Wie wird die SPF-Verifizierungsbedingung mithilfe von Content-Filtern bewertet?

Download-Optionen

  • PDF     (128.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (126.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (117.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:6. Mai 2021
Dokument-ID:217131

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einführung

    In diesem Dokument wird erläutert, wie die Filterbedingung für den Verifizierungsinhaltsfilter des Sender Policy Framework (SPF) derzeit evaluiert wird.

    Die angegebene Funktion gilt nur für alle aktuell unterstützten asynchronen Betriebssystemversionen (10.x und höher).

    Bedingung für SPF-Verifizierung Content-Filter

    SPF ist ein einfaches E-Mail-Validierungssystem, das entwickelt wurde, um E-Mail-Spoofing zu erkennen, indem es einen Mechanismus bereitstellt, mit dem Empfänger-Mail-Empfänger überprüfen können, ob eingehende E-Mails aus einer Domäne von einem Host gesendet werden, der von den Administratoren dieser Domäne autorisiert wurde. 

    Auf der Cisco E-Mail Security Appliance (ESA) ist SPF für eingehende Nachrichten in Mail Flow-Policys aktiviert. Es kann ein Content-Filter erstellt werden, um Maßnahmen bezüglich des gesammelten SPF-Urteils zu ergreifen, das die Nachrichten je nach Anforderung unter Quarantäne stellt oder löscht.

    Mail-Protokolle oder Nachrichtenverfolgung zeigen folgende Details an:

    Sat Feb 20 17:27:37 2021 Info: MID 6153849 SPF: helo identity postmaster@example None
    Sat Feb 20 17:27:37 2021 Info: MID 6153849 SPF: mailfrom identity
     user@example.com Fail (v=spf1)
    Sat Feb 20 17:28:15 2021 Info: MID 6153849 SPF: pra identity user@example.com
     None headers from Sat Feb 20 17:28:15 2009 Info: MID 6153849 ready 197 bytes
     from <user@example.com>

    Es gibt drei Arten von SPF-Status-Identitätsprüfungen:

    1. SPF-Status("mailfrom")-IDENTITÄT
    2. SPF-Status("pra")-IDENTITÄT
    3. SPF-Status("helo") IDENTITÄT

    Bei älteren Versionen (9.7 und älter) bewerteten Content-Filter nur PRA-Ergebnisse, die unter CSCuw56673 nachverfolgt und auf Async OS 9.7.2 und höher behoben wurden.

    Bei allen neueren Versionen überprüfen Content-Filter alle drei SPF-Identitäten, bevor sie eine Aktion ausgeführt haben.

    Der Content-Filter-Zustand "spf-status = "fail" (Fehler) überprüft alle drei Identitäten, um festzustellen, ob ein SPF-Failover-Urteil vorliegt.

    Content-Filter erlauben immer noch keine spezifischen Prüfungen gegen eine individuelle Identität. Wenn also ein Administrator E-Mails allein und nicht die beiden anderen abrufen möchte, ist die Verwendung von Nachrichtenfiltern erforderlich.

    Nur Nachrichtenfilter können SPF-Statusregeln einzeln mit den Identitäten 'HELO', 'MAILFROM' und 'PRA' abgleichen.

    Ein Nachrichtenfilter sieht wie folgt aus:

    if (spf-status("pra") == "Fail") AND(spf-status("mailfrom") == "Fail") AND
     (spf-status ("helo") == "Fail")

    Mit einem Nachrichtenfilter kann detaillierter festgelegt werden, welche SPF-Verdicts der Benutzer unter Quarantäne stellen muss, während Content-Filter nicht über so viele Optionen verfügen.

    Dies ist der Nachrichtenfilter aus dem AsyncOS Advanced User Guide und verwendet verschiedene SPF-Statusregeln für verschiedene Identitäten:

    quarantine-spf-failed-mail:

if (spf-status("pra") == "Fail") {

if (spf-status("mailfrom") == "Fail"){

# completely malicious mail

quarantine("Policy");

} else {

if(spf-status("mailfrom") == "SoftFail") {

# malicious mail, but tempting

quarantine("Policy");

}

}

} else {

if(spf-status("pra") == "SoftFail"){

if (spf-status("mailfrom") == "Fail"

or spf-status("mailfrom") == "SoftFail"){

# malicious mail, but tempting

quarantine("Policy");

}

}

}

    Zugehörige Informationen

    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Libin Varghese
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.