Proteção contra spots usando verificação de remetente

Opções de download

  • PDF     (124.6 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (82.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (68.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:19 de novembro de 2020
ID do documento:200057

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Por padrão, o Cisco Email Security Appliance (ESA) não impede a entrega de mensagens endereçadas "de" o mesmo domínio para o mesmo domínio. Isso permite que as mensagens sejam "falsificadas" por empresas externas que fazem negócios legítimos com o cliente. Algumas empresas dependem de organizações terceirizadas para enviar e-mails em nome da empresa, como o setor de saúde, agências de viagens, etc.

    Proteção contra spots usando verificação de remetente

    Configurar política de fluxo de e-mail (MFP)

    1. Na GUI: Políticas de e-mail > Políticas de fluxo de e-mail > Adicionar política...
    2. Crie um novo MFP usando um nome relevante como SPOOF_ALLOW 
    3. Na seção Verificação de remetente, altere a configuração Usar tabela de exceção de verificação de remetente de Usar padrão para DESATIVADO.
    4. Em Políticas de e-mail > Políticas de fluxo de e-mail > Parâmetros de política padrão, defina a configuração Usar tabela de exceção de verificação de remetente como Ativado.

    Configurar HAT

    1. Na GUI: Mail Policies > HAT Overview > Add Sender Group...
    2. Defina o nome de acordo com o MFP criado anteriormente, ou seja, SPOOF_ALLOW.
    3. Defina a ordem para que fique acima dos grupos de remetentes ALLOWLIST e BLOCKLIST.
    4. Atribua política SPOOF_ALLOW a estas configurações de grupo de remetente.
    5. Clique em Enviar e Adicionar Remetentes...
    6. Adicione IP(s) ou domínios para qualquer parte externa que você queira permitir falsificar o domínio interno.

    Configurar tabela de exceção

    1. Na GUI: Políticas de e-mail > Tabela de exceções > Adicionar exceção de verificação de remetente...
    2. Adicione o domínio local à tabela de exceção de verificação de remetente
    3. Defina o Comportamento para Reject

    Verificar


    Nesse ponto, os e-mails provenientes de your.domain para your.domain seriam rejeitados, a menos que o remetente esteja listado no Sender Group SPOOF_ALLOW, pois ele estaria associado a um MFP que não usa a tabela de exceção de verificação de remetente.

    Um exemplo disso pode ser visto ao concluir uma sessão telnet manual para o ouvinte:

    $ telnet example.com 25
    Trying 192.168.0.189...
    Connected to example.com.
    Escape character is '^]'.
    220 example.com ESMTP
    helo example.com
    250 example.com
    mail from: <test@example.com>
    553 Envelope sender <test@example.com> rejected

    A resposta SMTP 553 é um resultado de resposta direta da tabela de exceção conforme configurado no ESA a partir das etapas acima.

    Nos logs de e-mail, você pode ver que o endereço IP 192.168.0.9 não está no endereço IP válido para o grupo de remetente correto:

    Wed Aug 5 21:16:51 2015 Info: New SMTP ICID 2692 interface Management (192.168.0.189) address 192.168.0.9 reverse dns host my.host.com verified no
    Wed Aug 5 21:16:51 2015 Info: ICID 2692 RELAY SG RELAY_SG match 192.168.0.0/24 SBRS not enabled
    Wed Aug 5 21:17:02 2015 Info: ICID 2692 Address: <test@example.com> sender rejected, envelope sender matched domain exception

    Um endereço IP permitido correspondente ao exemplo de configuração das etapas acima seria visto da seguinte maneira:

    Wed Aug 5 21:38:19 2015 Info: New SMTP ICID 2694 interface Management (192.168.0.189) address 192.168.0.15 reverse dns host unknown verified no
    Wed Aug 5 21:38:19 2015 Info: ICID 2694 ACCEPT SG SPOOF_ALLOW match 192.168.0.15 SBRS not enabled
    Wed Aug 5 21:38:29 2015 Info: Start MID 3877 ICID 2694
    Wed Aug 5 21:38:29 2015 Info: MID 3877 ICID 2694 From: <test@example.com>
    Wed Aug 5 21:38:36 2015 Info: MID 3877 ICID 2694 RID 0 To: <robert@example.com>
    Wed Aug 5 21:38:50 2015 Info: MID 3877 Subject 'This is an allowed IP and email'
    Wed Aug 5 21:38:50 2015 Info: MID 3877 ready 170 bytes from <test@example.com>
    Wed Aug 5 21:38:50 2015 Info: MID 3877 matched all recipients for per-recipient policy DEFAULT in the inbound table
    Wed Aug 5 21:38:51 2015 Info: MID 3877 interim verdict using engine: CASE spam negative
    Wed Aug 5 21:38:51 2015 Info: MID 3877 using engine: CASE spam negative
    Wed Aug 5 21:38:51 2015 Info: MID 3877 interim AV verdict using Sophos CLEAN
    Wed Aug 5 21:38:51 2015 Info: MID 3877 antivirus negative 
    Wed Aug 5 21:38:51 2015 Info: MID 3877 AMP file reputation verdict : CLEAN
    Wed Aug 5 21:38:51 2015 Info: MID 3877 Outbreak Filters: verdict negative
    Wed Aug 5 21:38:51 2015 Info: MID 3877 queued for delivery
    Wed Aug 5 21:38:51 2015 Info: New SMTP DCID 354 interface 192.168.0.189 address 192.168.0.15 port 25
    Wed Aug 5 21:38:51 2015 Info: Delivery start DCID 354 MID 3877 to RID [0]
    Wed Aug 5 21:38:51 2015 Info: Message done DCID 354 MID 3877 to RID [0] [('X-IPAS-Result', 'A0GJMwA8usJV/w8AqMBbGQSEFRqFGKUygmUBkV2GMAKBcQEBAgEBAQOBB4QbKIEIhxuCQbxmoDcRAYNPAYE0AQSqSZB5gXABAQgCAYQjgT8DAgE'), ('X-IronPort-AV', 'E=Sophos;i="5.15,620,1432612800"; \r\n d="scan\'";a="3877"')]
    Wed Aug 5 21:38:51 2015 Info: MID 3877 RID [0] Response '2.0.0 Ok: queued as 1D74E1002A8'
    Wed Aug 5 21:38:51 2015 Info: Message finished MID 3877 done
    Wed Aug 5 21:38:56 2015 Info: DCID 354 close

      

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos