Introduction
Ce document décrit comment créer un filtre pour les e-mails d'action qui ont ignoré la vérification DMARC (Domain-based Message Authentication, Reporting and Conformance) dans l'appliance de sécurité de la messagerie (ESA) et la sécurité de la messagerie dans le cloud (CES).
Exigences
Conditions préalables
Informations générales
ESA/CES avec vérification DMARC configurée sur les politiques de flux de messages, où message tracking/mail_logs génère la ligne de journal : DMARC : Verification skipped (Sending domain could not be detected)".
Cette ligne de journal signifie que ESA/CES a détecté plus d'une identité de domaine dans l'en-tête de départ et lorsqu'il y a plus d'une adresse e-mail dans l'en-tête, cet en-tête sera ignoré dans la plupart des implémentations DMARC.Les en-têtes de traitement avec plus d'une identité de domaine sont exposés comme hors de portée dans la spécification DMARC.
Filtre de contournement
La version 11.1.2 de Cisco AsyncOS et les versions ultérieures ajoutent une nouvelle fonctionnalité dans laquelle le périphérique inclura un nouvel en-tête x qui capture différents Résultats de la vérification DMARC avec une valeur unique basée sur le résultat de la vérification DMARC.
Il existe quatre valeurs d'en-tête disponibles pour filter- validskip, invalidskip, temperror et permerror.
Remarque : dans les cas où la vérification DMARC n'a pas pu être effectuée en raison de caractères spéciaux ou de l'en-tête From mal formé ou de l'échec de la vérification DMARC en raison d'une autre non-conformité, d'un saut valide ou d'un saut non valide, l'en-tête x ajouté sera : X-Ironport-Dmarc-Check-Result : invalidskip ou validskip.
Remarque : ce filtre peut être déployé sur les filtres de messages (ILC restreint) et les filtres de contenu.
Valeurs d'en-tête :
- L'option Valid skip couvre les cas où la vérification DMARC n'a pas pu être effectuée en cas d'en-tête From ou d'absence d'enregistrement DMARC.
- Le champ Ignorer non valide couvre les cas où il y a des caractères non valides dans l'en-tête de l'expéditeur, plusieurs en-têtes de l'expéditeur, plusieurs entités de domaine dans l'en-tête de l'expéditeur, l'adresse de l'expéditeur contient des caractères non-US-ASCII et s'il y a une erreur dans l'analyse des valeurs dans le champ d'en-tête de l'expéditeur.
- L'option Permerror couvre les cas où une erreur permanente s'est produite pendant l'évaluation DMARC, comme la détection d'un enregistrement DMARC syntaxiquement incorrect. Il est peu probable qu'une tentative ultérieure produise un résultat final.
- Temperror couvrira les cas où une erreur temporaire s'est produite pendant l'évaluation DMARC.Une tentative ultérieure pourrait produire un résultat final.
Le filtre DMARC suivant vérifie le résultat « X-Ironport-Dmarc-Check-Result » pour un saut non valide et le met en quarantaine.
L'action peut être personnalisée en fonction d'autres exigences, le cas échéant.
Filtre de message
Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}
Filtre de contenu
Informations connexes