はじめに
本記事では、ESAのバウンス検証機能について設定方法をご紹介します。バウンス検証機能は、攻撃者がお客様の送信元を偽装して存在しないメールアドレス宛に大量のメールを送り、送信先で生成された大量のバウンスメールがお客様環境に送られるようにするBackscatter(後方散乱)等の攻撃への対策として有効な機能となります。バウンス検証機能では、ESAがメールを送信する際にタグ付けを行い、このタグの情報を元に、ESAが受信したバウンスメールがESAが送信したメールに対するものかそうでないかを判別し、タグなしのバウンスメールを受信した場合には、メールを拒否するといったアクションを実行することが可能になります。
送信メールに対するタグ付けの設定
バウンス検証機能では、タグ付けキーによってバウンス検証用のタグを生成し、ESAから送信されるメールに対して、MAIL FROMアドレスのローカルパート(@より前の部分)にタグを付与します。このタグの存在によって、ESAがバウンスメールを受信した際に、それが元々ESAから送られたメールに対するものかそうでないかを判別することが可能になります。
[メールポリシー]-[バウンス検証]からタグ付けキーの設定を行います。
バウンス検証の[タグ付けのためのスマート例外]の設定がデフォルトでは有効となっていますが、こちらの設定が有効になっていると、接続動作(Connection Behavior)が承諾(Accept)となっているメールフローポリシーが適用されるメール(一般的に外部から内部向けのメール)についてはESAから宛先へのメール送信時にタグ付けは行われず、接続動作(Connection Behavior)がリレー(Relay)となっているメールフローポリシーが適用されるバウンスメール(一般的に内部から外部向けのメール)はバウンス検証の対象から除外されます。この設定が無効になっていると、これらのメールについてもメール送信時のタグ付けおよびメール受信時のバウンス検証が実行されます。なお、バウンス検証機能では、MAIL FROMアドレスがブランク(<>)のメールがバウンスメールとみなされます。
タグ付けキーの設定は、[バウンス検証アドレスのタグ付けキー] - [新しいキー...]をクリックし設定を行います。
次に、[メールポリシー] - [送信先コントロール]より、どの送信先に対してタグ付けを行うかを設定します。特定の送信先のみに対してタグ付けの設定を行うことも可能ですが、ここではすべての送信先(デフォルト)に対してタグ付けの設定を行います。
受信したバウンスメールに対するバウンス検証の設定
タグなしバウンスメールを受信した際のアクションの設定を行います。
[バウンス検証の設定]から[設定の編集]をクリックします。
また、メールフローポリシー単位でタグなしバウンスメールを有効とみなすか設定([バウンス検証] - [タグなしバウンスを有効と見なす])することが可能です。この設定を[はい]にすることによって、受信したバウンスメールにタグが付いていなくても、上で設定した[不正なバウンスを受信した際のアクション]は実行されません。この設定はデフォルトでは[いいえ]となっています。
バウンス検証の設定をテスト
外部メールサーバー宛に以下の宛先および送信元のメールを送ります。
ここでは、宛先のメールアドレスは外部メールサーバー側には存在しないメールアドレスとなるため、外部メールサーバーからESAにバウンスメールが返ってきます。また、送信元のドメインはESAに向いているものとします。
Envelope From (MAIL FROM): user@contoso.local
Envelope To (RCPT TO): nonexistence@example.local
Header From: user@contoso.local
Header To: nonexistence@example.local
まずは、上記のメールをESAを経由して外部メールサーバー宛に送信をします。
ESAが外部メールサーバーから受信したバウンスメールのメールログを確認すると以下のようになっております。メールのRCPT TOのアドレスがprvs=653727aeb=user@contoso.localとなっていることから、ESAから外部メールサーバーにメールが送信された際に、MAIL FROMのアドレスがこのアドレスに変換されたことがお分かりになります。このメールをESAが受信をした際に、タグの存在が確認できるためバウンス検証が成功しメールが拒否されずに受信がされます。
Mon Oct 23 18:48:51 2023 Info: New SMTP ICID 9 interface Incoming (192.168.20.173) address 192.168.20.172 reverse dns host unknown verified no
Mon Oct 23 18:48:51 2023 Info: ICID 9 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS not enabled country not enabled
Mon Oct 23 18:48:51 2023 Info: ICID 9 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Mon Oct 23 18:48:51 2023 Info: Start MID 11 ICID 9
Mon Oct 23 18:48:51 2023 Info: MID 11 ICID 9 From: <>
Mon Oct 23 18:48:51 2023 Info: MID 11 SDR: Domains for which SDR is requested: reverse DNS host: Not Present, helo: EX.example.local, env-from: Not Present, header-from: Not Present, reply-to: Not Present
Mon Oct 23 18:48:52 2023 Info: MID 11 SDR: Consolidated Sender Threat Level: Unknown, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: unknown for domain: N/A
Mon Oct 23 18:48:52 2023 Info: MID 11 ICID 9 RID 0 recipient prvs=653727aeb=user@contoso.local signature verified and rewritten to user@contoso.local
Mon Oct 23 18:48:52 2023 Info: MID 11 ICID 9 RID 0 To: <user@contoso.local>
Mon Oct 23 18:48:52 2023 Info: MID 11 Message-ID '<c574c4db-7313-4970-9c9f-fbdef8e85037@EX.example.local>'
Mon Oct 23 18:48:52 2023 Info: MID 11 Subject "Undeliverable: "
Mon Oct 23 18:48:52 2023 Info: MID 11 SDR: Domains for which SDR is requested: reverse DNS host: Not Present, helo: EX.example.local, env-from: Not Present, header-from: example.local, reply-to: Not Present
Mon Oct 23 18:48:52 2023 Info: MID 11 SDR: Consolidated Sender Threat Level: Unknown, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: unknown for domain: N/A
Mon Oct 23 18:48:52 2023 Info: MID 11 SDR: Tracker Header : 65364184_kFIic3r/kWk3GdaqjjsrxS6FvVcbOmw07GOsJ6ZH5xs//trdgIHCaas+LVqIQi+rysH9NjJ2tbpomOvpBQaUJg==
Mon Oct 23 18:48:52 2023 Info: MID 11 ready 6379 bytes from <>
Mon Oct 23 18:48:52 2023 Info: MID 11 matched all recipients for per-recipient policy DEFAULT in the inbound table
Mon Oct 23 18:48:52 2023 Info: MID 11 queued for delivery
Mon Oct 23 18:48:52 2023 Info: Delivery start DCID 0 MID 11 to RID [0]
Mon Oct 23 18:48:52 2023 Info: Message done DCID 0 MID 11 to RID [0]
Mon Oct 23 18:48:52 2023 Info: MID 11 RID [0] Response '/dev/null'
Mon Oct 23 18:48:52 2023 Info: Message finished MID 11 done
Mon Oct 23 18:48:52 2023 Info: ICID 9 close
次は、外部メールサーバーに対してESAを経由せず直接メールを送ります。ESAが外部メールサーバーから受信したバウンスメールのメールログを確認すると以下のようになっております。ESAを経由していないため、タグ付けがされておらず、タグの存在が確認できないためバウンス検証が失敗しメールが拒否されます。
Mon Oct 23 18:58:56 2023 Info: New SMTP ICID 10 interface Incoming (192.168.20.173) address 192.168.20.172 reverse dns host unknown verified no
Mon Oct 23 18:58:56 2023 Info: ICID 10 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS not enabled country not enabled
Mon Oct 23 18:58:56 2023 Info: ICID 10 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Mon Oct 23 18:58:56 2023 Info: Start MID 12 ICID 10
Mon Oct 23 18:58:56 2023 Info: MID 12 ICID 10 From: <>
Mon Oct 23 18:58:56 2023 Info: MID 12 SDR: Domains for which SDR is requested: reverse DNS host: Not Present, helo: EX.example.local, env-from: Not Present, header-from: Not Present, reply-to: Not Present
Mon Oct 23 18:58:58 2023 Info: MID 12 SDR: Message was not scanned for Sender Domain Reputation. Reason: Request timed out.
Mon Oct 23 18:58:58 2023 Info: MID 12 ICID 10 invalid bounce, rcpt address <user@contoso.local> rejected by bounce verification.
Mon Oct 23 18:58:58 2023 Info: MID 12 Subject ""
Mon Oct 23 18:58:58 2023 Info: Message aborted MID 12 Receiving aborted by sender
Mon Oct 23 18:58:58 2023 Info: Message finished MID 12 aborted
Mon Oct 23 18:58:58 2023 Info: ICID 10 close
参考記事
ルーティングおよび配信機能の設定 - バウンス検証
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
