Configurazione del filtro contenuti per il monitoraggio di SPF e verifica DKIM

Introduzione

In questo documento viene descritto come creare un filtro contenuti per monitorare i messaggi ESA (Email Security Appliance) che potrebbero avere esito negativo con SPF e DKIM.

Prerequisiti

• Conoscenze dei prodotti Cisco Email Security Appliance
• Conoscenza delle nozioni di base dei metodi di autenticazione e-mail di Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM).

Requisiti

• Verifica SPF e DKIM abilitata in qualsiasi criterio del flusso di posta.
• Ruolo utente appropriato in cui è possibile creare e implementare filtri dei contenuti.
• l'accesso CLI all'accessorio se si desidera utilizzare l'opzione della riga di comando per cercare le coincidenze del filtro.

Premesse

Quando si implementa un filtro dei contenuti per monitorare questi due meccanismi, si ha il vantaggio di fornire visibilità, tracciabilità e persino la possibilità di esportare i messaggi che potrebbero avere esito negativo con queste tecnologie di autenticazione e-mail per riferimento futuro e le esigenze in base all'organizzazione che possono anche aiutare a prendere decisioni di implementazione future. 

Che cosa sono SPF e DKIM

SPF e DKIM sono meccanismi che mantengono la sicurezza dei messaggi di posta elettronica. Questi protocolli consentono di impedire l'invio di messaggi da server non autorizzati come se provenissero dal dominio e consentono inoltre ai destinatari di verificare la provenienza dei messaggi di posta elettronica dall'organizzazione.

Il record SPF migliora la copertura dell'autenticazione, il recapito e aiuta a promuovere il livello desiderato di sicurezza per i vostri domini. SPF viene applicato al server e-mail del destinatario e controlla l'indirizzo IP del mittente, il dominio nell'intestazione FROM del messaggio e-mail e l'elenco dei mittenti consentiti nel record SPF DNS per tale dominio. Il recapito potrebbe non riuscire se l'indirizzo IP del mittente non è presente nell'elenco.

Mentre SPF indica se un server può inviare come dominio, DKIM esamina le e-mail. Si tratta di una forma di firma che consente ai server destinatari di risalire all'origine dei messaggi di posta elettronica.

DKIM consente di verificare che un messaggio di posta elettronica sia autentico, che non sia stato modificato durante la trasmissione e che sia stato effettivamente inviato dal server. Se DKIM non riesce, il destinatario può considerare l'e-mail come non attendibile e spetta al destinatario decidere cosa fare con l'e-mail. È molto probabile che finisca in una cartella di posta indesiderata del destinatario, ma può anche essere scartato del tutto.

Configurazione

Creare un filtro Contenuto in ingresso per il monitor SPF.

1. Dalla GUI dell'ESA, selezionare Mail Policies > Incoming Content Filters (Policy di posta > Filtri contenuti in arrivo).
   
2. Fare clic su Aggiungi filtro.
3. Nel campo Nome, utilizzare un nome appropriato per identificare il filtro. In questo caso, SPF_FAILED_MONITOR.
4. Fare clic su Aggiungi condizione.
   
5. Sul lato sinistro, cercare Verifica SPF. Qui: None, SoftFail, Fail, TempError, PermError.
6. Una volta selezionate queste opzioni, fare clic su OK nella parte inferiore della finestra.
7. A questo punto, fare clic su Add Action (Aggiungi azione), quindi sul lato sinistro scegliere Add Log Entry (Aggiungi voce di registro).
8. Nel campo di testo è possibile aggiungere il testo più adatto in questo caso, come segue: —> $FilterName triggered <—

Nota: una voce registrata nel log può fornire un maggiore controllo e una maggiore visibilità sul momento in cui il filtro viene attivato all'interno dell'ESA. Se, ad esempio, si esegue la risoluzione dei problemi tramite la riga di comando, è possibile ottenere una migliore visibilità sui filtri attivati.

Esempio:

Creare un filtro Contenuto in ingresso per Monitor DKIM.

1. Dalla GUI dell'ESA, selezionare Mail Policies > Incoming Content Filters (Policy di posta > Filtri contenuti in arrivo).
2. Fare clic su Aggiungi filtro.
3. Nel campo Nome, utilizzare un nome appropriato per identificare il filtro. In questo caso utilizzare DKIM_FAILED_MONITOR.
4. Fare clic su Aggiungi condizione.
5. Sul lato sinistro, cercare DKIM Authentication (Autenticazione DKIM). Qui, utilizzare: none, hardfail, premerror, temperror.
6. Una volta selezionate queste opzioni, fare clic su OK nella parte inferiore della finestra.
7. A differenza della configurazione SPF, in questo filtro del contenuto DKIM è necessario aggiungere una condizione per ogni risultato di autenticazione.
8. Una volta aggiunte le condizioni, fare clic su Add Action (Aggiungi azione) e sul lato sinistro scegliere Add Log Entry (Aggiungi voce di registro).
9. Nel campo di testo è possibile aggiungere il testo più adatto alle proprie esigenze. In questo caso, ad esempio: —> $FilterName è stato attivato <—

Esempio:

Abilitare i filtri dei contenuti in arrivo nei criteri di posta in arrivo.

Dopo aver già configurato entrambi i filtri contenuti, è necessario attivarli nel criterio Posta in arrivo. A tale scopo, è possibile effettuare le seguenti operazioni.

1. Dalla GUI dell'ESA, selezionare Mail Policies > Incoming Mail Policies (Policy di posta > Policy di posta in arrivo).
   
2. È necessario scegliere il criterio di funzionamento dei filtri dei contenuti. In questo caso, utilizzare il criterio predefinito.
   
3. Passare alla settima colonna, quella relativa ai filtri contenuti, e fare clic sui campi visualizzati in tale colonna.

4. Viene visualizzata una finestra denominata Filtro contenuto per: Criterio predefinito.

5. Quindi, selezionare l'opzione Enable Content Filters (Customize Settings) (Abilita filtri contenuti (personalizza impostazioni)). Questa opzione consente di scegliere i filtri contenuti da attivare in tale criterio.

   

6. Quindi, fare clic su Submit (Invia).

7. Dopo aver fatto clic su Invia, viene visualizzata nuovamente la finestra Criteri posta in arrivo e nella colonna Filtri contenuti sono stati aggiunti nuovi filtri.
   
   

Verifica dei risultati

Per controllare i risultati di questi filtri dei contenuti, è possibile verificarli nell'opzione di monitoraggio tramite GUI o tramite l'accesso alla riga di comando.

Monitoraggio tramite GUI

1. Dalla GUI ESA/SMA, selezionare Monitor > Content Filters.
   
2. Trovare tutte le corrispondenze dei filtri dei contenuti in arrivo e i messaggi che corrispondono alle corrispondenze dei filtri.
   
3. È possibile fare clic su ogni elemento per visualizzare le corrispondenze trovate.

4. Se si fa clic sul numero di messaggi, verrà avviata la verifica dei messaggi per eseguire una ricerca globale dei messaggi che corrispondono al filtro dei contenuti.

Monitoraggio tramite CLI

Questi filtri dei contenuti possono essere monitorati anche tramite CLI con questa procedura:

1. Una volta effettuato il login all'ESA tramite CLI, è possibile digitare questo comando per cercare le coincidenze:
   grep "SPF_FAILED_MONITOR" mail_logs
2. L'output di questo comando è simile al seguente:

esa1.cisco.com> grep "SPF_FAILED_MONITOR" mail_logs Tue Mar 28 08:13:59 2023 Info: MID 3365 Custom Log Entry: --> SPF_FAILED_MONITOR triggered <-- Tue Mar 28 08:22:24 2023 Info: MID 3367 Custom Log Entry: --> SPF_FAILED_MONITOR triggered <-- ================================================================================== esa1.cisco.com> grep "DKIM_FAILED_MONITOR" mail_logs Tue Mar 28 08:09:04 2023 Info: MID 3364 Custom Log Entry: --> DKIM_FAILED_MONITOR triggered <-- Tue Mar 28 08:13:59 2023 Info: MID 3365 Custom Log Entry: --> DKIM_FAILED_MONITOR triggered <-- Tue Mar 28 08:17:45 2023 Info: MID 3366 Custom Log Entry: --> DKIM_FAILED_MONITOR triggered <-- Tue Mar 28 08:22:24 2023 Info: MID 3367 Custom Log Entry: --> DKIM_FAILED_MONITOR triggered <--

Informazioni correlate

• Best practice per l'autenticazione di e-mail: metodi ottimali per implementare SPF, DKIM e DMARC