo producir un resultado final.

Lo que sigue es el filtro DMARC que marca el “X-Ironport-Dmarc-Control-resultado” para un invalidskip y procede a la cuarentena él.

La acción se puede personalizar a otros requisitos donde necesitada.

Filtro del mensaje

Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}

Filtro contento

Información Relacionada

• Dispositivo de seguridad del correo electrónico de Cisco - Guías del usuario final
• Soporte Técnico y Documentación - Cisco Systems
• ¿Cuál es DMARC?