Filter om berichten te verwerken die DMARC-verificatie overgeslagen hebben

Inleiding

Dit document beschrijft hoe u een filter kunt maken om e-mails te activeren die de op Domain-gebaseerde Berichtverificatie, Rapportage en Conformiteit (DMARC)-verificatie hebben overgeslagen in de E-mail security applicatie (ESA) en Cloud Email Security (CES).

Vereisten

Voorwaarden

• AsyncOS 11.1.2 en verder.
• Inzicht in DMARC. (https://tools.ietf.org/html/rfc7489#page-56)
• ESA/CES met DMARC-verificatie ingeschakeld.

Achtergrondinformatie

ESA/CES met DMARC-verificatie geconfigureerd op het mail flow beleid, waar bericht tracking/mail_logs leveren de logregel: DMARC: Verificatie overgeslagen (Verzend domein kon niet worden bepaald)".

Deze logregel betekent dat ESA/CES meer dan één domeinidentiteit heeft gedetecteerd in de vanaf header en wanneer er meer dan één e-mailadres in de header is, wordt deze header overgeslagen in de meeste DMARC implementaties.Verwerkingskopregels met meer dan één domeinidentiteit worden in de DMARC specificatie als buiten bereik weergegeven. 

Werkbalkfilter

Cisco AsyncOS 11.1.2-versie en de daaropvolgende releases voegen een nieuwe functie toe waar het apparaat een nieuwe x-header zal bevatten die anders vastlegt DMARC verificatieresultaten met een unieke waarde gebaseerd op het DMARC verificatieresultaat.

Er zijn vier headerwaarden beschikbaar voor filter- validskip, invalidskip, temperatuurfout en permerror.

Opmerking: Voor de gevallen waarin de DMARC-verificatie niet kon worden uitgevoerd omdat er speciale tekens waren of de tekst van de kopregels is misvormd of de DMARC-controle is mislukt vanwege een andere non-conformiteit geldige skip of ongeldige skip, wordt de x-header toegevoegd: X-Ironport-Dmarc-Check-Resultaat: invalidskip of validskip.

Opmerking: dit filter kan zowel op de Berichtfilters (CLI-beperkt) als op de contentfilters worden geïmplementeerd.

Kop waarden:

• Valid skip behandelt de gevallen waarin de DMARC-verificatie niet kon worden uitgevoerd wanneer er een van header of geen DMARC-record is.
• Ongeldige skip behandelt de gevallen waarin er ongeldige tekens in de vanaf header zijn, meerdere van headers, meerdere domeinentiteiten in de vanaf header, het afzenderadres heeft niet-US-ASCII tekens en als er een fout is bij het parseren van waarden in het veld vanaf header.
• Permerror betreft gevallen waarin een permanente fout is opgetreden tijdens de DMARC-evaluatie, zoals het tegenkomen van een syntactisch onjuist DMARC-record. Een latere poging zal waarschijnlijk geen eindresultaat opleveren.
• Temperror zal gevallen omvatten waarin tijdelijke fouten zijn opgetreden tijdens DMARC-evaluatie.Een latere poging kan een eindresultaat opleveren.

Het volgende is het DMARC filter dat de "X-Ironport-Dmarc-Check-Resultaat"voor een invaliditeitsoverslaan controleert en het gaat quarantaine.

De actie kan indien nodig aan andere vereisten worden aangepast.

Berichtfilter

Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}

Contentfilter

Gerelateerde informatie

• Cisco e-mail security applicatie – eindgebruikershandleiding
• Technische ondersteuning en documentatie – Cisco Systems
• Wat is DMARC?