DMARC 확인을 건너뛴 메시지를 처리하기 위한 필터

소개

이 문서에서는 ESA(Email Security Appliance) 및 CES(Cloud Email Security)에서 DMARC(Domain-based Message Authentication, Reporting and Conformance) 확인을 건너뛴 작업 이메일에 대한 필터를 생성하는 방법에 대해 설명합니다.

요구 사항

사전 요구 사항

• AsyncOS 11.1.2 이상.
• DMARC 이해(https://tools.ietf.org/html/rfc7489#page-56)
• DMARC 확인이 활성화된 ESA/CES.

배경 정보

메일 플로우 정책에 구성된 DMARC 검증이 포함된 ESA/CES. 여기서 메시지 추적/mail_logs는 로그 라인을 생성합니다. DMARC:확인을 건너뛰었습니다(보내는 도메인을 확인할 수 없음)."

이 로그 라인은 ESA/CES가 헤더에서 두 개 이상의 도메인 ID를 탐지했으며 헤더에 둘 이상의 이메일 주소가 있는 경우 대부분의 DMARC 구현에서 이 헤더를 건너뜁니다.도메인 ID가 두 개 이상인 처리 헤더는 DMARC 사양에서 범위를 벗어난 것으로 표시됩니다. 

해결 방법 필터

Cisco AsyncOS 11.1.2 버전 및 후속 릴리스는 디바이스에 서로 다른 x-헤더를 캡처하는 새로운 기능이 추가됩니다 DMARC 확인 결과에 따라 고유한 값을 갖는 DMARC 확인 결과

필터링에는 네 가지 헤더 값(validskip, invalid skip, temperror 및 permerror)이 있습니다.

참고: 특수 문자가 있거나 헤더에서 DMARC 확인을 수행할 수 없거나 일부 부적합 유효 건너뛰기 또는 잘못된 건너뛰기 때문에 DMARC 검사가 실패하여 DMARC 확인을 수행할 수 없는 경우 추가된 x-header는 다음과 같습니다. X-Ironport-Dmarc-Check-Result:유효하지 않은 skip 또는 validskip입니다.

참고:이 필터는 메시지 필터(CLI 제한)와 콘텐츠 필터 모두에 구축할 수 있습니다.

헤더 값:

• 유효한 생략은 헤더에서 또는 DMARC 레코드가 없을 때 DMARC 확인을 수행할 수 없는 경우를 포함합니다.
• 잘못된 생략은 from 헤더에 잘못된 문자가 있고, 헤더에서 여러 개, from 헤더에 여러 도메인 엔티티가 있으며, 발신자 주소에 비 US-ASCII 문자가 있으며, from 헤더 필드에 값을 구문 분석하는 동안 오류가 있는 경우를 포함합니다.
• Permerror는 DMARC 평가 중에 구문적으로 잘못된 DMARC 레코드가 발생하는 등의 영구적인 오류가 발생한 경우를 포함합니다.나중에 시도해도 최종 결과는 나오지 않는다.
• Temperror은 DMARC 평가 중에 일시적인 오류가 발생한 경우에 적용됩니다.나중에 시도하면 최종 결과가 발생할 수 있습니다.

다음은 "X-Ironport-Dmarc-Check-Result"에서 유효하지 않은 건너뛰기를 확인하고 이를 격리하는 DMARC 필터입니다.

필요한 경우 다른 요구 사항에 따라 작업을 사용자 지정할 수 있습니다.

메시지 필터

Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}

콘텐츠 필터

관련 정보

• Cisco Email Security Appliance − 엔드 유저 가이드
• 기술 지원 및 문서 − Cisco Systems
• DMARC란?