はじめに
このドキュメントでは、電子メールセキュリティアプライアンス(ESA)およびクラウド電子メールセキュリティ(CES)でドメインベースのメッセージ認証、レポートおよび準拠(DMARC)の検証をスキップした電子メールを処理するためのフィルタを作成する方法について説明します。
要件
前提条件
背景説明
メールフローポリシーでDMARC検証が設定されたESA/CESで、メッセージ追跡/mail_logsから次のログラインが出力される:DMARC: Verification skipped (Sending domain could not be determined)」
このログ行は、ESA/CESがfromヘッダー内に複数のドメインIDを検出したことを意味し、ヘッダー内に複数の電子メールアドレスがある場合、このヘッダーはほとんどのDMARC実装でスキップされます。複数のドメインIDを持つ処理ヘッダーは、DMARC仕様では範囲外として公開されます。
回避策フィルタ
Cisco AsyncOS 11.1.2バージョンおよびそれ以降のリリースでは、新しい機能が追加され、デバイスに新しいxヘッダーが組み込まれ、 DMARC検証結果は、DMARC検証結果に基づいて一意の値になります。
フィルタに使用できるヘッダー値は、validskip、invalidskip、temperror、およびpermerrorの4つです。
注:特殊文字が存在したり、fromヘッダーの形式が正しくなかったりするためにDMARC検証を実行できなかったり、その他の非適合有効スキップや無効なスキップのためにDMARCチェックが失敗したりする場合、追加されるxヘッダーは次のようになります。X-Ironport-Dmarc-Check-Result: invalidskipまたはvalidskip。
注:このフィルタは、メッセージフィルタ(CLI制限)とコンテンツフィルタの両方に展開できます。
ヘッダー値:
- 有効なスキップは、fromヘッダーが存在する場合、またはDMARCレコードがない場合にDMARC検証を実行できなかったケースを対象としています。
- 無効なスキップでは、fromヘッダーに無効な文字がある場合、fromヘッダーに複数のfromヘッダーがある場合、fromヘッダーに複数のドメインエンティティがある場合、送信元アドレスに非US-ASCII文字がある場合、およびfromヘッダーフィールドの値の解析にエラーがある場合を扱います。
- Permerrorでは、DMARCの評価中に永続的なエラーが発生した場合(構文的に間違ったDMARCレコードが発生した場合など)がカバーされます。それ以降の試みが最終結果を生み出す可能性は低い。
- TemperrorはDMARCの評価中に一時的なエラーが発生したケースを対象にしています。後で試みることで最終的な結果が得られる場合があります。
次のDMARCフィルタは「X-Ironport-Dmarc-Check-Result」でinvalidskipを確認し、検疫に進みます。
アクションは、必要に応じて他の要件に合わせてカスタマイズできます。
メッセージフィルタ
Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}
コンテンツフィルタ
関連情報