Best Practice Guide voor Bounce Verification en Bestemmingscontroles

Downloadopties

  • PDF     (572.2 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (340.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (400.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:18 december 2019
Document-id:215124

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Ongecontroleerde e-mailbezorging in grote aantallen kan ontvangende domeinen overspoelen. AsyncOS geeft u volledige controle over het afleveren van berichten door het aantal verbindingen te bepalen dat uw e-mail security dienst zal openen of het aantal berichten dat zal verzenden naar elk doeldomein.

    In dit document zullen wij het volgende behandelen:

    1. Bounce verificatie instellen om uw organisatie te beschermen tegen Bounce aanvallen
    2. Gebruik van de Bestemmingscontroletabel om goed buurbeleid uit te oefenen
    3. Het implementeren van SMTP DNS-gebaseerde verificatie van benoemde entiteiten (DANE) om veilige levering van berichten te bieden

    Bounce-verificatie

    Het toestaan van Bounce Verification is een zeer goede manier om backscatter/bounce aanvallen te bestrijden. Het concept achter bounce verificatie is eenvoudig. Eerst markeert u berichten die uw ESA Zoek naar die markup op elke bounce berichten, als de markup aanwezig is, betekent het dat dit is een stuitje van een boodschap die in uw omgeving is ontstaan. Als de markering ontbreekt, de bounce is frauduleus en kan worden geweigerd of ingetrokken.

    Bijvoorbeeld, E-mail VAN: joe@example.com wordt POST VAN: prvs=joe=123ABCDEFG@example.com. De 123... string in het voorbeeld is de bounce verificatietag die wordt toegevoegd aan de Envelope Sender zoals deze wordt verzonden door uw ESA-apparaat. Indien Als het bericht weerkaatst, zal het adres van de ontvanger van de envelop in het weerkaatste bericht omvatten de "bounce verification tag", die de ESA laat weten dat het een legitiem geprijsd bericht.

    U kunt standaard de standaardinstelling voor het labelen van bounce-verificatie in- of uitschakelen. U kunt ook het instellen of uitschakelen van back-upverificatie voor specifieke domeinen. In de meeste implementaties, wordt het standaard ingeschakeld voor alle domeinen.

    ESA-configuratie

    • Navigeer naar Mail Policies > Bounce Verification en klik op New Key

    • Voer willekeurige tekst in die als sleutel in de codering en decodering van adrestags moet worden gebruikt. Bijvoorbeeld "Cisco_key".

    • Klik op Indienen en controleer de nieuwe adrescoderingssleutel

    Laten we nu Bounce Verification inschakelen voor ons "Default" domein:

    • Navigeer naar Mailbeleid > Bestemmingscontroles en klik op Standaard.
    • Configuratie van Bounce Verification: Voer adrescodering uit: Ja

    • Klik op Verzenden en wijzigingen vastleggen. Merk op dat Bounce Verification nu is ingeschakeld voor het standaarddomein.

    Bestemmingscontroletabel gebruiken

    Ongecontroleerde e-maillevering kan ontvangende domeinen overweldigen. De ESA geeft u de volledige controle over berichtenlevering door het aantal verbindingen te bepalen dat uw apparaat zal openen of het aantal berichten die uw apparaat naar elk doeldomein zal versturen. De doelcontrolelijst bevat instellingen voor verbinding en berichtsnelheden wanneer de ESA levering aan afgelegen bestemmingen. Het biedt ook instellingen voor het proberen of afdwingen van het gebruik van TLS naar deze bestemmingen. De ESA is geconfigureerd met een standaardconfiguratie voor de Destination Control Table.

    Wat wij in dit document zullen behandelen is hoe wij controle over bestemmingen kunnen beheren en vormen waar het gebrek geen pasvorm is. Google heeft bijvoorbeeld een verzameling ontvangstregels die Gmail-gebruikers moeten volgen, of ze riskeren het terugsturen van een SMTP 4XX-responscode en een bericht dat u te snel verzendt, of het postvak van de ontvanger heeft de opslaglimiet overschreden. We voegen het Gmail-domein toe aan de doelcontroletabel en beperken de hoeveelheid berichten die hieronder naar een Gmail-ontvanger worden verzonden.

    Een nieuw domein toevoegen aan de doelcontroletabel

    Zoals vermeld, heeft Google beperkingen voor zenders die naar Gmail sturen. De ontvangstbeperkingen kunnen worden geverifieerd door de hier gepubliceerde beperkingen van de Gmail-afzender te bekijken - https://support.google.com/a/answer/1366776?hl=en

    Laten we het doeldomein voor Gmail instellen als voorbeeld van goed buurbeleid.

    • Navigeer naar mailbeleid > Bestemmingscontroles en klik op Bestemming toevoegen en maak een nieuw profiel met de volgende parameters:
      1. Bestemming: gmail.com
      2. IP-adresvoorkeur: IPv4 bij voorkeur
      3. Gelijktijdige verbindingen: max. 20
      4. Max. aantal berichten per verbinding: 5
      5. Ontvangers: Max. 180 per 1 minuut
      6. Bounce Verification: Voer adrescodering uit: Standaard (Ja)

    • Klik op Verzenden en wijzigingen vastleggen. Zo ziet onze Bestemmingscontroletabel eruit na de toevoeging van het domein.

    Opmerking De wijzigingen 'Bestemmingslimieten' en 'Bounce Verification' in de onderstaande afbeelding:

    Op SMTP DNS gebaseerde verificatie van benoemde entiteiten (DANE) implementeren

    De op SMTP DNS-gebaseerde verificatie van Named Entities (DANE) protocol valideert uw X.509-certificaten met DNS-namen met behulp van een Domain Name System Security (DNSSEC)-extensie die op uw DNS-server is geconfigureerd en een DNS-bronrecord, ook bekend als een TLSA-record.


    Het TLSA-record wordt toegevoegd in het certificaat met informatie over de certificaatinstantie (CA), het eindgebruikerscertificaat of het anker van het vertrouwen dat wordt gebruikt voor de DNS-naam die in RFC 6698 is beschreven. De Domain Name System Security (DNSSEC)-uitbreidingen bieden extra beveiliging op de DNS door kwetsbaarheden in DNS-beveiliging aan te pakken. DNSSEC met cryptografische sleutels en digitale handtekeningen zorgt ervoor dat de opzoekgegevens correct zijn en verbinding maken met legitieme servers.

    Het volgende is de voordelen van het gebruik van SMTP DANE voor uitgaande TLS-verbindingen:

    • Biedt veilige levering van berichten door te voorkomen dat Man-in-the-Middle (MITM) aanvallen, afluisteren en DNS cache vergiftiging aanvallen.
    • Biedt authenticiteit van TLS-certificaten en DNS-informatie wanneer deze door DNSSEC is beveiligd.

    ESA-configuratie

    Voordat u begint met het opzetten van DANE op de ESA, zorg er dan voor dat de envelopsender en de TLSA resource record DNSSEC geverifieerd is en dat het ontvangende domein Deens beschermd is. U kunt dit op de ESA doen met behulp van de CLI-opdracht daneverify.

    • Navigeer naar mailbeleid > Bestemmingscontroles en klik op Bestemming toevoegen en maak een nieuw profiel met de volgende parameters:
      1. Bestemming: dane_protected.com
      2. TLS-ondersteuning: voorkeur
      3. DANE Support: Opportunistisch

    • Klik op Verzenden en wijzigingen vastleggen.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    20-Dec-2019
    Eerste vrijgave

    Bijdrage van

    • Gloria Turner
      Cisco e-mail security technische marketing

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten