ESA Incoming Relay — входящий релей

Олег

  • 28 февраля 2022
Cisco ESA C190

Иногда Email Security Appliance (ESA) может неверно определять IP адрес отправителя, когда письмо проходит через ретранслятор или цепочку ретрансляторов. Вместо IP адреса отправителя берётся адрес последнего ретранслятора. В результате письмо не получает верные баллы SenderBase Reputation Scores (SBRS) и отправляется в спам.

Рассмотрим простейший случай.

esa

  • Сервер с IP: 7.8.9.1 отправляет письмо.
  • Письмо проходит через Firewall, попадает в ретранслятор с IP: 10.2.3.4.
  • Ретранслятор пересылает письмо на ESA с IP: 10.2.3.5.
  • ESA определяет IP адрес отправителя: 10.2.3.4.

Рассмотрим более сложные случаи.

ESA

Вариант A:

  • Сервер с IP: 7.8.9.1 отправляет письмо.
  • Письмо проходит через Firewall, попадает в ретранслятор с IP: 10.2.3.4 (Hop 2).
  • Ретранслятор пересылает письмо на следующий ретранслятор с IP: 10.2.3.5 (Hop 1).
  • Ретранслятор пересылает письмо на ESA с IP: 10.2.3.6.
  • ESA определяет IP адрес отправителя: 10.2.3.5.

Вариант B:

  • Сервер с IP: 7.8.9.1 отправляет письмо.
  • Письмо попадает в балансировщик, у которого может быть несколько разных IP: 10.2.5.1-n (Hop 2).
  • Балансировщик пересылает письмо на ретранслятор с IP: 10.2.6.1 (Hop 1).
  • Ретранслятор пересылает письмо на ESA с IP: 10.2.3.6.
  • ESA определяет IP адрес отправителя: 10.2.6.1.

    о всех этих случаях ESA может определить верный IP отправителя, если ретрансляторы дописывают в заголовок IP адрес отправителя. Обычно это заголовок "Received" (может использоваться и другой заголовок), который выглядит так:

    Received: from mail-pl1-f180.google.com ([209.85.214.180])
    by mx1.example.com; Mon, 28 Feb 2022 19:30:10 +0000

    Если ретрансляторов в цепочке несколько, то заголовков "Received" тоже несколько. Для верного определения IP адреса отправителя нужно знать, сколько ретрансляторов в цепочке, т.е. сколько хопов выполнять (Hop 1, Hop 2).

    Включение Incoming Relay в ESA

    Включим поддержку входящих релеев.

    Network → Incoming Relays. Нажимаем Enable.

    esa

    Применяем настройки. Commit Changes.

    esa

    Добавление Incoming Relay в ESA

    С помощью кнопки Add Relay... добавляем свои релеи. Указываем:

    • Название релея.
    • IP адрес релея. Это может быть IPv4, IPv6, диапазон 10.2.3.1-10 или подсеть 10.2.3.1/8.
    • Заголовок релея: по умолчанию "Received" или какой-то другой.
    • Количество хопов.
    • Слово, после которого ESA будет искать первый IP адрес (в данном заголовке), по умолчанию "from".

    esa

      В данном случае у меня только Hop 1, т.е. один релей в цепочке. Submit.

      Добавляем ещё один релей.

      esa

      Во втором случае у меня Hop 2, за релеем есть ещё один релей. IP адрес отправителя ищем после символа "[". Submit.

      Применяем настройки. Commit Changes.

      esa

      Если вы будете отслеживать сообщение через Message Tracking, то в качестве IP адреса отправителя отображается IP релея, реальный IP адрес отправителя можно найти ниже. Там же можно посмотреть SBRS.

      esa

      Примечания

      После релея все проверки SPF будут провалены, поскольку SPF в ESA проверяется до определения заголовков письма. Обходной путь: добавить на релее какой-нибудь заголовок, например, "Received-SPF", содержащий результат проверки SPF. А на ESA уже работать с этим заголовком в Content Filters.

      Ещё может пригодиться:

      ESA — разрешить IP с низким SBRS

      ESA — настройка Directory Harvest Attack Prevention (DHAP)

      Ссылки

      https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_chapter_01100.html

      Теги

      💰 Поддержать проект

       

      Похожие материалы

      Почитать