Warum behandelt die ESA das DKIM-Authentifizierungsergebnis "permfail" als "hardfail"?

Download-Optionen

  • PDF     (257.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (111.2 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (82.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:29. Juli 2022
Dokument-ID:200881

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie die E-Mail Security Appliance (ESA) die DKIM-Authentifizierungsergebnisse (DomainKeys Identified Mail) verarbeitet.

    Warum behandelt die ESA das DKIM-Authentifizierungsergebnis "permfail" als "hardfail"?

    Die ESA-Inhaltsfilterbedingung DKIM-Authentifizierung verfügt über mehrere Optionen, wie in diesem Bild gezeigt:

    DKIM authentication

    Wenn die Bedingung DKIM Authentication Result auf Hardfail gesetzt ist, werden permfail-Nachrichten in der E-Mail-Protokolldatei und verfolgte Nachrichten angezeigt, wie in diesem Beispiel gezeigt:

    Message 815204 DKIM: permfail body hash did not verify [final] (d=sub.example.com s=selector1-sub-com i=@sub.example.com)

    Die ESA betrachtet "permfail" als dasselbe wie "hardfail" und fügt das Ergebnis als "dkim=hardfail" in den Header "Authentication-Results" ein. Die ESA-Namen für DKIM-Ereignisse unterscheiden sich von RFC6376-Namen. In Headern für Authentifizierungsergebnisse (und verfolgten Nachrichten) muss die ESA die richtigen RFC6376-Zeichenfolgen anzeigen, während der Content-Filter unterschiedliche Ereignisnamen verwendet.

    Diese Ereignisse werden zugeordnet: RFC6376.PERMFAIL == ESA Content-Filter - Fehler

    Fehler bei der Signatur- und Nachrichtentext-Hash-Verifizierung stellen die Mehrzahl der Überprüfungsfehler dar. Body-Hash-Überprüfungsfehler weisen darauf hin, dass der Nachrichtentext nicht mit dem Hash-(Digest-)Wert in der Signatur übereinstimmt. Signaturüberprüfungsfehler weisen darauf hin, dass der Signaturwert die signierten Headerfelder (die die Signatur selbst enthalten) in der Nachricht nicht ordnungsgemäß überprüft.

    Es gibt mehrere mögliche Ursachen für diese beiden Fehler. Die Nachricht wurde möglicherweise während der Übertragung geändert (möglicherweise von einer Mailingliste oder einem Spediteur). die Signatur- oder Hashwerte wurden möglicherweise vom Unterzeichner falsch berechnet oder angewendet; Möglicherweise wurde der falsche öffentliche Schlüsselwert im DNS (Domain Name System) veröffentlicht. oder die Nachricht von einer Entität getäuscht wurde, die nicht über den privaten Schlüssel verfügt, der zur Berechnung der richtigen Signatur erforderlich ist.

    Es ist sehr schwierig, diese Ursachen durch Analyse der Nachricht zu unterscheiden, obwohl die Ursprungs-IP-Adresse im Fall einer gefälschten Nachricht hilfreiche Forensik bieten kann. Aus Datenschutzgründen haben wir jedoch keinen Zugriff auf die Nachrichten selbst, sodass eine solche Analyse nicht möglich ist.

    Es gibt Nachrichten, deren Signaturen aus anderen Gründen nicht überprüft werden, häufig aufgrund leicht vermeidbarer Konfigurationsfehler in den im DNS veröffentlichten Datensätzen mit öffentlichem Schlüssel (Selektor).

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    29-Jul-2022
    Fehlerhafte Verbindung entfernt.
    1.0
    15-Dec-2016
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Enrico Werner
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.