Why does the ESA handle the DKIM authentication result "permfail" as "hardfail"?

Opções de download

  • PDF     (256.6 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (109.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (80.3 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:29 de julho de 2022
ID do documento:200881

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre a tradução

A Cisco pode fornecer traduções no idioma local deste conteúdo em alguns locais. Observe que essas traduções são fornecidas apenas para fins informativos e, se houver alguma inconsistência, a versão em inglês deste conteúdo prevalecerá.

    Introduction

    Este documento descreve como o Email Security Appliance (ESA) trata os resultados da autenticação de DomainKeys Identified Mail (DKIM).

    Por que o ESA trata o resultado da autenticação DKIM "permfail" como "hardfail"?

    A condição de filtro de conteúdo do ESA DKIM Authentication possui várias opções, como mostrado nesta imagem:

    DKIM authentication

    Quando a condição DKIM Authentication Result estiver definido como Hardfail, as mensagens permfail aparecerão no arquivo de log de email e as mensagens rastreadas, como mostrado neste exemplo:

    Message 815204 DKIM: permfail body hash did not verify [final] (d=sub.example.com s=selector1-sub-com i=@sub.example.com)

    O ESA considera permfail o mesmo que hardfail e inclui o resultado no cabeçalho Authentication-Results como dkim=hardfail. Os nomes ESA para eventos DKIM são diferentes dos nomes RFC6376. Nos cabeçalhos Authentication-Results (e mensagens rastreadas), o ESA deve mostrar strings RFC6376 apropriadas, enquanto o filtro de conteúdo usa nomes de eventos diferentes.

    Estes eventos são mapeados: RFC6376.PERMFAIL == Filtro de conteúdo do ESA Hardfail

    As falhas de verificação de hash de corpo de mensagem e assinatura constituem a maioria das falhas de verificação. Erros de verificação de hash de corpo indicam que o corpo da mensagem não concorda com o valor de hash (resumo) na assinatura. Erros de verificação de assinatura indicam que o valor da assinatura não verifica corretamente os campos do cabeçalho assinado (que incluem a própria assinatura) na mensagem.

    Há várias causas possíveis para esses dois erros. A mensagem pode ter sido modificada em trânsito (talvez por uma lista de endereçamento ou encaminhador); os valores de assinatura ou hash podem ter sido calculados ou aplicados incorretamente pelo signatário; o valor errado da chave pública pode ter sido publicado no DNS (Domain Name System); ou a mensagem pode ter sido falsificada por uma entidade que não possui a chave privada necessária para calcular uma assinatura correta.

    É muito difícil distinguir essas causas pela análise da mensagem, embora o endereço IP de origem possa fornecer alguma computação forense útil no caso de uma mensagem falsificada. No entanto, por razões de privacidade, não temos acesso às mensagens propriamente ditas, por isso tal análise não é possível.

    Há mensagens cujas assinaturas não são verificadas por outros motivos, geralmente devido a erros de configuração facilmente evitados nos registros de chave pública (seletor) que são publicados no DNS.

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    29-Jul-2022
    Removido um link quebrado.
    1.0
    15-Dec-2016
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Enrico Werner
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos