概要
このドキュメントでは、受信コンテンツフィルタまたはメッセージフィルタ設定を通じて、Domain Keys Identified Email(DKIM)検証に対するアクションを実行するために、Eメールセキュリティアプライアンス(ESA)を設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- ESA
- コンテンツフィルタ設定に関する基礎知識
- メッセージフィルタの設定に関する基礎知識
- ポリシー、ウイルス、アウトブレイク隔離の設定に関する知識を一元化
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
ステップ1:DKIM検証の設定
DKIM検証が有効になっていることを確認します。[Mail Policies] > [Mail Flow Policies] に移動します。
ESAでDKIM検証を設定する方法は、SPF検証と同様です。メールフローポリシーのデフォルトのポリシーパラメータで、DKIM検証をオンにします。
ステップ2:最終処理の確認
まず、DKIMの検証に従って実行するアクションを特定します。例:ドロップ、タグまたは検疫の追加。最終的なアクションでメールを検疫する場合は、設定されている検疫を確認します。
[ESA] > [Monitor] > [Policy, Virus and Outbreak Quarantines] に移動します。
図に示すように、[SMA] > [Email] > [Message Quarantine] > [Policy, Virus and Outbreak Quarantines] に移動します。
DKIM/Domain-based Message Authentication, Reporting & Conformance(DMARC)/Sender Policy Framework(SPF)サービスに対する特定の検疫がない場合。作成することをお勧めします。
[Policy]、[Virus]、および[Outbreak Quarantines]で、[Add Policy Quarantines]を選択します。
次の設定を行うことができます。
- 検疫名:例、DkimQuarantine
- 保存期間:これは自分の責任であり、組織のニーズとデフォルトアクションによって異なります。電子メールの保存期間が削除またはリリースされ、選択した内容に従って配信されます(図を参照)。
ステップ3:ESAの着信フィルタ
a.ESAの着信コンテンツフィルタを作成します。
[ESA] > [Mail Policies] > [Incoming Content Filters] > [Add Filter]に移動します。
- 最初のセクション:フィルタの名前、説明、および順序を設定できます。
- 2番目のセクション:条件の追加複数の条件を追加したり、DKIM検証に対するアクションを実行するためにコンテンツフィルタを設定したりできます。
Authentication-Results expected and meaning:
- 認定製品ルールの:メッセージは認証テストに合格しました。
- 中立:認証が実行されませんでした。
- 温度:回復可能なエラーが発生しました。
- Permerror:回復不能なエラーが発生しました。
- ハードウェア:認証テストが失敗しました。
- ありません。メッセージは署名されませんでした。
注:DKIM検証要件:送信者は、確認する前にメッセージに署名する必要があります。送信ドメインには、検証のためにDNSで使用可能な公開キーが必要です。
- 3番目のセクション:アクションを選択します。ログエントリの追加、検疫への送信、電子メールのドロップ、通知などの複数のアクションを追加できます。この場合、図に示すように、前に設定した隔離を選択します。
メールフローポリシーへの新しいフィルタの追加:
フィルタを作成したら、ESAから、最終的なアクションでDKIMを確認する各メールフローポリシーのフィルタを追加します。図に示すように、[ESA] > [Mail Policies] > [Incoming Mail Policies] に移動します。
[コンテンツフィルタ]列と[メールフローポリシー]行をクリックします。
注:(デフォルトを使用)アクションは、デフォルトポリシー設定として設定されていることを意味しません。各メールフローポリシーに必要なフィルタを設定します。
b.ESAのメッセージフィルタを作成します。
すべてのメッセージフィルタは、ESA CLIから設定します。コマンドFiltersを入力し、次の手順に従います。
ESA. com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- IMPORT - Import a filter script from a file.
[]> NEW
Enter filter script. Enter '.' on its own line to end.
DKIM_Filter:
If (dkim-authentication == "hardfail" )
{
quarantine("DkimQuarantine");
}
.
1 filters added.
フィルタが作成されたら、凡例を確認します。1個のフィルタが追加されました。
設定する条件とアクションは、着信コンテンツフィルタで使用する条件と同じです。
確認
ここでは、設定が正常に機能しているかどうかを確認します。
受信コンテンツフィルタ:
- ESA Webユーザインターフェイス(WebUI)から
a.フィルタが設定されているかどうかを確認します。
[ESA] > [Mail Policies] > [Incoming Content Filters]に移動します。フィルタは、表示されたリストで以前に選択した順序に従って設定する必要があります。
b.フィルタが適用されているかどうかを確認します。
[ESA] > [Mail Policies] > [Incoming mail policies] に移動します。
フィルタの名前は、[コンテンツフィルタ]列と[メールフローポリシー]行に表示する必要があります。リストが広く、名前が表示されない場合は、フィルタリストをクリックして、ポリシーに適用されているフィルタを特定します。
メッセージフィルタ:
From ESA CLI:
ESA. com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> list
Num Active Valid Name
1 Y Y DKIM_Filter
このリストには、フィルタが設定され、アクティブであるかどうかが表示されます。
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
設定の確認:
次のことを確認する必要があります。
- メールフローポリシーにdkim:検証の際
- コンテンツフィルタまたはメッセージフィルタにアクションが設定されている
- コンテンツフィルタの場合は、フィルタがメールフローに関連付けられていることを確認します
メッセージトラッキングを確認します。
メッセージトラッキングでは、次の点を確認できます。
- DKIM検証の結果、次のようになります。パーフェル
- 設定されたログエントリ(設定されている場合)
- 適用されたフィルタ(名前とアクション)
ESAからのトラッキング:
Fri Apr 26 11:33:44 2019 Info: MID 86 ICID 98 From: <user@domain.com>
Fri Apr 26 11:33:44 2019 Info: MID 86 ICID 98 RID 0 To: <userb@domainb.com>
Fri Apr 26 11:33:44 2019 Info: MID 86 Message-ID '<3903af$2r@mgt.esa.domain.com>Fri Apr 26 11:33:44 2019 Info: MID 86 DKIM: permfail body hash did not verify [final]
Fri Apr 26 11:33:44 2019 Info: MID 86 Subject "Let's go to camp!"
Fri Apr 26 11:33:44 2019 Info: MID 86 ready 491 bytes from <user@domain.com>
Fri Apr 26 11:33:44 2019 Info: MID 86 matched all recipients for per-recipient policy Allow_only_user in the inbound table
Fri Apr 26 11:33:46 2019 Info: MID 86 interim verdict using engine: CASE spam negative
Fri Apr 26 11:33:46 2019 Info: MID 86 using engine: CASE spam negative
Fri Apr 26 11:33:46 2019 Info: MID 86 interim AV verdict using Sophos CLEAN
Fri Apr 26 11:33:46 2019 Info: MID 86 antivirus negative
Fri Apr 26 11:33:46 2019 Info: MID 86 AMP file reputation verdict : UNSCANNABLE
Fri Apr 26 11:33:46 2019 Info: MID 86 using engine: GRAYMAIL negative
Fri Apr 26 11:33:46 2019 Info: MID 86 Custom Log Entry: The content that was found was: DkimFilter
Fri Apr 26 11:33:46 2019 Info: MID 86 Outbreak Filters: verdict negative
Fri Apr 26 11:33:46 2019 Info: MID 86 quarantined to "DkimQuarantine" by add-footer filter 'DkimFilter '
Fri Apr 26 11:33:46 2019 Info: Message finished MID 86 done
関連情報