Cisco ESA における DMARC 集計レポートの増加
シスコの電子メールセキュリティアプライアンス(ESA)は、DMARCアグリゲート(RUA)レポートを送信するように設定できますが、1日に送信できるDMARCレポートの数には制限があります。大量の電子メールを送信する組織では、特に受信メッセージの 「From」ヘッダーに複数のサブドメインが含まれている場合、この制限にすぐに達してしまう可能性があります。
サブドメインの数が問題となるのは、Cisco IronPortシステムによるDMARCレポートの生成方法に不備があるためです。トップレベルドメインとすべてのサブドメイン(例:example.com、www.example.com、server.example.comなど)のデータを1つのXMLレポートにまとめるのではなく、各サーバーインスタンスがそれぞれについて完全に独立したレポートを生成するため、制限数にすぐに達してしまいます。
1日の上限を引き上げることで、適切な可視性が確保され、他の組織のDMARCプロジェクトを支援することにもつながります。
DMARCレポートの1日あたりのデフォルト上限は1000件ですが、これを増やすにはコマンドラインインターフェース(CLI)を使用する必要があります。RUAレポートの上限を増やすと、オンプレミス環境のパフォーマンスに影響が出る可能性がありますが、Cisco Cloud Email Security(IPHMX)ではその可能性は低くなります。 まずレポートの上限を4000に増やし、パフォーマンスに影響がない場合はさらに8000に増やすことを推奨します。処理されるDMARCレポート数が急激に減少した場合は、パフォーマンスが低下していることを示しています。
DMARCレポートの件数を増やす方法
DMARCの設定オプションには、CLIの「dmarcconfig」コマンドを使用してアクセスします。
以下は、DMARC RUAレポートの1日あたりの件数を増やすためのコマンドの一連の手順です:
以下は変更後の結果です。CLIから開始した上記の例と比較すると、集計レポートの上限が4000件に増え、レポート用のメールアドレスが追加されていることがわかります。
Ironportでの日次集計レポートの表示件数を増やす方法についてご質問がございましたら、お気軽にお問い合わせください。
私たちがサポートします
メールセキュリティのエキスパート集団であるdmarcianは、「ドメインセキュリティを通じて、メールとインターネットをより信頼できるものにする」というミッションを掲げ、お客様の組織のドメイン状況を評価し、長期にわたってDMARCの実装と管理をサポートいたします。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
