Hoe wordt de gezondheidstoestand van de SPF beoordeeld met het gebruik van inhoudfilters?

Downloadopties

  • PDF     (127.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (127.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (119.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:6 mei 2021
Document-id:217131

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt uitgelegd hoe de filtervoorwaarde van het verificatiefilter van het Sender Policy Framework (SPF) momenteel wordt geëvalueerd.

    Het aangegeven werk is alleen van toepassing op alle momenteel ondersteunde Async OS-versies (10.x en hoger).

    SPF-verificatie contentfilterconditionering

    SPF is een eenvoudig e-mailvalideringssysteem dat bedoeld is om e-mailspoofing te detecteren door middel van een mechanisme dat ontvangende mail-uitwisselaars toestaat om te controleren of inkomende e-mail vanuit een domein wordt verzonden vanuit een host die door de beheerders van dat domein is geautoriseerd. 

    Op de Cisco Email Security Appliance (ESA) is SPF ingeschakeld voor inkomende berichten in een Mail Flow-beleid. Er kan een contentfilter worden gemaakt om actie te ondernemen tegen het verkregen SPF-vonnis, dat in quarantaine wordt geplaatst of de berichten op basis van de vereiste laat vallen.

    De post logbestanden of het bericht volgen toont deze details:

    Sat Feb 20 17:27:37 2021 Info: MID 6153849 SPF: helo identity postmaster@example None
    Sat Feb 20 17:27:37 2021 Info: MID 6153849 SPF: mailfrom identity
     user@example.com Fail (v=spf1)
    Sat Feb 20 17:28:15 2021 Info: MID 6153849 SPF: pra identity user@example.com
     None headers from Sat Feb 20 17:28:15 2009 Info: MID 6153849 ready 197 bytes
     from <user@example.com>

    Er zijn drie soorten identiteitscontroles van de SPF-status:

    1. SPF-status("mailfrom") IDENTITY
    2. SPF-status("pra") IDENTITEIT
    3. SPF-status("helo") IDENTITEIT

    Bij oudere releases (9.7 en ouder) evalueerden de inhoud-filters alleen PRA-resultaten die werden getraceerd onder CSCuw5673 en zijn vastgelegd op Async OS 9.7.2 en hoger.

    Bij alle nieuwere versies bekijken de contentfilters alle drie de SPF-identiteiten voordat ze een actie hebben uitgevoerd.

    Dus de inhoud filter conditie spf-status = "fail" zou alle drie identiteiten controleren om te zien of een SPF geen oordeel had.

    Content filters staan nog steeds geen specifieke controles tegen een individuele identiteit toe, dus als een admin het mailadres alleen wilde controleren en niet de twee andere, zou hij het gebruik van berichtfilters nodig hebben.

    Alleen berichtfilters kunnen de SPF-status regels toetsen aan 'HELO', 'MAILVAN' en 'PRA' identiteiten.

    Een berichtfilter ziet er zo uit:

    if (spf-status("pra") == "Fail") AND(spf-status("mailfrom") == "Fail") AND
     (spf-status ("helo") == "Fail")

    Een berichtfilter maakt het korter op welk type SPF-vonnissen de gebruiker moet quarantaine uitvoeren, terwijl de inhoud-filters niet zoveel opties hebben.

    Dit is het berichtfilter dat is genomen uit de AsyncOS geavanceerde gebruikersgids en gebruikt verschillende SPF-statusregel voor verschillende identiteiten:

    quarantine-spf-failed-mail:

if (spf-status("pra") == "Fail") {

if (spf-status("mailfrom") == "Fail"){

# completely malicious mail

quarantine("Policy");

} else {

if(spf-status("mailfrom") == "SoftFail") {

# malicious mail, but tempting

quarantine("Policy");

}

}

} else {

if(spf-status("pra") == "SoftFail"){

if (spf-status("mailfrom") == "Fail"

or spf-status("mailfrom") == "SoftFail"){

# malicious mail, but tempting

quarantine("Policy");

}

}

}

    Gerelateerde informatie

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Libin Varghese
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten