跳动验证和目的地控制的最佳实践指南
简介
未管制的大容积电子邮件交付能淹没接收域。AsyncOS通过定义您的电子邮件安全性服务将打开或通讯数量将发送对每个目的地域连接的数量给您消息发送完全控制。
在本文中,我们将覆盖:
- 设置跳动验证保护您的从跳动攻击的组织
- 使用目的地实施的控制表好邻接策略
- 部署Named Entities (丹麦人)的SMTP基于DNS的验证提供消息安全交付
跳动验证
启用跳动验证是对付背景散射/跳动攻击的一非常好办法。在跳动验证后的概念简单。首先,请标记离开您的ESA的消息。请寻找在所有信号反跳信息的该标注,如果标注存在,它意味着这是发起于您的环境消息的跳动。如果标注未命中,跳动是欺骗的,并且可以拒绝或丢弃。
例如, MAIL从:joe@example.com变为MAIL从:prvs=joe=123ABCDEFG@example.com.在示例的123…字符串是被添加到信封发送方的跳动验证标记,当由您的ESA设备发送。如果消息重新启动,在重新启动的消息的信封接收地址将包括跳动验证标记,告诉ESA它是一个合法重新启动的消息。
您能启用或禁用跳动验证标记全系统的作为默认。您能也启用或禁用跳动特定域的验证标记。默认情况下在多数部署,它为所有域启用。
ESA配置
- 导航邮寄策略>跳动验证并且点击新密钥
- 输入作为密钥将使用的所有任意文本在编码和解码地址标记。例如, “Cisco_key”。
- 单击提交并且验证新的地址标记密钥
现在,请启用我们的“默认”域的跳动验证:
- 导航邮寄策略>目的地控制和点击默认。
- 配置跳动验证:执行地址标记:是
- 单击提交并且确认更改。注意跳动验证当前是为默认域。
使用目的地控制表
未管制的电子邮件交付能淹没接收域。ESA通过定义您的设备将打开连接的数量给您消息发送完全控制或您的设备将发对每个目的地域的通讯数量。当ESA传送对远程目的地时,目的地控制表为连接和消息速率提供设置。它为尝试或强制执行使用也提供设置TLS给这些目的地。ESA配置与目的地控制表的一个默认配置。
什么我们在本文将覆盖是我们如何能管理和配置对默认不是适应的目的地的控制。例如,谷歌有一套接收裁决Gmail用户应该跟随或他们冒险发送上一步SMTP 4XX答复代码,并且说的消息您太迅速发送,或者收件人的邮箱超过了其存储设备限制。我们将添加Gmail域到限制相当数量发送的消息的目的地控制表到下面Gmail收件人。
添加新域到目的地控制表
如被提及,谷歌有发送对Gmail的发送方的限制。接收限额可以通过查看Gmail发送方验证限制发布的此处- https://support.google.com/a/answer/1366776?hl=en
让我们例如好邻接策略设置Gmail的目的地域。
- 使用以下参数,导航邮寄策略>目的地控制并且点击添加目标并且创建新配置文件:
- 目的地:gmail.com
- IP地址首选:首选的IPv4
- 并发连接:最多20
- 最大值消息每连接:5
- 收件人:最多180每1分钟
- 跳动验证:执行地址标记:默认(是)
- 单击提交并且确认更改。 这是什么我们的目的地控制表看起来象在域的新增内容以后。
注意“目的地限制”,并且“跳动验证”在下面镜像更改:
部署已命名Entities (丹麦人)的SMTP基于DNS的验证
named Entities (丹麦人)协议的SMTP基于DNS的验证验证您的与DNS名的X.509证书使用在您的DNS服务器配置的域名系统安全(DNSSEC)分机和DNS资源记录,亦称TLSA记录。
TLSA记录在包含关于Certificate Authority (CA)、末端实体认证或者信任锚点的详细信息使用描述的DNS名在RFC 6698的证书被添加。域名系统安全(DNSSEC)扩展在DNS提供已添加安全通过针对在DNS安全的漏洞。DNSSEC使用加密密钥和数字签名保证查找数据正确并且连接使服务器合法。
下列是使用SMTP丹麦人的好处流出的TLS连接:
- 消息提供安全交付通过防止人在这中间(MITM)降级攻击,窃听和DNS缓存毒化攻击。
- 提供TLS证书和DNS信息真实性,当巩固由DNSSEC。
ESA配置
在您开始ESA的前安装丹麦人,请保证信封发送方和TLSA资源记录是验证的DNSSEC,并且接收的域是丹麦人保护。您在ESA能执行此使用CLI命令daneverify。
- 使用以下参数,导航邮寄策略>目的地控制并且点击添加目标并且创建新配置文件:
- 目的地: dane_protected.com
- TLS支持:首选的
- 丹麦人支持:机会主义
- 单击提交并且确认更改。
反馈