Cisco Cisco Email Security Appliance C190 User Guide
20-17
Cisco AsyncOS 9.1 for Email 사용 설명서
20 장 이메일 인증
DKIM을 사용하여 수신 메시지를 확인하는 방법
•
•
AsyncOS에서 수행하는 DKIM 확인
AsyncOS 어플라이언스에 DKIM 확인 기능을 구성하는 경우 다음 확인 작업이 수행됩니다.
절차
1단계
AsyncOS는 수신 메일의 DKIM 서명 필드, 즉 서명 헤더 구문, 유효한 태그 값 및 필수 태그를 확인
합니다. 이러한 서명 확인에 실패하는 경우 AsyncOS는 permfail을 반환합니다.
합니다. 이러한 서명 확인에 실패하는 경우 AsyncOS는 permfail을 반환합니다.
2단계
서명 확인이 수행된 후 공개 키가 공용 DNS 레코드에서 검색되며 TXT 레코드가 검증됩니다. 이 절
차가 진행되는 동안 오류가 발생되면 AsyncOS에서 permfail을 반환합니다. tempfail은 공개 키의
DNS 쿼리가 응답받지 못하는 경우 발생합니다.
차가 진행되는 동안 오류가 발생되면 AsyncOS에서 permfail을 반환합니다. tempfail은 공개 키의
DNS 쿼리가 응답받지 못하는 경우 발생합니다.
3단계
공개 키를 검색한 후 AsyncOS는 해시 값을 확인하고 서명을 확인합니다. 이 단계 동안 실패가 발
생하는 경우 AsyncOS는 permfail을 반환합니다.
생하는 경우 AsyncOS는 permfail을 반환합니다.
4단계
모든 검사를 통과하면 AsyncOS는 pass를 반환합니다.
참고
메시지 본문이 지정된 길이보다 길면 AsyncOS에서 다음 판정을 반환합니다.
dkim = pass (partially verified [x bytes])
여기에서 X는 인증된 크기(바이트)를 나타냅니다.
최종 확인 결과는 Authentication-Results 헤더로 입력됩니다. 예를 들어 다음과 같은 헤더를 받을 수
있습니다.
있습니다.
Authentication-Results: example1.com
header.from=From:user123@example.com; dkim=pass (signature verified)
Authentication-Results: example1.com
header.from=From:user123@example.com; dkim=pass (partially verified [1000 bytes])
Authentication-Results: example1.com
header.from=From:user123@example.com; dkim=permfail (body hash did not verify)
참고
현재 DKIM 확인 작업이 첫 번째 유효한 서명에서 중지됩니다. 마지막 서명을 사용하여 확인할 수
없습니다. 이 기능은 향후 릴리스에서 사용할 수 있습니다.
없습니다. 이 기능은 향후 릴리스에서 사용할 수 있습니다.
DKIM 확인 프로파일 관리
DKIM 확인 프로파일은 Email Security 어플라이언스의 메일 흐름 정책에서 DKIM 서명 확인에 사
용하는 매개변수 목록입니다. 예를 들어 확인 프로파일 두 개, 즉 쿼리가 시간을 초과하기 전에 30
초를 허용하는 프로파일과 쿼리가 시간을 초과하기 전 3초만 허용하는 프로파일을 만들 수 있습니
다. 두 번째 확인 프로파일을 속도 제한 메일 흐름 정책에 할당하여 DDoS 경우의 연결 기아 상태를
방지할 수 있습니다. 확인 프로파일은 다음의 정보로 구성됩니다.
용하는 매개변수 목록입니다. 예를 들어 확인 프로파일 두 개, 즉 쿼리가 시간을 초과하기 전에 30
초를 허용하는 프로파일과 쿼리가 시간을 초과하기 전 3초만 허용하는 프로파일을 만들 수 있습니
다. 두 번째 확인 프로파일을 속도 제한 메일 흐름 정책에 할당하여 DDoS 경우의 연결 기아 상태를
방지할 수 있습니다. 확인 프로파일은 다음의 정보로 구성됩니다.
•
확인 프로파일 이름.
•
최소 및 최대 허용 가능 공개 키 크기. 기본 키 크기는 각각 512와 2,048바이트입니다.