تكوين SPF وأفضل الممارسات

المقدمة

يصف هذا المستند سيناريوهات مختلفة مع إطار عمل نهج المرسل (SPF) على جهاز أمان البريد الإلكتروني (ESA) من Cisco.

المتطلبات الأساسية

cisco يوصي أن أنت تعرف هذا موضوع:

• Cisco ESA
• جميع إصدارات AsyncOS

ما هو SPF؟

إطار عمل نهج المرسل (SPF) هو نظام بسيط للتحقق من صحة البريد الإلكتروني مصمم للكشف عن انتحال البريد الإلكتروني من خلال توفير آلية تسمح للمتبادلين باستلام البريد للتحقق من أنه يتم إرسال البريد الوارد من مجال من مضيف مصرح به من قبل مسؤولي هذا المجال. يتم نشر قائمة المضيفين المرخص لهم للمجال في سجلات نظام اسم المجال (DNS) لذلك المجال في شكل سجل TXT منسق بشكل خاص. غالبا ما يستخدم البريد الإلكتروني العشوائي والتصيد الاحتيالي عناوين مرسل مزورة، لذا يمكن إعتبار نشر سجلات SPF والتحقق منها تقنيات لمكافحة البريد العشوائي.

هل سيكون للأداء تأثير كبير على الإيسا؟

من منظور وحدة المعالجة المركزية، لن يكون للأداء تأثير كبير. ومع ذلك، سيؤدي تمكين التحقق من SPF إلى زيادة عدد استعلامات DNS وحركة مرور DNS. قد يتعين على ESA بدء استعلامات DNS من 1 إلى 3 لعامل SPF لكل رسالة، وسيؤدي ذلك إلى الانتهاء من ذاكرة التخزين المؤقت ل DNS في وقت مبكر من ذي قبل. ولذلك، ستولد الإيسا المزيد من الاستفسارات عن العمليات الأخرى أيضا.

بالإضافة إلى المعلومات السابقة، سيكون سجل SPF سجل TXT قد يكون أكبر من سجلات DNS العادية وقد يتسبب في بعض حركات مرور DNS الإضافية.

كيف يمكنك تمكين SPF؟

هذه التعليمات واردة من دليل المستخدم المتقدم حول إعداد التحقق من SPF:

لتمكين تنسيق البيانات المستقل للنظام/SPF (SIDF) في نهج تدفق البريد الافتراضي:

1. انقر فوق نهج البريد > نهج تدفق البريد.
2. انقر فوق معلمات النهج الافتراضية.
3. في معلمات النهج الافتراضية، اعرض قسم ميزات الأمان.
4. في قسم التحقق من SPF/SIDF، انقر نعم.
5. تعيين مستوى التوافق (يكون الافتراضي متوافقا مع SIDF). يتيح لك هذا الخيار تحديد معيار التحقق من SPF أو SIDF المراد إستخدامه. بالإضافة إلى التوافق مع SIDF، يمكنك إختيار التوافق مع SIDF، والذي يجمع بين SPF و SIDF. تتوفر تفاصيل مستويات التوافق في دليل المستخدم النهائي.
6. إذا أخترت مستوى توافق متوافق مع SIDF، قم بتكوين ما إذا كان التحقق يخفض نتيجة تمرير لهوية PRA إلى بلا في حالة وجود Resent-Sender: أو Resent-From: الرؤوس الموجودة في الرسالة. قد تختار هذا الخيار لأغراض الأمان.
7. إذا أخترت مستوى توافق من SPF، قم بتكوين ما إذا كنت تريد إجراء إختبار مقابل هوية HELO. قد تستخدم هذا الخيار لتحسين الأداء عن طريق تعطيل فحص HELO. يمكن أن يكون هذا مفيدا لأن قاعدة مرشح SPF التي تم تمريرها تتحقق من PRA أو MAIL من الهويات أولا. يقوم الجهاز بإجراء فحص HELO فقط لمستوى توافق SPF.

لاتخاذ إجراء بشأن نتائج التحقق من صحة SPF، الرجاء إضافة عامل (عوامل) تصفية المحتوى:

1. إنشاء عامل تصفية محتوى حالة SPF لكل نوع من التحقق من SPF/SIDF. أستخدم اصطلاح تسمية للإشارة إلى نوع التحقق. على سبيل المثال، أستخدم SPF-Pass للرسائل التي تجتاز التحقق من SPF/SIDF، أو SPF-TempErr للرسائل التي لم يتم تمريرها بسبب خطأ عابر أثناء التحقق. للحصول على معلومات حول إنشاء عامل تصفية محتوى حالة SPF، راجع قاعدة عامل تصفية محتوى حالة SPF في واجهة المستخدم الرسومية.
2. بعد أن تقوم بمعالجة بعض الرسائل التي تم التحقق منها من قبل SPF/SIDF، انقر مراقبة > عوامل تصفية المحتوى لمعرفة عدد الرسائل التي تم تشغيل كل من عوامل تصفية المحتوى التي تم التحقق من صحتها من قبل SPF/SIDF.

ماذا يعني إختبار "هيلو" على و إيقاف؟ ماذا سيحدث إذا فشل إختبار هيلو من مجال معين؟

إذا أخترت مستوى توافق من SPF، قم بتكوين ما إذا كنت تريد إجراء إختبار مقابل هوية HELO. قد تستخدم هذا الخيار لتحسين الأداء عن طريق تعطيل فحص HELO. يمكن أن يكون هذا مفيدا لأن قاعدة مرشح SPF التي تم تمريرها تتحقق من PRA أو MAIL من الهويات أولا. يقوم الجهاز بإجراء فحص HELO فقط لمستوى توافق SPF.

سجلات SPF صالحة

لتمرير التحقق ذو الشكل الخارجي لبروتوكول SPF، تأكد من تضمين سجل SPF لكل MTA مرسل (منفصل عن المجال). إذا لم تضعوا هذا السجل، فمن المرجح ان يؤدي فحص HELO إلى الحكم على هوية NONE. إذا لاحظت أن مرسلي SPF إلى مجالك يرجعون عددا كبيرا من الأحكام بلا، فقد لا يتضمن هؤلاء المرسلون سجل SPF لكل MTA مرسل.

سيتم تسليم الرسالة في حالة عدم تكوين عوامل تصفية الرسائل/المحتوى. مرة أخرى، يمكنك إتخاذ إجراءات معينة باستخدام عوامل تصفية الرسائل/المحتوى لكل قرار من SPF/SIDF. 

ما هي أفضل طريقة لتمكينها لمجال خارجي واحد فقط؟

لتمكين SPF لمجال معين، قد تحتاج إلى تحديد مجموعة مرسل جديدة بنهج تدفق بريد تم تمكين SPF له، ثم قم بإنشاء عوامل تصفية كما هو مذكور مسبقا.

هل يمكنك تمكين فحص SPF بحثا عن البريد العشوائي المشتبه فيه؟

تأخذ مكافحة البريد العشوائي من Cisco في الاعتبار العديد من العوامل أثناء حساب نتائج البريد العشوائي. قد يؤدي وجود سجل SPF يمكن التحقق منه إلى تقليل نتائج البريد العشوائي ولكن ما زالت هناك فرصة لإكتشاف هذه الرسائل على أنها بريد عشوائي مشتبه فيه.

يتمثل الحل الأفضل الممكن في السماح بإدراج عنوان IP الخاص بالمرسل أو إنشاء عامل تصفية رسائل لتخطي فحص البريد العشوائي باستخدام شروط متعددة (عنوان IP عن بعد، بريد من، رأس X-Skipspamcheck، وما إلى ذلك). يمكن إضافة الرأس بواسطة الخادم المرسل لتعريف نوع واحد من الرسائل من الآخرين.

معلومات ذات صلة

• جهاز أمان البريد الإلكتروني من Cisco - أدلة المستخدم النهائي
• أفضل ممارسات مصادقة البريد الإلكتروني - إستنساخ SPF/DKIM/DMARK
• الدعم التقني والمستندات - Cisco Systems