简介
本文档介绍如何配置邮件安全设备(ESA),以便通过传入内容过滤器或邮件过滤器配置对域密钥识别邮件(DKIM)验证采取任何操作。
先决条件
要求
Cisco 建议您了解以下主题:
- ESA
- 内容过滤器配置的基本知识
- 基本的邮件过滤器配置知识
- 集中策略、病毒和爆发隔离区配置知识
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
步骤1.配置DKIM验证
确保已启用DKIM验证。导航至邮件策略>邮件流策略。
要在ESA上配置DKIM验证,类似于SPF验证。在邮件流策略的默认策略参数中,只需将DKIM验证设置为打开。
步骤2.检验最终操作
首先,确定根据DKIM验证要采取的操作。例如:丢弃、添加标记或隔离区。如果最终操作是隔离邮件,请检查已配置的隔离区。
导航至ESA > Monitor > Policy, Virus and Outbreak Quarantines。
导航至SMA > Email > Message Quarantine > Policy, Virus and Outbreak Quarantines(策略、病毒和爆发隔离区),如图所示:
如果没有针对DKIM/基于域的邮件身份验证、报告与符合性(DMARC)/发件人策略框架(SPF)服务的特定隔离。建议创建一个。
在策略、病毒和爆发隔离区中,选择添加策略隔离:
您可以在此处设置:
- 隔离区名称:例如,DkimQuarantine
- 保留期:这取决于您的需求和默认操作。保留期结束后,系统会根据您的选择删除或释放并发送电子邮件,如图所示:
步骤3. ESA的传入过滤器
a.为ESA创建传入内容过滤器:
导航至ESA > Mail Policies > Incoming Content Filters > Add Filter。
- 第二部分:添加条件.您可以添加多个条件,并可以配置更多内容过滤器以对DKIM验证采取操作:
身份验证结果预期和含义:
- 密码:消息通过了身份验证测试。
- 中立:未执行身份验证。
- 临时错误:发生可恢复错误。
- 错误:发生不可恢复的错误。
- 硬故障:身份验证测试失败。
- 无.邮件未签名。
注意:DKIM验证要求:发送方必须在邮件经过验证之前签名。发送域必须具有DNS中可用的公钥以供验证。
- 第三部分:选择操作.您可以添加多个操作,如添加日志条目、发送到隔离区、删除电子邮件、通知等。在这种情况下,选择之前配置的隔离区,如图所示:
将新过滤器添加到邮件流策略:
创建过滤器后。从ESA,在要通过最终操作验证DKIM的每个邮件流策略上添加过滤器。导航至ESA > Mail Policies > Incoming Mail Policies,如图所示:
单击“内容过滤器”列和“邮件流策略”行。
注意:(使用默认)操作并不意味着将其配置为默认策略设置。使用所需的过滤器配置每个邮件流策略。
b.为ESA创建邮件过滤器:
所有邮件过滤器都从ESA CLI配置。输入命令Filters并按照说明操作:
ESA. com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- IMPORT - Import a filter script from a file.
[]> NEW
Enter filter script. Enter '.' on its own line to end.
DKIM_Filter:
If (dkim-authentication == "hardfail" )
{
quarantine("DkimQuarantine");
}
.
1 filters added.
创建过滤器后,查看图例:添加了1个过滤器。
要配置的条件和操作与传入内容过滤器使用的条件和操作相同。
验证
使用本部分可确认配置能否正常运行。
传入内容过滤器:
a.检查是否配置了过滤器:
导航至ESA > Mail Policies > Incoming Content Filters。必须根据先前在显示列表中选择的顺序配置过滤器。
b.检查是否应用了过滤器:
导航至ESA > Mail Policies > Incoming mail policies。
过滤器的名称必须显示在“内容过滤器”列和“邮件流”策略行中。如果列表很宽,并且您看不到名称,请点击过滤器列表以标识应用于策略的过滤器。
邮件过滤器:
From ESA CLI:
ESA. com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> list
Num Active Valid Name
1 Y Y DKIM_Filter
列表显示过滤器是否已配置并处于活动状态。
故障排除
本部分提供的信息可用于对配置进行故障排除。
验证配置:
您必须确保:
- 邮件流策略具有:验证
- 内容过滤器或邮件过滤器中配置了操作
- 对于内容过滤器,请验证过滤器是否与邮件流关联
验证邮件跟踪:
邮件跟踪允许我们观察:
- DKIM验证结果,例如:permfail
- 配置的日志条目(如果已配置)
- 应用的过滤器(名称和采取的操作)
从ESA跟踪:
Fri Apr 26 11:33:44 2019 Info: MID 86 ICID 98 From: <user@domain.com>
Fri Apr 26 11:33:44 2019 Info: MID 86 ICID 98 RID 0 To: <userb@domainb.com>
Fri Apr 26 11:33:44 2019 Info: MID 86 Message-ID '<3903af$2r@mgt.esa.domain.com>Fri Apr 26 11:33:44 2019 Info: MID 86 DKIM: permfail body hash did not verify [final]
Fri Apr 26 11:33:44 2019 Info: MID 86 Subject "Let's go to camp!"
Fri Apr 26 11:33:44 2019 Info: MID 86 ready 491 bytes from <user@domain.com>
Fri Apr 26 11:33:44 2019 Info: MID 86 matched all recipients for per-recipient policy Allow_only_user in the inbound table
Fri Apr 26 11:33:46 2019 Info: MID 86 interim verdict using engine: CASE spam negative
Fri Apr 26 11:33:46 2019 Info: MID 86 using engine: CASE spam negative
Fri Apr 26 11:33:46 2019 Info: MID 86 interim AV verdict using Sophos CLEAN
Fri Apr 26 11:33:46 2019 Info: MID 86 antivirus negative
Fri Apr 26 11:33:46 2019 Info: MID 86 AMP file reputation verdict : UNSCANNABLE
Fri Apr 26 11:33:46 2019 Info: MID 86 using engine: GRAYMAIL negative
Fri Apr 26 11:33:46 2019 Info: MID 86 Custom Log Entry: The content that was found was: DkimFilter
Fri Apr 26 11:33:46 2019 Info: MID 86 Outbreak Filters: verdict negative
Fri Apr 26 11:33:46 2019 Info: MID 86 quarantined to "DkimQuarantine" by add-footer filter 'DkimFilter '
Fri Apr 26 11:33:46 2019 Info: Message finished MID 86 done
相关信息