動作変更における検証

1.AsyncOS 15.5.1にて既存512ビットのDKIM検証プロファイルを使って、512ビットDKIM署名の動作検証

前段SEGにて512ビットのDKIM署名メールに対して、後段SEG（AsyncOS 15.5.1）の既存512ビットプロファイルにて、DKIM検証テストの結果が「パス」と判定されます。既存の512キーサイズのプロファイルが利用できることがわかります。

メールログは以下の通りです。

-前段SEG　キーサイズ512ビット 

Thu May 30 17:29:15 2024 Info: MID 2716 DKIM: signing with DKIMTest - matches test@example.com

-後段SEG　許容最小キーサイズ512ビット

Thu May 30 17:29:21 2024 Info: MID 2716 DKIM: pass signature verified (d=example.com s= selectorsample i=@example.com)
*省略*
Thu May 30 17:29:22 2024 Info: MID 2716 queued for delivery

2.新規導入のAsyncOS 15.5.1にて、許容最小キーサイズよりも小さいDKIM署名の動作検証

前述のように今回の動作変更によって、512ビットと768ビットキーサイズが利用できなくなりました。SEGの許容最小キーサイズが1024ビットであるため、前段サーバが512ビットか768ビットのDKIM署名キーサイズを利用すると、キーが小さすぎることからDKIM検証の結果が「permfail」となります。その際には「永続的なエラーのSMTPアクション」の設定に従って、アクションを取ります。

・永続的なエラーのSMTPアクションが「承諾」の場合、メールの処理が続行されます。
　メールログは以下の通りです。

-前段SEG キーサイズ512ビット

Thu May 30 14:47:21 2024 Info: MID 2717 DKIM: signing with DKIMTest- matches test@example.com

-後段SEG 許容最小キーサイズ1024ビット

Thu May 30 14:47:22 2024 Info: MID 2717 DKIM: permfail key too small (d=example.com s=selectorsample i=@example.com)
*省略*
Thu May 30 14:47:23 2024 Info: MID 2717 queued for delivery

・永続的なエラーのSMTPアクションが「拒否」の場合、メールが拒否されます。
　メールログの内容は以下の通りです。

Thu May 30 15:14:59 2024 Info: MID 2718 DKIM: permfail key too small (d=example.com s=selectorsample i=@example.com)
Thu May 30 15:14:59 2024 Info: MID 2718 rejected by DKIM policy
Thu May 30 15:14:59 2024 Info: Message aborted MID 2718 Receiving aborted
Thu May 30 15:14:59 2024 Info: Message finished MID 2718 aborted

参考情報

https://www.cisco.com/c/en/us/td/docs/security/esa/esa15-5-1/user_guide/b_ESA_Admin_Guide_15-5-1/b_ESA_Admin_Guide_12_1_chapter_010110.html#dkim-verification

https://www.cisco.com/c/dam/global/ja_jp/td/docs/security/esa/esa15-5-1/release_notes/Secure_Email_15-5_Release_Notes.pdf