篩選以處理跳過DMARC驗證的郵件

簡介

本文檔介紹如何對跳過郵件安全裝置(ESA)和雲郵件安全(CES)中基於域的郵件身份驗證、報告和一致性(DMARC)驗證的操作郵件建立過濾器。

需求

必備條件

• AsyncOS 11.1.2及更高版本。
• 對DMARC的理解(https://tools.ietf.org/html/rfc7489#page-56)
• 啟用DMARC驗證的ESA/CES。

背景資訊

在郵件流策略上配置了DMARC驗證的ESA/CES，其中郵件tracking/mail_logs正在生成日誌行：DMARC：已跳過驗證（無法確定傳送域）」。

此日誌行表示ESA/CES在from標頭中檢測到多個域標識，當標頭中有多個電子郵件地址時，大多數DMARC實施都將跳過此標頭。在DMARC規範中，具有多個域標識的處理標頭會顯露為超出範圍。 

解決方法篩選器

Cisco AsyncOS 11.1.2版本和後續版本增加了一項新功能，在該功能中，裝置將包含一個新的x報頭，捕獲不同的 基於DMARC驗證結果，以唯一值進行DMARC驗證結果。

有四個標題值可用於篩選- validskip、invalidskip、temperror和permerror。

注意：對於由於特殊字元或from標頭的格式錯誤而無法執行DMARC驗證或由於其他不符合的有效跳過或無效跳過而導致DMARC檢查失敗的情況，增加的x標頭將為：X-Ironport-Dmarc-Check-Result：invalidskip或validskip。

注意：此過濾器可以同時部署在郵件過濾器（CLI受限）和內容過濾器上。

標頭值：

• 有效skip包含當存在from標頭或沒有DMARC記錄時無法執行DMARC驗證的情況。
• 無效跳過包括以下情況：from報頭中有無效字元、多個from報頭、from報頭中有多個域實體、發件人地址有非US-ASCII字元，以及解析from報頭欄位中的值時出錯。
• Permerror 涵蓋DMARC評估期間出現永久錯誤的情況，例如遇到語法錯誤的DMARC記錄。稍後的嘗試不太可能產生最終結果。
• Temperror將覆蓋DMARC評估期間出現臨時錯誤的情況。稍後的嘗試可能會產生最終結果。

以下是DMARC過濾器，用於檢查「X-Ironport-Dmarc-Check-Result」是否存在invalidskip，然後繼續隔離它。

在需要時，可根據需要根據其他要求自定義操作。

郵件過濾器

Quarantine_messages_DMARC_skip:
if header("X-Ironport-Dmarc-Check-Result") == "^invalidskip$"
{
quarantine("Policy");
}

內容過濾器

相關資訊

• Cisco郵件安全裝置-最終使用手冊
• 技術支援與文件 - Cisco Systems
• 什麼是DMARC？