Filtro para gestionar mensajes que omitieron la verificación de DMARC

Introducción

Este documento describe cómo crear un filtro para los correos electrónicos de acción que omitieron la verificación de Autenticación de mensajes basada en dominio, notificación y conformidad (DMARC) en el dispositivo de seguridad de correo electrónico (ESA) y Cloud Email Security (CES).

Requirements

Prerrequisitos

• AsyncOS 11.1.2 y versiones posteriores.
• Información sobre DMARC. (https://tools.ietf.org/html/rfc7489#page-56)
• ESA/CES con la verificación de DMARC activada.

Antecedentes

ESA/CES con verificación de DMARC configurada en las políticas de flujo de correo, donde el rastreo de mensajes/mail_logs arrojan la línea de registro: DMARC: Verificación omitida (no se pudo determinar el dominio de envío)".

Esta línea de registro significa que ESA/CES ha detectado más de una identidad de dominio en el encabezado de y cuando hay más de una dirección de correo electrónico en el encabezado, este encabezado se omitirá en la mayoría de las implementaciones de DMARC.Los encabezados de procesamiento con más de una identidad de dominio se exponen como fuera de ámbito en la especificación de DMARC. 

Filtro alternativo

La versión 11.1.2 de Cisco AsyncOS y las versiones posteriores añaden una nueva función en la que el dispositivo incluirá un nuevo x-encabezado que captura diferentes Resultados de verificación de DMARC con un valor único basado en el resultado de verificación de DMARC.

Hay cuatro valores de encabezado disponibles para filtrar: validskip, invalidskip, temperror y permerror.

Nota: En los casos en los que no se pudo realizar la verificación de DMARC porque había caracteres especiales o los encabezados de origen están mal formados o la comprobación de DMARC ha fallado debido a algún otro salto válido no conforme o salto no válido, el x-encabezado agregado será: X-Ironport-Dmarc-Check-Result: invalidskip o validskip.

Nota: Este filtro se puede implementar tanto en los filtros de mensajes (CLI restringido) como en los filtros de contenido.

Valores de encabezado:

• La omisión válida cubre los casos en los que no se pudo realizar la verificación de DMARC cuando hay un encabezado de o no hay registro de DMARC.
• La omisión no válida cubre los casos en los que hay caracteres no válidos en el encabezado de, múltiples encabezados de, múltiples entidades de dominio en el encabezado de, la dirección del remitente tiene caracteres no US-ASCII y si hay un error al analizar los valores en el campo del encabezado de.
• Permerror cubre los casos en los que se ha producido un error permanente durante la evaluación de DMARC, como la detección de un registro de DMARC sintácticamente incorrecto. Es poco probable que un intento posterior produzca un resultado final.
• Temperror cubrirá los casos en los que se haya producido un error temporal durante la evaluación de DMARC. Un intento posterior podría producir un resultado final.

A continuación se muestra el filtro de DMARC que comprueba "X-Ironport-Dmarc-Check-Result" para ver si hay una omisión no válida y procede a ponerlo en cuarentena.

La acción se puede personalizar según otros requisitos cuando sea necesario.

Filtro de mensajes

Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}

Filtro de contenido

Información Relacionada

• Dispositivo de seguridad Cisco Email Security Appliance: guías del usuario final
• Soporte Técnico y Documentación - Cisco Systems
• ¿Qué es DMARC?