Guia de práticas recomendadas para verificação de devolução e controles de destino

Opções de download

  • PDF     (573.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (342.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (402.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:18 de dezembro de 2019
ID do documento:215124

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    A entrega descontrolada de e-mails em alto volume pode sobrecarregar os domínios dos destinatários. O AsyncOS oferece controle total da entrega de mensagens definindo o número de conexões que o serviço de Segurança de Email abrirá ou o número de mensagens que enviará a cada domínio de destino.

    Neste documento, abordaremos:

    1. Configurando a verificação de devolução para proteger sua organização contra ataques de devolução
    2. Usando a tabela de controle de destino para praticar políticas de bom vizinho
    3. Implantação da Autenticação de Entidades Nomeadas (DANE) baseada em DNS SMTP para fornecer entrega segura de mensagens

    Verificação de devolução

    Ativar a verificação de devolução é uma ótima maneira de combater ataques de retrodifusão/devolução. O conceito por trás da verificação de devolução é simples. Primeiro, marque as mensagens que saem do seu ESA. Procure essa marcação em todas as mensagens de devolução; se a marcação estiver presente, significa que esta é uma devolução de uma mensagem originada em seu ambiente. Se a marcação estiver ausente, a devolução é fraudulenta e pode ser rejeitada ou descartada.

    Por exemplo, MAIL FROM: joe@example.com torna-se MAIL FROM: prvs=joe=123ABCDEFG@example.com. A string 123... no exemplo é a devolução marca de verificação que é adicionada ao remetente do envelope quando ele é enviado pelo seu dispositivo ESA. Se devoluções de mensagem, o endereço do destinatário do envelope na mensagem devolvida incluirá a marca de verificação de devolução, que permite que o ESA saiba que é uma marca legítima de mensagem.

    Você pode ativar ou desativar a marcação de verificação de devolução em todo o sistema como padrão. Você pode também habilitar ou desabilitar marcação de verificação de devolução para domínios específicos. Na maioria dos implantações, ela é habilitada por padrão para todos os domínios.

    Configuração do ESA

    • Navegue para Políticas de e-mail > Verificação de devolução e clique em Nova chave

    • Insira qualquer texto arbitrário a ser usado como a chave nas marcas de endereço de codificação e decodificação. Por exemplo, "Cisco_key".

    • Clique em Enviar e verifique a nova chave de marcação de endereço

    Agora, vamos habilitar a verificação de devolução para nosso domínio "Padrão":

    • Navegue para Políticas de e-mail > Controles de destino e clique no Padrão.
    • Configurar Verificação de Devolução: Executar marcação de endereço: Sim

    • Clique em Enviar e Confirmar alterações. Observe que a verificação de devolução está ativada para o domínio padrão.

    Usando a Tabela de Controle de Destino

    A entrega não controlada de e-mails pode sobrecarregar os domínios dos destinatários. O ESA oferece controle total sobre entrega de mensagem definindo o número de conexões que o equipamento abrirá ou o número de mensagens que o equipamento enviará para cada domínio de destino. A tabela de controles de destino fornece configurações para taxas de conexão e de mensagem quando o ESA é para destinos remotos. Ele também fornece configurações para tentar ou impor o uso de TLS para esses destinos. O ESA é configurado com uma configuração padrão para a Tabela de controle de destino.

    O que abordaremos neste documento é como podemos gerenciar e configurar o controle sobre destinos onde o padrão não é adequado. Por exemplo, o Google tem um conjunto de regras de recebimento que os usuários do Gmail devem seguir ou eles correm o risco de enviar de volta um código de resposta SMTP 4XX e uma mensagem dizendo que você está enviando muito rapidamente, ou a caixa de correio do destinatário excedeu seu limite de armazenamento. Adicionaremos o domínio do Gmail à tabela de controle de destino, limitando a quantidade de mensagens enviadas a um destinatário do Gmail abaixo.

    Adicionando um novo Domínio à Tabela de Controle de Destino

    Como mencionado, o Google tem limitações para os remetentes que enviam para o Gmail. Os limites de recebimento podem ser verificados consultando as limitações do remetente do Gmail publicadas aqui - https://support.google.com/a/answer/1366776?hl=en

    Vamos configurar o domínio de destino para o Gmail como um exemplo de boas políticas de vizinhança.

    • Navegue para Políticas de e-mail > Controles de destino e clique em Adicionar destino e crie um novo perfil usando os seguintes parâmetros:
      1. Destino: gmail.com
      2. Preferência de endereço IP: IPv4 preferido
      3. Conexões simultâneas: máx. de 20
      4. Máximo de mensagens por conexão: 5
      5. Destinatários: Máximo de 180 por 1 minuto
      6. Verificação de devolução: Executar marcação de endereço: Padrão (Sim)

    • Clique em Enviar e Confirmar alterações. Esta é a aparência da Tabela de controle de destino após a adição do domínio.

    Observe que "Limites de destino" e "Verificação de devolução" são alterados na imagem abaixo:

    Implantação de Autenticação de Entidades Nomeadas (DANE) baseada em DNS SMTP

    O protocolo DANE (Autenticação de Entidades Nomeadas) baseado em DNS SMTP valida seus certificados X.509 com nomes DNS usando uma extensão DNSSEC (Domain Name System Security) configurada em seu servidor DNS e um registro de recurso DNS, também conhecido como registro TLSA.


    O registro TLSA é adicionado ao certificado que contém detalhes sobre a Autoridade de Certificação (CA), o certificado de entidade final ou a âncora de confiança usada para o nome DNS descrito no RFC 6698. As extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) fornecem segurança adicional no DNS ao abordar vulnerabilidades na segurança do DNS. O DNSSEC que usa chaves criptográficas e assinaturas digitais garante que os dados de pesquisa estejam corretos e se conecte a servidores legítimos.

    A seguir estão os benefícios de usar SMTP DANE para conexões TLS de saída:

    • Fornece entrega segura de mensagens evitando ataques de downgrade de Man-in-the-Middle (MITM), espionagem e ataques de envenenamento de cache de DNS.
    • Fornece autenticidade de certificados TLS e informações DNS, quando protegido por DNSSEC.

    Configuração do ESA

    Antes de começar a configurar o DANE no ESA, certifique-se de que o remetente de envelope e o registro de recurso TLSA sejam verificados pelo DNSSEC e que o domínio receptor seja protegido pelo DANE. Você pode fazer isso no ESA usando o comando CLI daneverify.

    • Navegue para Políticas de e-mail > Controles de destino e clique em Adicionar destino e crie um novo perfil usando os seguintes parâmetros:
      1. Destino: dane_protected.com
      2. Suporte TLS: preferido
      3. Suporte DANE: Oportunista

    • Clique em Enviar e Confirmar alterações.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    20-Dec-2019
    Versão inicial

    Colaboração de

    • Gloria Turner
      Marketing técnico do Cisco Email Security

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos