简介
本文档介绍如何在邮件安全设备(ESA)和云邮件安全(CES)中创建过滤器以过滤跳过基于域的邮件身份验证、报告和一致性(DMARC)验证的邮件。
要求
前提条件
背景信息
邮件流策略中配置了DMARC验证的ESA/CES,其中邮件跟踪/mail_logs生成日志行:DMARC:已跳过验证(无法确定发送域)"。
此日志行表示ESA/CES在from标头中检测到多个域标识,当标头中有多个邮件地址时,大多数DMARC实施都会跳过此标头。在DMARC规范中,处理具有多个域标识的标头会暴露为超出范围。
解决方法过滤器
Cisco AsyncOS 11.1.2版本和后续版本添加了一项新功能,其中设备将包含新的x-header,可捕获不同的 DMARC验证结果根据DMARC验证结果具有唯一值。
有四个报头值可供过滤- validskip、invalidskip、temperror和permerror。
注意:对于由于特殊字符或发件人信头格式错误或由于其他不符合项的有效跳过或无效跳过导致DMARC检查失败而无法执行DMARC验证的情况,添加的x信头将为:X-Ironport-Dmarc-Check-Result:invalidskip或validskip。
注意:此过滤器可以部署在邮件过滤器(CLI受限)和内容过滤器上。
报头值:
- 有效跳过适用于当存在from标头或没有DMARC记录时无法执行DMARC验证的情况。
- Invalid skip涵盖以下情况:from报头中有无效字符,多个from报头,from报头中有多个域实体,发件人地址有非US-ASCII字符,并且解析from报头字段中的值时出错。
- Permerror包括DMARC评估期间发生永久错误的情况,例如遇到语法错误的DMARC记录。稍后的尝试不大可能产生最终结果。
- Temperror将涵盖DMARC评估期间发生临时错误的情况。稍后的尝试可能会产生最终结果。
下面是检查invalidskip的“X-Ironport-Dmarc-Check-Result”并继续隔离它的DMARC过滤器。
如果需要,可根据其他要求自定义操作。
邮件过滤器
Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}
内容过滤器
相关信息