Introducción
Este documento describe cómo omitir la verificación de autenticación, notificación y conformidad de mensajes basada en dominio (DMARC) en Email Security Appliance (ESA). Consulte Introducción sobre la Autenticación de Correo Electrónico.
Verificar DMARC
DMARC es una especificación técnica creada para reducir el potencial de abuso basado en correo electrónico. DMARC estandariza el modo en que los receptores de correo electrónico realizan la autenticación de correo electrónico con el uso de los mecanismos de Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM). Para pasar la verificación de DMARC, un correo electrónico debe pasar al menos uno de estos mecanismos de autenticación, y los identificadores de autenticación deben cumplir con RFC 5322.
El dispositivo le permite:
- Verifique los correos electrónicos entrantes con el uso de DMARC.
- Defina los perfiles para reemplazar (aceptar, poner en cuarentena o rechazar) las políticas de los propietarios de dominios.
- Envíe informes de comentarios a los propietarios de dominios, lo que ayuda a fortalecer sus implementaciones de autenticación.
- Enviar informes de errores de entrega a los propietarios de dominio si el tamaño del informe agregado de DMARC supera los 10 MB o el tamaño especificado en la etiqueta de informes agregados (RUA) del registro de DMARC.
AsyncOS puede gestionar mensajes de correo electrónico que cumplen con la especificación de DMARC tal como se enviaron a Internet Engineering Task Force (IETF) el 31 de marzo de 2013. Para obtener más información, consulte http://tools.ietf.org/html/draft-kucherawy-dmarc-base-02.
Nota: El dispositivo no realizará la verificación de DMARC de los mensajes de los dominios con registros DMARC mal formados. Sin embargo, el dispositivo puede recibir y procesar dichos mensajes.
Configuración del desvío de DMARC
Si como administrador su requisito es omitir la verificación de DMARC de los mensajes de remitentes específicos, deberá seguir algunos pasos para lograr el desvío con éxito. A continuación se ofrece una descripción general de los pasos:
Nota: Las listas de direcciones creadas con el uso de direcciones de correo electrónico completas o dominios sólo se pueden utilizar para eludir la verificación de DMARC. Puede utilizar una lista de direcciones con la opción Todo lo anterior. Sin embargo, las entradas con solo dominio/dirección de correo electrónico completa o dirección de dominio parcial funcionarán para una excepción. Tendrá que utilizar el dominio/dirección de correo electrónico completa mencionado en el encabezado From.
- Asegúrese de que la verificación de DMARC esté activada en la política de flujo de correo asociada.
- Navegue hasta Políticas de correo > Lista de direcciones.
- Haga clic en Agregar lista de direcciones.
- Cree una lista de direcciones rellenando los detalles.
- Haga clic en Enviar.
- Una vez creada la Lista de Direcciones, tendrá que llamar a la lista a la Lista de Direcciones de Omisión de Remitentes Específicos de DMARC.
A continuación se muestra un ejemplo de cómo se puede configurar la configuración de desvío y cómo se realizará el registro:
La lista de direcciones se crea con "sólo dominios" como ejemplo y se agrega en los detalles del encabezado From.
Una vez creada correctamente la lista de direcciones con todas las entradas deseadas, tendrá que llamar a la Lista de direcciones en la Lista de direcciones de desvío de remitentes específicos de DMARC. Deberá navegar hasta Políticas de correo > DMARC > Editar configuración global y llamar a su lista de direcciones recién creada haciendo clic en el menú desplegable, como se muestra aquí:
Diferencia en Mail_Logs
Aquí se presenta una representación de mail_logs que ayudará a comprender la diferencia entre el registro, cuando se valida el DMARC de un dominio y cuando se configura para saltar.
Registros de correo cuando se marca DMARC:
Sat Mar 20 21:14:22 2021 Info: ICID 57 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS rfc1918 country not applicable
Sat Mar 20 21:14:22 2021 Info: Start MID 76571 ICID 57
Sat Mar 20 21:14:22 2021 Info: MID 76571 ICID 57 From:
Sat Mar 20 21:14:22 2021 Info: MID 76571 ICID 57 RID 0 To:
Sat Mar 20 21:14:23 2021 Info: MID 76571 DMARC: Verification skipped (No record found for the sending domain)
Sat Mar 20 21:14:23 2021 Info: MID 76571 DMARC:
Sat Mar 20 21:14:23 2021 Info: MID 76571 Message-ID '<613a1e1b-998a-6375-8887-ab2c6d430256@whitelist.com>'
Sat Mar 20 21:14:23 2021 Info: MID 76571 Subject 'Test 4'
Nota: No hay registro publicado para el dominio @whitelist.com, que es la razón por la que vemos "No se encontró registro para el dominio de envío".
Registros de correo para omitir la verificación de DMARC
Sat Mar 20 21:15:36 2021 Info: ICID 58 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS rfc1918 country not applicable
Sat Mar 20 21:15:37 2021 Info: Start MID 76572 ICID 58
Sat Mar 20 21:15:37 2021 Info: MID 76572 ICID 58 From:
Sat Mar 20 21:15:37 2021 Info: MID 76572 ICID 58 RID 0 To:
Sat Mar 20 21:15:37 2021 Info: MID 76572 DMARC: Verification skipped (Local bypass configuration)
Sat Mar 20 21:15:37 2021 Info: MID 76572 Message-ID '<2ba742a2-f8ba-9ff0-7dc9-362421f5177e@whitelist.com>'
Sat Mar 20 21:15:37 2021 Info: MID 76572 Subject 'Test Bypass DMARC'
Información Relacionada