Filtrez pour manipuler les messages qui ont ignoré la vérification DMARC

Introduction

Ce document décrit comment créer un filtre aux emails d'action qui ont ignoré la vérification basée sur domaine d'authentification de message, d'enregistrement et de conformité (DMARC) dans l'appliance de sécurité du courrier électronique (ESA) et la sécurité du courrier électronique de nuage (CES).

Exigences

Prerequistes

• AsyncOS 11.1.2 et suivants.
• Compréhension de DMARC. (https://tools.ietf.org/html/rfc7489#page-56)
• ESA/CES avec la vérification DMARC activée.

Informations générales

ESA/CES avec la vérification DMARC configurée sur les stratégies de flux de courrier, où le message dépistant/mail_logs rapportent la ligne de log : DMARC : Vérification ignorée (l'envoi du domaine ne pourrait pas être déterminé) ».

Cette ligne de log signifie qu'ESA/CES a détecté plus d'une identité de domaine dans de l'en-tête et quand il y a plus d'une adresse e-mail dans l'en-tête, cette en-tête sera ignorée dans la plupart des réalisations DMARC. Traitant des en-têtes avec plus d'une identité de domaine sont exposés comme -de-portée dans la spécification DMARC. 

Filtre de contournement

La version de Cisco AsyncOS 11.1.2 et les versions suivantes ajoute une nouvelle caractéristique où le périphérique inclura une nouvelle x-en-tête qui capture différents résultats de vérification DMARC avec une seule valeur basée sur le résultat de vérification DMARC.

Il y a quatre valeurs d'en-tête qui disponible pour filtrer le validskip, l'invalidskip, le temperror et le permerror.

Note: Pour les cas où la vérification DMARC ne pourrait pas être exécutée parce qu'il y avait des caractères particuliers ou des en-têtes soyez mal formé ou contrôle DMARC a manqué en raison d'un autre saut valide de non-conformité ou d'un saut non valide, la x-en-tête ajoutée sera : X-Ironport-Dmarc-Contrôle-résultat : invalidskip ou validskip.

Note: Ce filtre peut être déployé sur les filtres de message (CLI limité) et les filtres satisfaits.

Valeurs d'en-tête :

• Le saut valide couvre les cas où la vérification DMARC ne pourrait pas être exécutée quand il y a d'a d'en-tête ou d'aucun enregistrement DMARC.
• Le saut non valide couvre les cas où il y a des caractères incorrects dans de l'en-tête, multiple des en-têtes, des entités de plusieurs domaines dans de l'en-tête, l'expéditeur que l'adresse a les caractères non-USA-ASCII et s'il y a une erreur en analysant des valeurs dans du champ d'en-tête.
• Permerror couvre des cas quand une erreur permanente s'est produite pendant l'évaluation DMARC, telle que rencontrer un enregistrement syntactiquement incorrect DMARC. Une tentative postérieure est peu susceptible de produire un résultat final.
• Temperror couvrira des cas quand l'erreur provisoire s'est produite pendant l'évaluation DMARC. Une tentative postérieure pourrait produire un résultat final.

Ce qui suit est le filtre DMARC qui vérifie le « X-Ironport-Dmarc-Contrôle-résultat » pour un invalidskip et le poursuit à la quarantaine.

L'action peut être personnalisée à d'autres conditions requises où nécessaire.

Filtre de message

Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}

Filtre satisfait

Informations connexes

• Appliance de sécurité du courrier électronique de Cisco - Guides d'utilisateur
• Support et documentation techniques - Cisco Systems
• Quel est DMARC ?