DMARC検証をスキップしたメッセージを処理するためのフィルタ

はじめに

このドキュメントでは、電子メールセキュリティアプライアンス(ESA)およびクラウド電子メールセキュリティ(CES)でドメインベースのメッセージ認証、レポートおよび準拠(DMARC)の検証をスキップした電子メールを処理するためのフィルタを作成する方法について説明します。

要件

前提条件

• AsyncOS 11.1.2以降。
• DMARCの概要(https://tools.ietf.org/html/rfc7489#page-56)
• DMARC検証が有効になっているESA/CES。

背景説明

メールフローポリシーでDMARC検証が設定されたESA/CESで、メッセージ追跡/mail_logsから次のログラインが出力される：DMARC: Verification skipped (Sending domain could not be determined)」

このログ行は、ESA/CESがfromヘッダー内に複数のドメインIDを検出したことを意味し、ヘッダー内に複数の電子メールアドレスがある場合、このヘッダーはほとんどのDMARC実装でスキップされます。複数のドメインIDを持つ処理ヘッダーは、DMARC仕様では範囲外として公開されます。 

回避策フィルタ

Cisco AsyncOS 11.1.2バージョンおよびそれ以降のリリースでは、新しい機能が追加され、デバイスに新しいxヘッダーが組み込まれ、 DMARC検証結果は、DMARC検証結果に基づいて一意の値になります。

フィルタに使用できるヘッダー値は、validskip、invalidskip、temperror、およびpermerrorの4つです。

注：特殊文字が存在したり、fromヘッダーの形式が正しくなかったりするためにDMARC検証を実行できなかったり、その他の非適合有効スキップや無効なスキップのためにDMARCチェックが失敗したりする場合、追加されるxヘッダーは次のようになります。X-Ironport-Dmarc-Check-Result: invalidskipまたはvalidskip。

注：このフィルタは、メッセージフィルタ（CLI制限）とコンテンツフィルタの両方に展開できます。

ヘッダー値：

• 有効なスキップは、fromヘッダーが存在する場合、またはDMARCレコードがない場合にDMARC検証を実行できなかったケースを対象としています。
• 無効なスキップでは、fromヘッダーに無効な文字がある場合、fromヘッダーに複数のfromヘッダーがある場合、fromヘッダーに複数のドメインエンティティがある場合、送信元アドレスに非US-ASCII文字がある場合、およびfromヘッダーフィールドの値の解析にエラーがある場合を扱います。
• Permerrorでは、DMARCの評価中に永続的なエラーが発生した場合（構文的に間違ったDMARCレコードが発生した場合など）がカバーされます。それ以降の試みが最終結果を生み出す可能性は低い。
• TemperrorはDMARCの評価中に一時的なエラーが発生したケースを対象にしています。後で試みることで最終的な結果が得られる場合があります。

次のDMARCフィルタは「X-Ironport-Dmarc-Check-Result」でinvalidskipを確認し、検疫に進みます。

アクションは、必要に応じて他の要件に合わせてカスタマイズできます。

メッセージフィルタ

Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}

コンテンツフィルタ

関連情報

• Cisco E メール セキュリティ アプライアンス：エンドユーザ ガイド
• テクニカル サポートとドキュメント - Cisco Systems
• DMARCとは何ですか。