Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Meilleures pratiques de configuration pour CESESA Contenu
IntroductionConditions préalablesConditions requisesComponents UsedQuarantaines des politiquesMeilleures pratiques de configuration pour CES ESAConfiguration de base Services de sécuritéAdministration systèmeModifications de niveau CLITable d'accès hôteStratégie de flux de courrier (paramètres de stratégie par défaut)Stratégies de messagerie entrantePolitiques de messagerie sortanteAutres paramètresDictionnaires (Politiques de messagerie > Dictionnaires)Contrôles de destination (Politiques de messagerie > Contrôles de destination)Filtres de contenuFiltres de contenu entrantsFiltres de contenu sortantCisco LiveInformations connexes
Introduction
Ce document fournit un résumé des recommandations à l'intention des administrateurs quiutilisent la sécurité de la messagerie électronique dans le cloud (CES) de Cisco pour configurerleur appliance de sécurité de la messagerie Cisco (ESA). Cisco fournit à tous les clients CES undispositif de gestion de la sécurité (SMA) dans leur instance CES. À des fins de gestioncentralisée, certaines parties de la configuration et des meilleures pratiques demandent auxadministrateurs d'utiliser des quarantaines situées sur le SMA.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Administration ESA, administration au niveau de l'interface CLI et de l'interface utilisateur●
graphiqueAdministration SMA, administration au niveau de l'interface utilisateur graphique●
Les clients CES peuvent demander l'accès CLI à leurs instances CES en suivant lesinstructions suivantes : Accès CLI client CES
●
Components Used
Les informations de ce document sont basées sur les meilleures pratiques et lesrecommandations pour les clients et les administrateurs CES.
Les informations contenues dans ce document ont été créées à partir des périphériques d'unenvironnement de laboratoire spécifique. All of the devices used in this document started with acleared (default) configuration. If your network is live, make sure that you understand the potentialimpact of any command.
Produits connexes
Ce document peut également être utilisé avec les versions de matériel et de logiciel suivantes :
Matériel et appliances virtuels (non-CES) ESA exécutant n'importe quelle version d'AsyncOSpour la sécurité de la messagerie
●
Matériel et appliances virtuels SMA sur site (non-CES) exécutant n'importe quelle versiond'AsyncOS pour la gestion de la sécurité
●
Quarantaines des politiques
Les quarantaines sont configurées et mises à jour sur SMA pour les clients CES. Connectez-vousà votre SMA, affichez les quarantaines et précréez les quarantaines suivantes, selon les besoins :
ACCOUNT_TAKEOVER●
ANTI_SPOING●
PIÈCES JOINTES_BLOCS●
LISTE DE BLOCS●
ÉCHEC_DKIM●
DMARC_QUARANTAINE●
REJETER_DMARC●
FORGED_EMAIL●
CONTENU_INAPPROPRIÉ●
MACRO●
OPEN_RELAY●
SDR_DATA●
SPF_HARDFAIL●
SPF_SOFTFAIL●
TG_OUTBOUND_MALWARE●
URL_MALICIEUSE●
Meilleures pratiques de configuration pour CES ESA
Avertissement : toute modification de la ou des configuration(s) basée sur les meilleurespratiques fournies dans ce document doit être examinée et comprise avant de valider vosmodifications de configuration dans un environnement de production. Veuillez consultervotre ingénieur système CES ou votre équipe de compte avant d'effectuer des modificationsde configuration que vous ne comprenez pas à 100 % ou avec lesquelles vous n'êtes pasrassuré lors de l'administration.
Configuration de base
Tableau d'accès aux destinataires (RAT)
Les messages acceptés pour les domaines sont configurés dans la table d'accès auxdestinataires. Veuillez consulter Politiques de messagerie > Tableau d'accès aux destinataires(RAT) pour ajouter et gérer des domaines si nécessaire.
Routes SMTP
Si la destination du routage SMTP est Office 365 hébergé, consultez Office365 Throttling CESNew Instance with « 4.7.500 Server Occupé. Veuillez réessayer ultérieurement ».
Services de sécurité
Antispam IronPort (IPAS)
Activé et configuré Toujours analyser 1M et Jamais analyser 2M●
Filtrage des URL
Activer les filtres de catégorisation et de réputation des URL●
(Facultatif) Créez et configurez la liste des URL autorisées nommée « bypass_urls ».●
Activer le suivi des interactions Web●
Détection des graymails
Activer et configurer Toujours analyser 1M et Jamais analyser 2M●
Délai d'attente pour l'analyse d'un message unique : 60 secondes●
Filtres contre les attaques
Activer les règles adaptatives●
Taille maximale du message à analyser : 2 Mo●
Activer le suivi des interactions Web●
Advanced Malware Protection > Réputation et analyse des fichiers
Activer la réputation des fichiers●
Activer l'analyse des fichiers●
Vérifier et activer d'autres types de fichiers après activation de la fonctionnalité●
Suivi des messages
Activer la journalisation des connexions rejetées (si nécessaire) ●
Autres services à examiner et à prendre en considération :
LDAP
Si vous utilisez LDAP, recommandez l'utilisation de LDAP avec SSL activé●
SPF
Clients CES, une macro est publiée pour tous les hôtes CES par nom d'hôte d'allocation pourfaciliter l'ajout de tous les hôtes.
●
Placez la macro suivante avant ~all ou -all dans l'enregistrement DNS TXT (SPF) actuel, s'ilexiste :
●
exists:%{i}.spf.<allocation>.iphmx.com
Remarque : assurez-vous que l'enregistrement SPF se termine par ~all ou -all. Le fait deplacer cette partie de l'enregistrement SPF ailleurs peut entraîner des erreurs lors de laremise des messages. Validez toujours avant d'apporter des modifications.
Validez les enregistrements SPF pour les domaines du client avant et après toute modification! Exemple d'outil : https://www.kitterman.com/spf/validate.html?Si vous souhaitez pré-validerune modification SPF proposée : https://app.dmarcanalyzer.com/dns/spf Cliquez sur'Prévalider une mise à jour d'enregistrement SPF'Entrer le domaineCollez dansl'enregistrement SPF TXT et cliquez sur Valider SPF
●
Répartition des éléments de base d'un enregistrement SPF :●
[v=spf1]Identifie l'enregistrement TXT comme un enregistrement SPF.[existe]L'enregistrement existe-t-il ?[%{i}]Expression de macro remplacée par l'adresse IP de connexion.[-all]Échec : Autoriser uniquement les messages qui correspondent à l'un des paramètres (IPv4,MX, etc.) de l'enregistrement
[~all] SoftFail : autoriser le courrier, qu'il corresponde ou non aux paramètres de l'enregistrement
Autres exemples SPF :
Si vous recevez sur CES et envoyez du courrier sortant à partir d'autres serveurs demessagerie, un bon début serait l'exemple suivant. Vous pouvez utiliser le mécanisme « a: »pour spécifier les hôtes de messagerie.
●
v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all
Si vous n'envoyez que du courrier sortant via CES, vous pouvez utiliser :●
v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all
Dans cet exemple, le mécanisme « ip4: » ou « ip6: » est utilisé pour spécifier une adresse IPou une plage d'adresses IP.
●
v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all
Administration système
Utilisateurs (Administration système > Utilisateurs)
N'oubliez pas de consulter et de définir les stratégies de mot de passe associées aux'Paramètres de compte d'utilisateur local et de phrase de passe'
●
Si possible, configurez et activez le protocole LDAP (Lightweight Directory Access Protocol)pour l'authentification (Administration système > LDAP)
●
Journalisation (Administration système > Abonnements au journal)
Si elle n'est pas configurée, créez et activez : Journaux de l'historique deconfigurationJournaux de filtrage d'URL ou de client de réputation d'URL
●
Pour les paramètres globaux, modifiez les paramètres et enregistrez les en-têtes : À, De,Réponse, Expéditeur
●
Modifications de niveau CLI
Filtrage des URL de sécurité Web
N'oubliez pas de lire notre ESA Enabling URL Filtering and Best Practices.●
CLI uniquement, exécutez la commande websecurityadvancedconfig et configurez leséléments suivants :
●
> websecurityadvancedconfig
Enter URL lookup timeout (includes any DNS lookup time) in seconds:
[5]>
Enter the URL cache size (no. of URLs):
[810000]>
Do you want to disable DNS lookups? [N]>
Enter the maximum number of URLs that can be scanned in a message body:
[100]> 400
Enter the maximum number of URLs that can be scanned in the attachments in a message:
[25]> 400
Enter the Web security service hostname:
[v2.sds.cisco.com]>
Enter the threshold value for outstanding requests:
[50]> 5
Do you want to verify server certificate? [Y]>
Do you want to enable URL filtering for shortened URLs? [Y]>
Enter the default time-to-live value (seconds):
[30]> 600
Do you want to rewrite both the URL text and the href in the message? Y indicates that the full
rewritten URL will appear in the email body. N indicates that the rewritten URL will only be
visible in the href for HTML messages. [N]>
Do you want to include additional headers? [N]>
Enter the default debug log level for RPC server:
[Info]>
Enter the default debug log level for URL cache:
[Info]>
Enter the default debug log level for HTTP client:
[Info]>
Remarque : À partir de AsyncOS 13.5, le filtrage des URL sera géré à partir de l'analyse desURL du cloud (CUA). La commande websecurityadvancedconfig sera différente et réduiracertaines options de configuration.
> websecurityadvancedconfig
Enter URL lookup timeout in seconds:
[15]>
Enter the maximum number of URLs that can be scanned in a message body:
[100]> 400
Enter the maximum number of URLs that can be scanned in the attachments in a message:
[25]> 400
Do you want to rewrite both the URL text and the href in the message? Y indicates that the full
rewritten URL will appear in the email body. N indicates that the rewritten URL will only be
visible in the href for HTML messages. [N]>
Do you want to include additional headers? [N]>
Journalisation des URL
N'oubliez pas de lire notre ESA Enabling URL Filtering and Best Practices.●
CLI uniquement, exécutez la commande outbreakconfig et configurez la section suivantecomme indiqué, si elle n'est pas déjà activée :
●
Logging of URLs is currently disabled.
Do you wish to enable logging of URL's? [N]> y
Logging of URLs has been enabled.
Filtre anti-mystification
N'oubliez pas de lire notre Guide des meilleures pratiques pour l'anti-usurpation.●
Filtre de marquage d'en-tête
CLI uniquement, écrivez et activez le filtre de messages suivant :●
addHeaders: if (sendergroup != "RELAYLIST")
{
insert-header("X-IronPort-RemoteIP", "$RemoteIP");
insert-header("X-IronPort-MID", "$MID");
insert-header("X-IronPort-Reputation", "$Reputation");
insert-header("X-IronPort-Listener", "$RecvListener");
insert-header("X-IronPort-SenderGroup", "$Group");
insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}
Table d'accès hôte
Groupes d'expéditeurs supplémentaires
Guide de l'utilisateur ESA : Création d'un groupe d'expéditeurs pour la gestion des messagesBYPASS_SBRS - Placez-vous plus haut pour les sources qui ignorent laréputationMY_TRUSTED_SPOOF_HOSTS - Partie du filtre d'usurpationTLS_REQUIRED -Pour les connexions TLS forcées
●
Dans le groupe d'expéditeurs SUSPECTLIST prédéfini
Guide de l'utilisateur ESA : Vérification de l'expéditeur : Hôte activer « Scores SBRS suraucun »(Facultatif) activez "Échec de la recherche d'enregistrement PTR de l'hôte en raisond'une défaillance DNS temporaire »
●
Exemple de TAH agressif
BLOCKLIST_REFUSE [-10.0 à -9.0] POLITIQUE : REFUS_BLOQUÉ●
STRATÉGIE BLOCKLIST_REJECT [-9.0 à -2.0] : REJET_BLOQUÉ●
SUSPECTLIST [-2.0 à 0.0 et scores SBRS de « Aucun »] POLITIQUE : DÉROULÉ●
ACCEPTLIST [0.0 à 10.0] POLITIQUE : ACCEPTÉ●
Remarque: Les exemples de TAH ci-dessus montrent des stratégies de flux de messagerieconfigurées supplémentaires. Pour plus d'informations sur MFP, reportez-vous au Guided'utilisation de la version appropriée d'AsyncOS for Email Security exécutée sur votre ESA. Exemple : AsyncOS 10.0 : Table d'accès hôte (HAT), groupes d'expéditeurs et stratégies deflux de messagerie
Exemple de TAH :
Stratégie de flux de courrier (paramètres de stratégie par défaut)
Paramètres de stratégie par défaut
Paramètres de sécurité
Définissez TLS (Transport Layer Security) sur Préférable●
Activer le cadre de stratégie de l'expéditeur (SPF)●
Activer le courrier identifié DomainKeys (DKIM)●
Activer la vérification, la génération de rapports et la conformité des messages basés sur ledomaine (DMARC) et envoyer des rapports de commentaires agrégés
●
Remarque: DMARC nécessite un réglage supplémentaire pour la configuration. Pourobtenir des informations complètes sur DMARC, reportez-vous au Guide d'utilisation de laversion appropriée d'AsyncOS for Email Security exécutée sur votre ESA. Exemple :AsyncOS 10.0 : Vérification DMARC
Stratégies de messagerie entrante
La stratégie par défaut doit être configurée comme suit :
Antispam
Activé, avec des seuils laissés aux seuils par défaut. (La modification de la notation pourraitentraîner une augmentation des faux positifs.)
●
Antivirus
Analyse des messages : Rechercher les virus uniquementla case à cocher assurer pour «Inclure un en-tête X » est activéeMessages non analysables, messages infectés par un virus :définissez "Archiver le message d'origine » sur Non
●
AMP
Actions non analysables sur les erreurs de message : utiliser Avancé et Ajouter un en-têteclient au message : « X-TG-MSGERROR », valeur : « vrai »
●
Actions non analysables sur la limite de débit : utiliser Avancé et Ajouter un en-tête client aumessage : « X-TG-RATELIMIT », valeur : « vrai »
●
Messages avec analyse de fichier en attente : utiliser l'action appliquée au message en tantque « quarantaine »
●
Graymail
Analyse activée pour chaque verdict, objet et livraison●
Pour l'action sur le courrier en masse, utilisez l'en-tête Avancé et Ajouter personnalisé « X-BulkMail », valeur = « True »
●
Filtres de contenu
Activé et utilisation de URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS,URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, EXECUTIVE_SPOOF,DOMAIN_SPOOF, SDR, TG_RATE_LIMIT
●
Filtres contre les attaques
Le niveau de menace par défaut est 3. Veuillez ajuster en fonction de vos exigences desécurité. Si le niveau de menace d'un message est égal ou supérieur à ce seuil, le messageest envoyé à la quarantaine des attaques. (1 = menace la plus faible, 5 = menace la plusélevée)
●
Activer la modification du message●
Réécriture de l'URL définie pour « Activer pour tous les messages »●
Modifier le préfixe d'objet en : [Possible fraude $menace_category]●
Stratégie de messagerie ALLOW_SPOOF
La stratégie de messagerie ALLOW_SPOOF est configurée avec tous les services par défautactivés et les filtres de contenu activés pour URL_QUARANTINE_MALICIOUS,URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, SDR ou les filtres de contenu de votrechoix et de votre configuration.
ALLOWLIST Mail Policy
La stratégie de messagerie ALLOWLIST est configurée avec Antispam et Graymail désactivée, etles filtres de contenu activés pour URL_QUARANTINE_MALICIOUS,URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL,EXECUTIVE SPOOF, DOMAIN_SPOOF, SDR, TG, TG RATE_LIMIT, ou filtres de contenu devotre choix et de votre configuration.
Stratégie de messagerie BLOCKLIST
La stratégie de messagerie BLOCKLIST est configurée avec tous les services désactivés, àl'exception de Advanced Malware Protection, et le lien vers un filtre de contenu avec l'action deQUARANTANE.
Politiques de messagerie sortante
La stratégie par défaut doit être configurée comme suit :
Antispam
Désactivé●
Antivirus
Analyse des messages : Rechercher les virus uniquementdécochez la case « Inclure un en-tête X »
●
Pour tous les messages : Avancé > Autre notification, activer « Autres » et inclure l'adresse e-mail du contact admin/SOC
●
Protection avancée contre les programmes malveillants
Activer la réputation des fichiers uniquement●
Actions non analysables sur la limite de débit : utiliser Avancé et Ajouter un en-tête client aumessage : « X-TG-RATELIMIT », valeur : « vrai »
●
Messages avec pièces jointes de programmes malveillants : utiliser Avancé et Ajouter un en-tête client au message : « X-TG-OUTBOUND », valeur : « MALWARE DETECTE »
●
Graymail
Désactivé●
Filtres de contenu
Activé et utilisation de TG_OUTBOUND_MALICIOUS, Strip_Secret_Header,EXTERNAL_SENDER_REMOVE, ACCOUNT_TAKEOVER ou de filtres de contenu de votre
●
choix et de votre configurationFiltres contre les attaques
Désactivé●
DLP
Activer, en fonction de votre licence DLP et de votre configuration DLP. (Cette question nesera pas traitée dans ce document.)
●
Autres paramètres
Dictionnaires (Politiques de messagerie > Dictionnaires)
Activer et consulter le dictionnaire Profanity et Sexual_Content●
Créer un dictionnaire Executive_FED pour la détection des e-mails falsifiés, inclure tous lesnoms de dirigeants
●
Créer des dictionnaires/dictionnaires supplémentaires pour les mots clés restreints ou autres,selon les besoins de vos stratégies, de votre environnement, de votre contrôle de sécurité
●
Contrôles de destination (Politiques de messagerie > Contrôles de destination)
Pour le domaine par défaut, activez TLS en définissant sur Préféré●
Vous pouvez ajouter des destinations pour les domaines de messagerie Web et définir desseuils inférieurs
●
Pour plus d'informations, consultez notre guide Limite de débit de votre propre courrier sortantavec les paramètres de contrôle de la destination.
●
Filtres de contenu
Remarque: Pour obtenir des informations complètes sur les filtres de contenu, reportez-vousau Guide d'utilisation de la version appropriée d'AsyncOS for Email Security exécutée survotre ESA. Exemple : AsyncOS 10.0 : Filtres de contenu
Les filtres de contenu suivants ont été suggérés dans la section Politiques de messagerie entranteet Politiques de messagerie sortante. Veuillez vérifier et ajouter si vous avez suivi les conseils dece guide.
Filtres de contenu entrants
URL_QUARANTINE_MALICIEUX
Condition : Réputation d'URL ; url-réputation(-10.00, -6.00, « bypass_urls », 1, 1)
Action : Quarantaine : quarantaine(« URL_MALICIEUSE »)
URL_REWRITE_SUSPICIEUX
Condition : Réputation d'URL ; url-réputation(-5.90, -5.60, « bypass_urls », 0, 1)
Action : Réputation d'URL ; url-réputation-proxy-redirect(-5.90, -5.60, »« ,0)
URL_INAPPROPRIÉE
Condition : Catégorie URL ; URL (['Adult', 'Child Abuse Content', 'Extreme', 'Hate Speech', 'IllegalActivities', 'Illegal Downloads', 'Illegal Drugs', 'Pornography', 'Filter Avoidance'], « bypass_urls », 1,1)
Action : Quarantaine ; duplication-quarantaine(« INAPPROPRIATE_CONTENT »)
ÉCHEC_DKIM
Condition : Authentification DKIM ; dkim-authentication == « hardfail »
Action : Quarantaine ; duplication-quarantaine(« DKIM_FAIL »)
SPF_HARDFAIL
Condition : Vérification SPF ; spf-status == « échec »
Action : Quarantaine ; duplication-quarantaine(« SPF_HARDFAIL »)
EXÉCUTIVE_SPOOF
Condition : Détection des e-mails falsifiés ; détection des e-mails falsifiés (« Executive_FED », 90,"")
Condition : Autre en-tête ; header(« X-IronPort-SenderGroup ») != "(?i)allowspoof »
* définir Règle d'application : Uniquement si toutes les conditions correspondent
Action : Ajouter/Modifier un en-tête ; modifier-en-tête-texte(« Objet », "(.*)« , "[EXTERNE]\\1 »)
Action : Quarantaine ; duplication-quarantaine(« FORGED_EMAIL »)
DOMAINE_SPOOF
Condition : Autre en-tête ; header(« Spoof »)
Action : Quarantaine ; duplication-quarantaine(« ANTI_SPOOF »)
DTS
Condition : Réputation de domaine ; réputation_sdr (['awful'], "")
Condition : Réputation de domaine ; sdr-age (« days », <, 5, "")
* définir Règle d'application : Si une ou plusieurs conditions correspondent
Action : Quarantaine ; duplication-quarantaine(« SDR_DATA »)
TG_RATE_LIMITE
Condition : Autre en-tête ; en-tête (« X-TG-RATELIMIT »)
Action : Ajouter une entrée de journal ; log-entry(« X-TG-RATELIMIT: $filenames »)
BLOCKLIST_QUARANTAINE
Condition : (Aucune)
Action : Quarantaine ; quarantaine(« BLOCKLIST »)
Filtres de contenu sortant
TG_OUTBOUND_MALICIEUX
Condition : Autre en-tête ; en-tête (« X-TG-OUTBOUND ») == « MALWARE »
Action : Quarantaine ; quarantaine(« TG_OUTBOUND_MALWARE »)
En-tête_Secret_Bande
Condition : Autre en-tête ; en-tête(« PLACEHOLDER ») == « PLACEHOLDER »
Action : En-tête de bande ; en-tête de bande (« X-IronPort-Locant »)
EXTERNAL_SENDER_REMOVE
Condition : (Aucune)
Action : Ajouter/Modifier un en-tête ; modifier-en-texte(« Subject », "\\[EXTERNAL\\]\\s ? », "")
ACCOUNT_TAKEOVER
Condition : Autre en-tête ; en-tête(« X-AMP-Result ») == "(?i)malveillant »
Condition : Réputation d'URL ; url-réputation(-10.00, -6.00, "« , 1, 1)
*Définir Règle d'application : Si une ou plusieurs conditions correspondent
Action : Notify ; notify ("[email protected]« , « POSSIBLE ACCOUNT TAKEOVER », "« , «ACCOUNT_TAKEOVER_WARNING »)
Action : duplication-quarantaine(« ACCOUNT_TAKEOVER »)
Pour les clients CES, nous avons des exemples de filtres de contenu inclus dans la configurationpréchargée des meilleures pratiques. Veuillez consulter les filtres « SAMPLE_ » pour plusd'informations sur les conditions et les actions associées qui peuvent être utiles dans votreconfiguration.
Cisco Live
Cisco Live accueille de nombreuses sessions à l'échelle mondiale et propose des sessions enpersonne et des sessions techniques qui couvrent les meilleures pratiques de sécurité de lamessagerie électronique Cisco. Pour les sessions précédentes et les accès, visitez ciscolive.com:
Sécurité de la messagerie Cisco : Meilleures pratiques et réglage précis - BRKSEC-2131●
DMARCate Your Email Perimeter - BRKSEC-2131●
Correction d'un e-mail ! - Dépannage avancé de la sécurité de la messagerie Cisco -BRKSEC-3265
●
Intégrations API pour la sécurité de la messagerie Cisco - DEVNET-2326●
Sécurisation des services de boîte aux lettres SaaS avec la sécurité de la messagerie ennuage de Cisco - BRKSEC-1025
●
Sécurité de la messagerie : Meilleures pratiques et réglage précis - TECSEC-2345●
250 not OK - La sécurité de la messagerie Cisco - TECSEC-2345●
Protection du domaine Cisco et protection avancée contre l'hameçonnage Cisco : Exploitezpleinement la couche suivante de la sécurité de la messagerie ! - BRKSEC-1243
●
SPF n'est pas un acronyme pour « Spoof » ! Exploitons pleinement la couche suivante de lasécurité de la messagerie ! - DGTL-BRKSEC-2327
●
Informations connexes
Contrat de licence utilisateur final CES●
Conditions de l'offre cloud Cisco > CES, CRES, DMP, APP et CMD●
Termes du cloud universel Cisco●
Assistance et téléchargements Cisco●
[EXTERNE] OpenSPF : Informations de base et avancées SPF●
[EXTERNE] Authentification avec SPF : -tout ou ~tout●