Guida alle best practice per la verifica dei rimbalzi e i controlli di destinazione

Opzioni per il download

  • PDF     (572.3 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (341.0 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (401.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:18 dicembre 2019
ID documento:215124

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Il recapito di grandi volumi di e-mail non controllato può sovraccaricare i domini dei destinatari. AsyncOS offre il controllo completo sul recapito dei messaggi definendo il numero di connessioni che il servizio Email Security aprirà o il numero di messaggi che invierà a ciascun dominio di destinazione.

    In questo documento, tratteremo:

    1. Impostazione della verifica dei rimbalzi per proteggere l'organizzazione dagli attacchi di rimbalzo
    2. Utilizzo della tabella di controllo della destinazione per applicare criteri appropriati per le risorse adiacenti
    3. Distribuzione dell'autenticazione DANE (Named Entities) basata su DNS SMTP per il recapito sicuro dei messaggi

    Verifica Rimbalzo

    Abilitare la verifica dei rimbalzi è un ottimo modo per combattere gli attacchi di tipo backscatter/bounce. Il concetto alla base della verifica dei rimbalzi è semplice. Anzitutto, contrassegnare i messaggi che lasciano il ESA. Cercare tale markup in tutti i messaggi di bounce, se il markup è presente, significa che si tratta di un rimbalzo di un messaggio originato nel proprio ambiente. Se il markup è mancante, il rimbalzo è fraudolento e può essere rifiutato o eliminato.

    Ad esempio, MAIL FROM: joe@example.com diventa MAIL FROM: prvs=joe=123ABCDEFG@example.com. La stringa 123... nell'esempio è il rimbalzo il tag di verifica che viene aggiunto al mittente della busta al momento dell'invio da parte dell'appliance ESA. Se il messaggio salta, l'indirizzo Envelope Recipient nel messaggio rimbalzato includerà il tag per la verifica del rimbalzo, che indica all'ESA che si tratta di un rimbalzo legittimo messaggio.

    Potete abilitare o disabilitare l'applicazione di tag di verifica del rimbalzo a livello di sistema come impostazione predefinita. È possibile abilitare o disabilitare anche i tag di verifica del rimbalzo per domini specifici. Nella maggior parte distribuzioni, è abilitata per impostazione predefinita per tutti i domini.

    Configurazione ESA

    • Selezionare Mail Policies > Bounce Verification (Policy di posta > Verifica rimbalzo) e fare clic su New Key (Nuova chiave).

    • Immettere il testo arbitrario da utilizzare come chiave nei tag degli indirizzi di codifica e decodifica. Ad esempio, "Cisco_key".

    • Fare clic su Invia e verificare la nuova chiave di tag dell'indirizzo

    Abilitiamo ora la verifica dei rimbalzi per il nostro dominio "predefinito":

    • Selezionare Mail Policies > Destination Controls (Policy di posta > Controlli di destinazione), quindi fare clic su Default.
    • Configura verifica rimbalzo: Esegui tagging indirizzo: Sì

    • Fare clic su Invia e conferma modifiche. Notare che la verifica dei rimbalzi è ora attiva per il dominio predefinito.

    Utilizzo della tabella di controllo della destinazione

    Il recapito non controllato della posta elettronica può sovraccaricare i domini dei destinatari. L'ESA offre il pieno controllo recapito dei messaggi definendo il numero di connessioni che l'accessorio aprirà o il numero di connessioni i messaggi che l'accessorio invierà a ciascun dominio di destinazione. La tabella dei controlli di destinazione fornisce le impostazioni per la velocità di connessione e di trasmissione dei messaggi quando l'ESA è recapitare a destinazioni remote. Fornisce inoltre le impostazioni per tentare di imporre l'uso di TLS a queste destinazioni. L'ESA è configurata con una configurazione predefinita per la tabella di controllo della destinazione.

    In questo documento verrà illustrato come gestire e configurare il controllo sulle destinazioni in cui l'impostazione predefinita non è adatta. Google, ad esempio, dispone di un set di regole di ricezione che gli utenti di Gmail dovrebbero seguire o rischiano di inviare un codice di risposta SMTP 4XX e un messaggio che dice che si sta inviando troppo velocemente, o la cassetta postale del destinatario ha superato il suo limite di archiviazione. Il dominio Gmail verrà aggiunto alla tabella di controllo di destinazione limitando la quantità di messaggi inviati a un destinatario Gmail di seguito.

    Aggiunta di un nuovo dominio alla tabella di controllo di destinazione

    Come accennato, Google ha delle limitazioni per i mittenti che inviano a Gmail. I limiti di ricezione possono essere verificati osservando le limitazioni del mittente Gmail pubblicate qui - https://support.google.com/a/answer/1366776?hl=en

    Configuriamo il dominio di destinazione per Gmail come esempio di buone politiche per i vicini.

    • Passare a Mail Policies > Destination Controls e fare clic su Add Destination per creare un nuovo profilo utilizzando i seguenti parametri:
      1. Destinazione: gmail.com
      2. Preferenza indirizzo IP: IPv4 preferito
      3. Connessioni simultanee: massimo 20
      4. Numero massimo messaggi per connessione: 5
      5. Destinatari: massimo 180 al minuto
      6. Verifica Rimbalzo: Esegue l'assegnazione di tag agli indirizzi: Predefinito (Sì)

    • Fare clic su Invia e conferma modifiche. Questo è l'aspetto della tabella di controllo di destinazione dopo l'aggiunta del dominio.

    Nota "Limiti di destinazione" e "Verifica rimbalzo" cambiano nell'immagine seguente:

    Distribuzione dell'autenticazione DNS SMTP di entità denominate (DANE)

    Il protocollo DANE (Authentication of Named Entities) basato su DNS SMTP convalida i certificati X.509 con nomi DNS utilizzando un'estensione DNSSEC (Domain Name System Security) configurata nel server DNS e un record di risorse DNS, noto anche come record TLSA.


    Il record TLSA viene aggiunto nel certificato che contiene i dettagli relativi all'Autorità di certificazione (CA), al certificato dell'entità finale o al trust anchor utilizzato per il nome DNS descritto nella RFC 6698. Le estensioni DNSSEC (Domain Name System Security) offrono una maggiore sicurezza nel DNS risolvendo le vulnerabilità nella sicurezza DNS. L'utilizzo di chiavi crittografiche e firme digitali da parte di DNSSEC garantisce la correttezza dei dati di ricerca e la connessione a server legittimi.

    Di seguito sono elencati i vantaggi dell'utilizzo di DANE SMTP per le connessioni TLS in uscita:

    • Fornisce il recapito sicuro dei messaggi impedendo attacchi MITM (Man-in-the-Middle), intercettazioni e avvelenamenti della cache DNS.
    • Fornisce l'autenticità dei certificati TLS e delle informazioni DNS, se protetti da DNSSEC.

    Configurazione ESA

    Prima di avviare l'impostazione di DANE sull'ESA, accertarsi che il mittente della busta e il record di risorse TLSA siano verificati per DNSSEC e che il dominio ricevente sia protetto da DANE. è possibile farlo sull'ESA usando il comando daneverify della CLI.

    • Passare a Mail Policies > Destination Controls e fare clic su Add Destination per creare un nuovo profilo utilizzando i seguenti parametri:
      1. Destinazione: dane_protected.com
      2. Supporto TLS: preferito
      3. Supporto DANE: Opportunistico

    • Fare clic su Invia e conferma modifiche.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    20-Dec-2019
    Versione iniziale

    Contributo di

    • Gloria Turner
      Cisco Email Security - Marketing tecnico

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti