فهم المعلمات المتعلقة بسياسات تدفق البريد وعناصر التحكم في الوجهة

المقدمة

يوضح هذا المستند بعض جوانب التكوين لجهاز أمان البريد الإلكتروني (ESA) حول كيفية تقييد/تحديد المعدل والتسليم. الميزات التي سيتم وصفها في المقالة هي سياسات تدفق البريد وعناصر التحكم في الوجهة.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• الفهم الأساسي لسياسات تدفق البريد وعناصر التحكم في الوجهة
• إلمام باستخدام هذه الميزات في تكوين ESA

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

مزايا سياسات تدفق البريد وعناصر التحكم في الوجهة

هناك وظيفة واحدة مهمة جدا أن كلا من هذه الميزات لها، وهي تحديد/تقييد المعدل. يساعد هذا الجانب المسؤول على التحكم في حركة المرور التي يجب أن تكون حرة التدفق وعلى أي حركة مرور يجب السماح بها مع وجود قيود.

نهج تدفق البريد

هذه هي السياسات التي تنطبق على مجموعات المرسلين الخاصة بالإيسا، والتي يتم على أساسها تعديل حركة مرور البريد الإلكتروني.

تنطبق سياسات تدفق البريد دائما على حركة المرور الواردة إلى ESA بغض النظر عن كون البريد الإلكتروني الوارد أو الصادر.

تعمل نهج تدفق البريد في الخلفية فيما يتعلق بسلوك الاتصال المحدد لذلك النهج. سلوك الاتصال المختلف المتاح في ESAs هو:

1. قبول
2. يرفض
3. مرحل
4. رفض TCP
5. متابعة

قبول: يتم قبول الاتصال، ثم يتم تقييد قبول البريد الإلكتروني أكثر من قبل إعدادات المصغي، بما في ذلك جدول وصول المستلم (لمستمعي الجمهور). يتعامل سلوك الاتصال هذا مع البريد الإلكتروني كبريد وارد

الرفض: يحصل العميل الذي يحاول الاتصال على رمز حالة SMTP 4xx أو 5xx. لم يتم قبول أي بريد إلكتروني. يستخدم هذا بشكل رئيسي للإدراج في القائمة السوداء للمرسلين

الترحيل: تم قبول الاتصال. يسمح باستلام أي مستلم ولا يخضع لقيود جدول وصول المستلم. يتعامل هذا مع البريد الإلكتروني كبريد إلكتروني صادر

رفض TCP: تم رفض الاتصال على مستوى TCP.

تابع: يتم تجاهل رسم الخرائط في نظام HAT، وتستمر معالجة نظام HAT. في حالة تطابق الاتصال الوارد مع إدخال لاحق غير "متابعة"، يتم إستخدام هذا الإدخال بدلا من ذلك. تستخدم قاعدة "المتابعة" لتسهيل تحرير HAT في واجهة المستخدم الرسومية (GUI).

مكونات نهج تدفق البريد

الحد الأقصى. Messages Per Connection: الحد الأقصى لعدد الرسائل التي يمكن إرسالها من خلال موزع الرسائل هذا لكل اتصال من مضيف بعيد. يمثل كل رمز ICID وصلة واحدة

الحد الأقصى. المستلمون لكل رسالة: الحد الأقصى لعدد المستلمين لكل رسالة سيتم قبولها من هذا المضيف التي تتم معالجتها باستخدام نهج تدفق البريد هذا

الحد الأقصى. حجم الرسالة: الحد الأقصى لحجم الرسالة التي سيتم قبولها بواسطة موزع الرسائل هذا تم وضع علامة عليها لنهج تدفق البريد. أصغر حجم ممكن للرسائل هو 1 كيلوبت.

الحد الأقصى. الاتصالات المتزامنة من عنوان IP واحد: الحد الأقصى لعدد الاتصالات المتزامنة المسموح بها للاتصال بهذا المصغي من عنوان IP واحد.

رمز شعار SMTP المخصص: تم إرجاع رمز SMTP عند إنشاء اتصال مع موزع الرسائل هذا.

نص شعار SMTP المخصص: تم إرجاع نص شعار SMTP عند إنشاء اتصال مع موزع الرسائل هذا. يمكنك إستخدام بعض المتغيرات في هذا الحقل.

تجاوز اسم مضيف شعار SMTP: بشكل افتراضي، سيتضمن الجهاز اسم المضيف المقترن بواجهة موزع الرسائل عند عرض شعار SMTP إلى المضيفين البعيدين (على سبيل المثال، 220-hostname ESMTP). يمكنك إختيار تجاوز هذا الشعار بإدخال اسم مضيف مختلف هنا. وبالإضافة إلى ذلك، يمكنك ترك حقل اسم المضيف فارغا لاختيار عدم عرض اسم المضيف في الشعار.

حدود تدفق البريد

الحد الأقصى. المستلمون في الساعة: الحد الأقصى لعدد المستلمين في الساعة الذي سيستلمه موزع الرسائل هذا من مضيف بعيد. يتم تعقب عدد المستلمين لكل عنوان IP للمرسل بشكل عام. يقوم كل موزع رسائل بتتبع عتبة تحديد المعدل الخاصة به، ومع ذلك، نظرا لأن جميع المستمعين يقومون بالتحقق من الصحة مقابل عداد واحد، فمن المرجح أن يتم تجاوز حد المعدل إذا كان نفس عنوان IP (المرسل) يتصل بالعديد من المستمعين. يمكنك إستخدام بعض المتغيرات في هذا الحقل.

الحد الأقصى. المستلمون في الساعة: يتم إرجاع كود SMTP عندما يتجاوز المضيف الحد الأقصى لعدد المستلمين في الساعة المحدد لهذا المصغي.

الحد الأقصى. نص المستلمين لكل ساعة: يتم إرجاع نص شعار SMTP عندما يتجاوز المضيف الحد الأقصى لعدد المستلمين لكل ساعة المحددة لهذا المصغي.

حد المعدل للمرسلين المغلفات

الحد الأقصى. المستلمون في كل فترة زمنية: الحد الأقصى لعدد المستلمين خلال فترة زمنية محددة سيتلقاها هذا المنصت من مرسل مظروف فريد، استنادا إلى عنوان البريد من. يتم تعقب عدد المستلمين بشكل عام. يقوم كل مستمع بتعقب عتبة تحديد المعدل الخاصة به، ومع ذلك، نظرا لأن جميع المستمعين يتم التحقق من صحتها مقابل عداد واحد، فمن المرجح أن يتم تجاوز حد المعدل إذا تم تلقي الرسائل من نفس عنوان البريد من خلال مستمعين متعددين.

رمز خطأ حد معدل المرسل: يتم إرجاع كود SMTP عندما يتجاوز المظروف الحد الأقصى لعدد المستلمين للفاصل الزمني المحدد لهذا المصغي.

نص خطأ حد معدل المرسل: تم إرجاع نص شعار SMTP عندما يتجاوز مرسل المظروف الحد الأقصى لعدد المستلمين للفترة الزمنية المحددة لهذا المصغي.

الاستثناءات: إذا كنت تريد إعفاء مرسلي المظروف من حد المعدل المحدد، حدد قائمة العناوين التي تحتوي على مرسلي المظروف.

يتم تحديد قائمة العناوين من سياسات البريد على قائمة العناوين (يمكن إستخدام عناوين البريد الإلكتروني الكاملة والمجالات وعناوين IP للإعفاءات)

إستخدام SenderBase للتحكم في التدفق: تمكين "عمليات البحث" لخدمة "سمعة SenderBase" لهذا المصغي.

التجميع باستخدام تماثل عناوين IP: يستخدم لتعقب البريد الوارد وحده وتصنيفه على أساس كل عنوان IP أثناء إدارة الإدخالات في جدول الوصول المضيف (HAT) الخاص بالمستمع في كتل CIDR الكبيرة. أنت تعرف نطاق من وحدات بت المهمة (من 0 إلى 32) والتي بموجبها يتم تجميع عناوين IP المماثلة لأغراض تحديد المعدل، مع الحفاظ على عداد فردي لكل عنوان IP ضمن ذلك النطاق.

ملاحظة: يتطلب تعطيل "إستخدام SenderBase".

منع هجوم حصاد الدليل (DHAP)

الحد الأقصى. عدد المستلمين غير صحيح في الساعة: الحد الأقصى لعدد المستلمين غير الصحيحين في الساعة التي سيتلقاها المنصت من مضيف بعيد. يمثل هذا الحد العدد الإجمالي لرفض RAT ورفض خادم إستدعاء SMTP بالإضافة إلى العدد الإجمالي للرسائل إلى مستلمي LDAP غير صالحة التي تم إسقاطها في محادثة SMTP أو تم إرجاعها في قائمة انتظار العمل (كما تم تكوينها في إعدادات قبول LDAP على المصغي المقترن).

إسقاط الاتصال إذا تم الوصول إلى حد DHP ضمن محادثة SMTP:

سيقوم الجهاز بإسقاط اتصال بمضيف إذا تم الوصول إلى عتبة المستلمين غير الشرعيين.

الحد الأقصى. المستلمين غير صحيحين في كل ساعة: حدد الرمز المراد إستخدامه عند إسقاط الاتصالات. الرمز الافتراضي هو 550.

الحد الأقصى. عدد المستلمين لكل ساعة غير صحيح: حدد النص المراد إستخدامه للاتصالات التي تم إسقاطها. النص الافتراضي هو "عدد كبير جدا من المستلمين غير الصحيحين."

ميزات الأمان 

البريد العشوائي / AMP / الفيروسات / التحقق من السمعة / عوامل تصفية التفشي / الحماية المتقدمة من التصيد الاحتيالي / Graymail / عوامل تصفية المحتوى والرسائل : يمكن تمكين الفحص المرتبط بمحركات الأمان / المسح الضوئي و عوامل التصفية أو تعطيله من هنا

التشفير والمصادقة: يمكننا تعديل الإعدادات عند إيقاف التشغيل أو تفضيل أو طلب أمان طبقة النقل (TLS) في محادثات SMTP لهذا المصغي.

يوجه خيار التحقق من شهادة العميل جهاز أمان البريد الإلكتروني لإنشاء اتصال TLS لتطبيق بريد المستخدم إذا كانت شهادة العميل صالحة.

بالنسبة إلى TLS المفضلة، لا يزال الجهاز يسمح باتصال غير TLS إذا لم يكن لدى المستخدم شهادة، ولكنه يرفض التوصيل إذا كان لدى المستخدم شهادة غير صحيحة.

لإعداد TLS المطلوب، يتطلب تحديد هذا الخيار أن يكون لدى المستخدم شهادة صالحة لكي يسمح الجهاز بالاتصال.

مصادقة SMTP: السماح بمصادقة SMTP أو عدم السماح بها أو طلبها من البيئات المضيفة البعيدة المتصلة بالمصغي

في حالة تمكين كل من مصادقة TLS و SMTP: مطالبة TLS بتقديم مصادقة SMTP

توقيع مفتاح المجال/DKIM: تمكين مفاتيح المجال أو توقيع DKIM على موزع الرسائل هذا

التحقق من DKIM: تمكين التحقق من DKIM.

فك تشفير/التحقق من S/MIME: تمكين فك تشفير S/MIME أو التحقق منه.

التوقيع بعد المعالجة: أختر ما إذا كنت تريد الاحتفاظ بالتوقيع الرقمي أو إزالته من الرسائل بعد التحقق من S/MIME.

جمع المفاتيح العامة باستخدام نظام الإدخال والإخراج المتعدد (S/MIME): تمكين جمع المفاتيح العامة باستخدام نظام الإدخال والإخراج المتعدد (S/MIME).

شهادات الحصاد عند فشل التحقق: أختر ما إذا كنت ستحصد المفاتيح العامة في حالة فشل التحقق من الرسائل الموقعة الواردة.

تخزين الشهادة المحدثة: أختر ما إذا كنت تريد الحصول على المفاتيح العامة المحدثة

التحقق من SPF/SIDF: تمكين توقيع SPF/SIDF على موزع الرسائل هذا.

مستوى التوافق: تعيين مستوى توافق SPF/SIDF. يمكنك الاختيار من SPF أو SIDF أو SIDF المتوافقة

يتم إستخدام نتيجة التحقق من PRA من الإصدار الأقدم في حالة إستخدام 'Resent-Sender:' أو 'Resent-From:': إذا أخترت مستوى توافق متوافق مع SIDF، قم بتكوين ما إذا كنت تريد تقليل نتيجة تمرير التحقق من هوية PRA إلى "بلا" في حالة وجود Resent-Sender: أو Resent-From: الرؤوس الموجودة في الرسالة

إختبار HELO: قم بتكوين ما إذا كنت تريد إجراء إختبار مقابل هوية HELO (أستخدم هذا لمستويات التوافق المتوافقة مع SPF و SIDF)

التحقق من DMARK: تمكين التحقق من DMARK على هذا المستمع

أستخدم ملف تعريف التحقق من DMARK: حدد ملف تعريف التحقق من DMARK الذي تريد إستخدامه على موزع الرسائل هذا. نفس الشيء يتم إنشاؤه من نهج البريد —> DMARK —> إضافة ملف تعريف

تقارير ملاحظات DMARK: تمكين إرسال تقارير ملاحظات تجميع DMARK.

التحقق من القفزة

اعتبر القفزات غير المميزة صحيحة: يطبق فقط إذا تم تمكين علامات تمييز التحقق من القفزات. بشكل افتراضي، يعتبر الجهاز القفزات التي ليس لها علامات تمييز غير صحيحة ويرفض القفزة أو يضيف رأس مخصص، حسب إعدادات التحقق من القفزات. إذا أخترت أن تعتبر القفزات غير المميزة صحيحة، فإن الجهاز يقبل رسالة القفزة.

التحقق من المرسل

التحقق من صحة DNS الخاص بمرسل المظروف:

يمكن عدم التحقق من المرسلين لأسباب مختلفة. يصنف المرسلون الذين لم يتم التحقق منهم إلى الفئات التالية:

• اتصال سجل PTR المضيف غير موجود في DNS.
• فشل توصيل البحث عن سجل PTR المضيف بسبب فشل DNS المؤقت.
• لا يتطابق اتصال البحث العكسي عن DNS للمضيف (PTR) مع البحث عن DNS (A) لإعادة التوجيه.

يمكننا تمكين ميزة "التحقق من المرسل" أو تعطيلها.

إستخدام جدول إستثناءات التحقق من المرسل: يمكننا إستخدام جدول إستثناء مجال التحقق من المرسل للسماح بالإعفاءات. يمكن أن يكون لدينا جدول إستثناء واحد فقط، ولكن يمكن تمكينه لكل نهج تدفق بريد.

يمكن إنشاء جدول الاستثناءات من نهج البريد —> جدول إستثناءات التحقق من المرسل —> إضافة إستثناء التحقق من المرسل

عناصر تحكم الوجهة 

هذه ميزة تتحكم في عمليات تسليم البريد الإلكتروني. يمكن التحكم في جميع رسائل البريد الإلكتروني التي تنتهي المعالجة عبر ESA، والتي توشك على الخروج من ESAs لمزيد من عمليات التسليم بواسطة ميزة "عناصر تحكم الوجهة".

ينطبق ملف تعريف عناصر تحكم الوجهة الافتراضية على جميع عمليات التسليم. في حالة الحاجة إلى عناصر تحكم تسليم خاصة بالمجال، فعلينا إنشاء ملف تعريف مخصص لعناصر تحكم الوجهة.

مكونات ملف تعريف عناصر تحكم الوجهة

حدود

الاتصالات المتزامنة: عدد الاتصالات المتزامنة (DCID) بالمضيفين البعيدين سيحاول الجهاز فتحها لإكمال التسليم.

الحد الأقصى للرسائل لكل اتصال: عدد الرسائل التي ستقوم ESA بإرسالها إلى مجال وجهة عبر اتصال (DCID) قبل أن يقوم الجهاز ببدء اتصال جديد.

المستلمين: عدد المستلمين الذين سيرسلهم الجهاز إلى مضيف بعيد محدد في فترة زمنية معينة.

تطبيق الحدود: تساعد هذه الجوانب في تحديد كيفية تطبيق الحدود التي حددناها لكل وجهة ولكل اسم مضيف MGA.

دعم TLS

يساعد هذا في تحديد ما إذا كان سيتم تعيين إتصالات TLS بالمضيفين البعيدين على بلا / مفضل / مطلوب

دعم DANE: إذا قمت بتكوين DANE ك "انتهازي" ولم يدعم المضيف البعيد DANE، فإنه يفضل إستخدام TLS الانتهازية لتشفير محادثات SMTP.

إذا قمت بتكوين DANE ك "إلزامي" ولم يدعم المضيف البعيد DANE، فلن يتم إنشاء اتصال بالمضيف الوجهة.

إذا قمت بتكوين DANE ك "إلزامي" أو "انتهازي" وقام المضيف البعيد بدعم DANE، فيفضل تشفير محادثات SMTP.

ملاحظة: لن يتم فرض DANE للمجالات التي تم تكوين مسارات SMTP بها.

التحقق من القفزة

يساعد ذلك في تحديد ما إذا كان سيتم تنفيذ وضع علامة على عنوان المرسل المظروف (prvs-xxxxxx-xxxx) من خلال التحقق من Pulce أم لا.

يمكن تكوين التحقق من الارتداد من نهج البريد —> التحقق من الارتداد —> إضافة مفتاح جديد

ملف تعريف القفزات 

يمكن إستخدام ملف تعريف الوثبة من قبل الجهاز لمضيف بعيد محدد. وهو يقرر المدة التي سيتم خلالها الاحتفاظ ببريد إلكتروني في قائمة انتظار التسليم الخاصة بالإيسا في حالة وجود مشاكل في التسليم، وذلك قبل إرسال بريد إلكتروني ثابت

يتم ضبط ملف تخصيص القفزات عبر الشبكة —> ملفات تعريف القفزات

الإعدادات العمومية

الترخيص: هذا هو الجانب الذي نحدد فيه الشهادات التي سيتم إستخدامها عند إنشاء إتصالات SSL/TLS أثناء بدء تسليم البريد الإلكتروني إلى الخطوة التالية. يوصى دائما باستخدام شهادة موقعة من المرجع المصدق (CA) في هذا الجانب.

إرسال تنبيه عند فشل اتصال TLS مطلوب: يمكننا تحديد ما إذا كان الجهاز يرسل تنبيها إذا فشل تفاوض TLS عند تسليم رسائل إلى مجال يتطلب اتصال TLS. تحتوي رسالة التنبيه على اسم المجال الوجهة لمفاوضات TLS الفاشلة. يرسل الجهاز رسالة التنبيه إلى كافة المستلمين الذين تم تعيينهم لتلقي تنبيهات مستوى خطورة التحذير لأنواع تنبيه النظام.

يمكننا إدارة مستلمي التنبيهات عبر إدارة النظام —> التنبيهات