소개
이 문서에서는 ESA(Email Security Appliance) 및 CES(Cloud Email Security)에서 DMARC(Domain-based Message Authentication, Reporting And Conformance) 검증을 건너뛰고 이메일을 처리하도록 필터를 생성하는 방법에 대해 설명합니다.
요구 사항
사전 요구 사항
배경 정보
DMARC 확인이 구성된 ESA/CES(메시지 추적/mail_logs가 로그 라인을 생성하는 경우): DMARC: 확인 건너뜀(전송 도메인을 확인할 수 없음)"
이 로그 라인은 ESA/CES가 from 헤더에서 둘 이상의 도메인 ID를 탐지했음을 의미하며, 헤더에 둘 이상의 이메일 주소가 있는 경우 이 헤더는 대부분의 DMARC 구현에서 건너뜁니다.둘 이상의 도메인 ID를 가진 처리 헤더는 DMARC 사양의 범위 외로 표시됩니다.
해결 방법 필터
Cisco AsyncOS 11.1.2 버전 및 후속 릴리스에는 디바이스에서 다른 내용을 캡처하는 새 x-헤더를 포함하는 새로운 기능이 추가되었습니다 DMARC 검증 결과에 기초한 고유 값을 갖는 DMARC 검증 결과.
필터링할 수 있는 헤더 값은 validskip, invalidskip, temperror 및 permerror의 네 가지입니다.
참고: 특수 문자가 있거나 from 헤더의 형식이 잘못되었거나 일부 다른 부적합 유효한 건너뛰기 또는 잘못된 건너뛰기로 인해 DMARC 검사가 실패한 경우 추가된 x-헤더는 다음과 같습니다. X-Ironport-Dmarc-Check-Result:invalidskip 또는 validskip.
참고: 이 필터는 메시지 필터(CLI 제한)와 콘텐츠 필터 모두에 구축할 수 있습니다.
헤더 값:
- 유효한 건너뛰기는 from 헤더가 있거나 DMARC 레코드가 없을 때 DMARC 확인을 수행할 수 없는 경우를 다룹니다.
- Invalid skip은 from 헤더에 잘못된 문자, 여러 from 헤더, from 헤더에 여러 도메인 엔티티가 있는 경우, 발신자 주소에 비 US-ASCII 문자가 있고, from 헤더 필드의 값을 구문 분석하는 데 오류가 있는 경우를 다룹니다.
- Permerror는 구문이 잘못된 DMARC 레코드를 발견하는 등 DMARC 평가 중에 영구적인 오류가 발생한 경우를 다룹니다. 나중에 시도해도 최종 결과가 나올 것 같지는 않다.
- Temperror는 DMARC 평가 중에 일시적인 오류가 발생한 경우를 다룹니다. 나중에 시도하면 최종 결과가 나올 수 있습니다.
다음은 "X-Ironport-Dmarc-Check-Result"에서 무효화된 건너뛰기를 확인하고 격리하는 DMARC 필터입니다.
필요한 경우 다른 요구 사항에 따라 작업을 사용자 지정할 수 있습니다.
메시지 필터
Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}
콘텐츠 필터
관련 정보