DMARC 확인을 건너뛴 메시지를 처리하기 위한 필터

소개

이 문서에서는 ESA(Email Security Appliance) 및 CES(Cloud Email Security)에서 DMARC(Domain-based Message Authentication, Reporting And Conformance) 검증을 건너뛰고 이메일을 처리하도록 필터를 생성하는 방법에 대해 설명합니다.

요구 사항

사전 요구 사항

• 11.1.2 이상
• DMARC 이해(https://tools.ietf.org/html/rfc7489#page-56)
• DMARC 확인이 활성화된 ESA/CES.

배경 정보

DMARC 확인이 구성된 ESA/CES(메시지 추적/mail_logs가 로그 라인을 생성하는 경우): DMARC: 확인 건너뜀(전송 도메인을 확인할 수 없음)"

이 로그 라인은 ESA/CES가 from 헤더에서 둘 이상의 도메인 ID를 탐지했음을 의미하며, 헤더에 둘 이상의 이메일 주소가 있는 경우 이 헤더는 대부분의 DMARC 구현에서 건너뜁니다.둘 이상의 도메인 ID를 가진 처리 헤더는 DMARC 사양의 범위 외로 표시됩니다. 

해결 방법 필터

Cisco AsyncOS 11.1.2 버전 및 후속 릴리스에는 디바이스에서 다른 내용을 캡처하는 새 x-헤더를 포함하는 새로운 기능이 추가되었습니다 DMARC 검증 결과에 기초한 고유 값을 갖는 DMARC 검증 결과.

필터링할 수 있는 헤더 값은 validskip, invalidskip, temperror 및 permerror의 네 가지입니다.

참고: 특수 문자가 있거나 from 헤더의 형식이 잘못되었거나 일부 다른 부적합 유효한 건너뛰기 또는 잘못된 건너뛰기로 인해 DMARC 검사가 실패한 경우 추가된 x-헤더는 다음과 같습니다. X-Ironport-Dmarc-Check-Result:invalidskip 또는 validskip.

참고: 이 필터는 메시지 필터(CLI 제한)와 콘텐츠 필터 모두에 구축할 수 있습니다.

헤더 값:

• 유효한 건너뛰기는 from 헤더가 있거나 DMARC 레코드가 없을 때 DMARC 확인을 수행할 수 없는 경우를 다룹니다.
• Invalid skip은 from 헤더에 잘못된 문자, 여러 from 헤더, from 헤더에 여러 도메인 엔티티가 있는 경우, 발신자 주소에 비 US-ASCII 문자가 있고, from 헤더 필드의 값을 구문 분석하는 데 오류가 있는 경우를 다룹니다.
• Permerror는 구문이 잘못된 DMARC 레코드를 발견하는 등 DMARC 평가 중에 영구적인 오류가 발생한 경우를 다룹니다. 나중에 시도해도 최종 결과가 나올 것 같지는 않다.
• Temperror는 DMARC 평가 중에 일시적인 오류가 발생한 경우를 다룹니다. 나중에 시도하면 최종 결과가 나올 수 있습니다.

다음은 "X-Ironport-Dmarc-Check-Result"에서 무효화된 건너뛰기를 확인하고 격리하는 DMARC 필터입니다.

필요한 경우 다른 요구 사항에 따라 작업을 사용자 지정할 수 있습니다.

메시지 필터

Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}

콘텐츠 필터

관련 정보

• Cisco Email Security Appliance − 엔드 유저 가이드
• 기술 지원 및 문서 − Cisco Systems
• DMARC란?