Introduction
Por padrão, o Cisco Email Security Appliance (ESA) não impede a entrega de mensagens endereçadas "de" o mesmo domínio para o mesmo domínio. Isso permite que as mensagens sejam "falsificadas" por empresas externas que fazem negócios legítimos com o cliente. Algumas empresas dependem de organizações terceirizadas para enviar e-mails em nome da empresa, como o setor de saúde, agências de viagens, etc.
Proteção contra spots usando verificação de remetente
Configurar política de fluxo de e-mail (MFP)
- Na GUI: Políticas de e-mail > Políticas de fluxo de e-mail > Adicionar política...
- Crie um novo MFP usando um nome relevante como SPOOF_ALLOW
- Na seção Verificação de remetente, altere a configuração Usar tabela de exceção de verificação de remetente de Usar padrão para DESATIVADO.
- Em Políticas de e-mail > Políticas de fluxo de e-mail > Parâmetros de política padrão, defina a configuração Usar tabela de exceção de verificação de remetente como Ativado.
Configurar HAT
- Na GUI: Mail Policies > HAT Overview > Add Sender Group...
- Defina o nome de acordo com o MFP criado anteriormente, ou seja, SPOOF_ALLOW.
- Defina a ordem para que fique acima dos grupos de remetentes ALLOWLIST e BLOCKLIST.
- Atribua política SPOOF_ALLOW a estas configurações de grupo de remetente.
- Clique em Enviar e Adicionar Remetentes...
- Adicione IP(s) ou domínios para qualquer parte externa que você queira permitir falsificar o domínio interno.
Configurar tabela de exceção
- Na GUI: Políticas de e-mail > Tabela de exceções > Adicionar exceção de verificação de remetente...
- Adicione o domínio local à tabela de exceção de verificação de remetente
- Defina o Comportamento para Reject
Verificar
Nesse ponto, os e-mails provenientes de your.domain para your.domain seriam rejeitados, a menos que o remetente esteja listado no Sender Group SPOOF_ALLOW, pois ele estaria associado a um MFP que não usa a tabela de exceção de verificação de remetente.
Um exemplo disso pode ser visto ao concluir uma sessão telnet manual para o ouvinte:
$ telnet example.com 25
Trying 192.168.0.189...
Connected to example.com.
Escape character is '^]'.
220 example.com ESMTP
helo example.com
250 example.com
mail from: <test@example.com>
553 Envelope sender <test@example.com> rejected
A resposta SMTP 553 é um resultado de resposta direta da tabela de exceção conforme configurado no ESA a partir das etapas acima.
Nos logs de e-mail, você pode ver que o endereço IP 192.168.0.9 não está no endereço IP válido para o grupo de remetente correto:
Wed Aug 5 21:16:51 2015 Info: New SMTP ICID 2692 interface Management (192.168.0.189) address 192.168.0.9 reverse dns host my.host.com verified no
Wed Aug 5 21:16:51 2015 Info: ICID 2692 RELAY SG RELAY_SG match 192.168.0.0/24 SBRS not enabled
Wed Aug 5 21:17:02 2015 Info: ICID 2692 Address: <test@example.com> sender rejected, envelope sender matched domain exception
Um endereço IP permitido correspondente ao exemplo de configuração das etapas acima seria visto da seguinte maneira:
Wed Aug 5 21:38:19 2015 Info: New SMTP ICID 2694 interface Management (192.168.0.189) address 192.168.0.15 reverse dns host unknown verified no
Wed Aug 5 21:38:19 2015 Info: ICID 2694 ACCEPT SG SPOOF_ALLOW match 192.168.0.15 SBRS not enabled
Wed Aug 5 21:38:29 2015 Info: Start MID 3877 ICID 2694
Wed Aug 5 21:38:29 2015 Info: MID 3877 ICID 2694 From: <test@example.com>
Wed Aug 5 21:38:36 2015 Info: MID 3877 ICID 2694 RID 0 To: <robert@example.com>
Wed Aug 5 21:38:50 2015 Info: MID 3877 Subject 'This is an allowed IP and email'
Wed Aug 5 21:38:50 2015 Info: MID 3877 ready 170 bytes from <test@example.com>
Wed Aug 5 21:38:50 2015 Info: MID 3877 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Aug 5 21:38:51 2015 Info: MID 3877 interim verdict using engine: CASE spam negative
Wed Aug 5 21:38:51 2015 Info: MID 3877 using engine: CASE spam negative
Wed Aug 5 21:38:51 2015 Info: MID 3877 interim AV verdict using Sophos CLEAN
Wed Aug 5 21:38:51 2015 Info: MID 3877 antivirus negative
Wed Aug 5 21:38:51 2015 Info: MID 3877 AMP file reputation verdict : CLEAN
Wed Aug 5 21:38:51 2015 Info: MID 3877 Outbreak Filters: verdict negative
Wed Aug 5 21:38:51 2015 Info: MID 3877 queued for delivery
Wed Aug 5 21:38:51 2015 Info: New SMTP DCID 354 interface 192.168.0.189 address 192.168.0.15 port 25
Wed Aug 5 21:38:51 2015 Info: Delivery start DCID 354 MID 3877 to RID [0]
Wed Aug 5 21:38:51 2015 Info: Message done DCID 354 MID 3877 to RID [0] [('X-IPAS-Result', 'A0GJMwA8usJV/w8AqMBbGQSEFRqFGKUygmUBkV2GMAKBcQEBAgEBAQOBB4QbKIEIhxuCQbxmoDcRAYNPAYE0AQSqSZB5gXABAQgCAYQjgT8DAgE'), ('X-IronPort-AV', 'E=Sophos;i="5.15,620,1432612800"; \r\n d="scan\'";a="3877"')]
Wed Aug 5 21:38:51 2015 Info: MID 3877 RID [0] Response '2.0.0 Ok: queued as 1D74E1002A8'
Wed Aug 5 21:38:51 2015 Info: Message finished MID 3877 done
Wed Aug 5 21:38:56 2015 Info: DCID 354 close
Informações Relacionadas