メインコンテンツへスキップ
Cisco ESA DMARC 設定ガイド

Cisco ESA DMARC 設定ガイド

2023年2月24日
導入技術ガイダンス

この記事では、Ciscoのメールセキュリティアプライアンス「
(ESA)」にDMARCを導入するためのガイドをご紹介します。

システムのDMARC認証およびレポート機能がすでに正しく設定されているとお考えの場合でも、ぜひ時間をかけて以下の情報をよくお読みになり、現在の設定と比較してください。これらの設定は業界のベストプラクティスであるため、これと異なる設定を行わないようお勧めします。お使いのESAのAsyncOSバージョンは13以上である必要があります。バージョン14の場合は、14.0.2以降である必要があります。これは、14の旧バージョンにバグがあるためです。

注:

  • 正しく設定できない場合は、設定自体を行わないでください。設定が不適切な場合、他のソースから送信される有効なデータが汚染される恐れがあり、DMARCデータがアグリゲーターによってブラックリストに登録される可能性があります。
  • 環境においてSPFやDKIMの検証をどのように、あるいは実施するかどうかについて、推奨設定から逸脱した設定を行うと、システムが適切なDMARC分析を行う能力に影響を及ぼすだけでなく、システムが送信するレポートデータの品質も(無意味なレベルまで)低下させてしまいます。
  • メッセージに対して設定されたポリシーとは異なるDMARC強制措置をシステムで変更することは、世界中のドメイン所有者がトラフィックの認証のために費やしてきた努力を台無しにしてしまいます。認証の確認と修正を行い、p=quarantine 公開するために必要な手間を惜しまずに取り組んできたのであれば、そのポリシーを遵守し、ESAがその決定に従えるようにしてください。
  • ドメインがまだ「p=reject 」p=reject p=quarantine」の状態になっていない場合、ESAでの強制設定は、Fromヘッダーにそのドメインが含まれるメールには影響しません。そして、実際にそれらの設定を自社のDMARCレコードに適用する段階になれば、すべての環境がポリシーを遵守していることが望ましいでしょう。自社の利益となるグローバルなレポートおよび強制環境に、ぜひご参加ください。

これらの変更を行った結果

  • ESAは、受信メッセージのSPFおよびDKIM認証の結果を正しく判定します。これには強制的な要素は含まれていません。つまり、この判定結果によって配信結果が変わることはありません。
    • メールログには関連する追加の記録が残っている可能性があり、受信したメッセージのヘッダーには有用な情報が含まれている場合があります。
  • ESAはDMARC認証の結果を判定し(SPFおよびDKIMの認証結果の両方に基づく)、ポリシーを適用します。これにより、スパムやフィッシングに対するさらなる保護が提供されます。
    • メールログには関連する追加の記録が残っている可能性があり、受信したメッセージのヘッダーには有用な情報が含まれている場合があります。
  • DMARC認証が確認されたドメインp=reject ポリシーがp=reject であり、かつ認証に失敗した場合、そのメッセージは、ドメイン所有者の意図および要求通り、SMTP通信中に拒否されます。
  • DMARC認証が確認されたドメインp=quarantine ポリシーがp=quarantine 」であり、かつ認証に失敗した場合、そのメッセージはESA上のポリシー・クォランティンに隔離されます。
  • DMARC認証が確認されたドメインp=none ポリシーがp=none であり、かつ認証に失敗した場合、そのメッセージに対しては何も処理が行われません。
  • お使いのESAは、DMARC RUAデータを生成し、DMARCレコードで指定されたアドレス宛てにドメイン所有者に送信します。たとえば、メッセージのFromヘッダーにgmail.comが含まれているメッセージをESAが検出した場合、ESAはgmail.comのレポート用アドレス(現在は[email protected])宛てにRUAレポートを生成します。
メールポリシーメニュー

このガイドでは、以下の順序で各設定を確認・更新していきます。これらの操作は、ESAのユーザーインターフェースにある「メールポリシー」メニュー(左の画像を参照)から行うことができます:

  1. DKIM検証プロファイル
  2. DMARC
  3. メールフローポリシー
検証プロファイル
DMARCの設定
メールフローポリシー

検証プロファイル

厳密に言えば、これは「DKIM検証プロファイル」とすべきです。なぜなら、「DomainKeys」は2007年に非推奨となったため、もはや誰も使用していないはずだからです。

「DEFAULT」プロファイルのみを作成、保持、または変更することをお勧めします。それ以外のプロファイルは必要ないはずです。前述の通り、(この設定方法では)DKIM検証自体はメッセージの配信に影響を与えません。

以下のスクリーンショットに示されている設定と完全に一致するように、プロファイルを変更、更新、または作成してください:

DKIM検証

検証プロファイル – 備考

  • 1024未満の鍵は、本番環境での使用にはセキュリティが不十分であることが知られています。このサイズ未満のDKIM鍵は使用したり、受け入れたりしないでください。
  • 2048ビットを超える鍵も使用されていますが、ESAがまだそれらのより大きな鍵を作成または検証できないのは、Cisco側の不具合です。
  • ここには、管理者がDKIMの結果や(DNSの結果による)検証失敗のみに基づいて、メッセージの拒否や遅延を引き起こすことができる設定が表示されています。これらを使用しないでください。

DMARCの設定

前のセクションとは異なり、以下の設定の一部については、ご自身の環境に合わせてスクリーンショットとは異なる設定を行う必要があります。まずは以下の例のように設定し、ご自身の環境に合わせて変更すべき点については、以降のセクションの説明を参照してください。

DMARCの設定

DMARCの設定 – グローバル設定

DMARCのグローバル設定
  • スケジュール:RFCの標準や推奨事項にできるだけ準拠するためには、レポート生成のスケジュール時間をUTC時間でその日の終了時刻の約15分前に設定する必要があります。つまり、米国東海岸にいる場合と西海岸にいる場合では、設定が異なります。シスコはこの設定項目の不備についてバグを認識していますので、詳細についてはシスコに問い合わせてください。 これは想像以上に複雑です。Ciscoのバグ番号はCSCun35657です。
  • 対象:貴社または貴組織。この設定は、すべてのESAで同一である必要があります。
  • 追加の連絡先:これはドメイン所有者に送信されるXMLデータに記述されます。ドメイン内の実在するアドレスである必要がありますが、スパム対策や不要メールの自動削除設定を厳格に適用しても構いません。システムのXMLレポートを分析する方からフィードバックや質問が届く可能性があるため、これに対応できるようにしておく必要があります。このようなケースは極めて稀ですが、実際に発生することもあります。
  • その他の設定は、スクリーンショットに示されている通りにしてください。

DMARCの設定 – 検証プロファイル

以下のスクリーンショットに示されているとおりに、2つのプロファイルを設定してください。

Cisco ESA DMARC 検証プロファイル

メールフローポリシー

ここでの変更により、前の2つのセクションで設定した内容が反映されます。手順は以下の3つです:

  1. デフォルト設定を更新する
  2. インバウンドポリシーを更新して、デフォルト設定を受け入れるようにする
  3. デフォルト設定を上書きするために、アウトバウンド/リレーポリシーを修正する

メールフローポリシー – デフォルト設定の更新

「デフォルトのポリシーパラメータ」を開き、以下のスクリーンショットのようなセクションを見つけて、すべての設定が一致していることを確認してください。S/MIME(こちらは何も設定しません)を除き、そこに他の設定がある場合は、そのままにしておいてください。

Cisco ESA メールフローポリシー - デフォルト設定の更新
  • DKIM署名:ここでのデフォルト設定は「オフ」です。これは、システム上のほとんどのHATポリシーやその他のMFPが、着信トラフィックに関連していると想定しているためです。もしお使いのシステムがこの方式で動作するように設定されていない場合、これらの手順の多くは該当しないでしょうし、正しく動作させるための設定変更方法については、すでにご理解されているはずです。そうでない場合は、サポートにお問い合わせください。
  • DKIM 検証:これを「オン」に設定し、プロファイルは先ほど設定した「DEFAULT」のものにしてください。
  • S/MIME:無視
  • SPF検証:有効、かつSPF準拠のみ。表示されている設定を使用してください。
  • DMARC検証:これを「有効」に設定してください。検証プロファイルには「DEFAULT」を使用してください。集計レポートを送信してください。認証および強制適用に関連する設定手順をすべて完了していない場合は、レポートを送信しないでください。

ここで、メールフローポリシーの全体一覧(以下のようなもの)に戻り、以下の点を確認してください:

  1. インバウンドポリシーは、先ほど設定したデフォルト設定を受け入れています。
  2. 送信ポリシー(通常はRelayポリシー)の動作は異なり、一般的には受信ポリシーとは逆になります。
Cisco ESAのメールフローポリシー

メールフローポリシー – 受信ポリシーの更新

着信ポリシーを更新してデフォルト設定を受け入れるようにします。たとえば、「Accepted」と関連するセクションにチェックを入れると、次のように表示されるはずです:

Cisco ESA:インバウンドポリシーを更新し、デフォルト設定を受け入れるようにする

注:リレー以外のすべてのポリシーは、これと同じである必要があります。

メールフローポリシー – 送信/中継ポリシーの修正

デフォルト設定を上書きするために、アウトバウンド/リレーポリシーを修正してください。リレータイプのポリシーを確認する際、設定は以下のようになるようにしてください:

Cisco ESA のアウトバウンドポリシーのデフォルト設定を上書きする
  • ここでは、送信メッセージに対してすでにDKIM署名が設定されていることを前提として、DKIM署名を「オン」に設定しています。設定されていない場合は、設定を「オフ」のままにし、必要に応じてこのESA環境からの送信メッセージに対するDKIM署名の設定を検討してください。

あとは、オレンジ色の「変更をコミット」ボタンをクリックするだけです。

シスコのメールセキュリティアプライアンスでのDMARCの設定についてご質問がございましたら、お気軽にお問い合わせください

私たちがサポートします
メールセキュリティのエキスパート集団であるdmarcianは、「ドメインセキュリティを通じて、メールとインターネットをより信頼できるものにする」というミッションを掲げ、お客様の組織のドメイン状況を評価し、長期にわたってDMARCの実装と管理をサポートいたします。

まずは30日間の無料トライアルから始めましょう
DMARC

関連記事