Was bedeutet die Warnmeldung "Potenzieller Directory Harvest-Angriff erkannt"?

Download-Optionen

  • PDF     (302.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (133.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (121.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:14. Oktober 2014
Dokument-ID:118496

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Fehlermeldung "Potenzial Directory Harvest Attack" (Potenzieller Directory Harvest-Angriff) beschrieben, die auf der Cisco E-Mail Security Appliance (ESA) ausgegeben wird.

 

Was bedeutet die Warnmeldung "Potenzieller Directory Harvest-Angriff erkannt"?

Administratoren der ESA haben die folgende DHAP-Warnmeldung (Directory Harvest Attack Prevention) erhalten:

The Warning message is:

Potential Directory Harvest Attack detected. See the system mail logs for more
information about this attack.

Version: 8.0.1-023
Serial Number: XXBAD1112DYY-008X011
Timestamp: 22 Sep 2014 21:21:32 -0600

Diese Warnmeldungen werden als informativ angesehen, und Sie sollten keine Maßnahmen ergreifen müssen. Ein externer Mailserver hat zu viele ungültige Empfänger versucht und die DHAP-Warnung (Directory Harvest Attack Prevention) ausgelöst. Die ESA agiert entsprechend der Konfiguration der Mail-Policy.  

Dies ist die maximale Anzahl ungültiger Empfänger pro Stunde, die der Listener von einem Remotehost empfängt. Dieser Schwellenwert stellt die Gesamtzahl der RAT-Ablehnungen und SMTP-Call-Ahead-Serverablehungen zusammen mit der Gesamtzahl der Nachrichten an ungültige LDAP-Empfänger dar, die in der SMTP-Konversation verworfen oder in der Arbeitswarteschlange zurückgesendet wurden (wie in den LDAP-Accept-Einstellungen auf dem zugehörigen Listener konfiguriert). Weitere Informationen zur Konfiguration von DHAP für LDAP Accept-Abfragen finden Sie im Kapitel "LDAP Queries" im Email Security User Guide

Sie können Ihr Warnprofil mit alertconfig anpassen, um diese herauszufiltern, wenn Sie diese Warnmeldungen nicht erhalten möchten:

myesa.local> alertconfig

Sending alerts to:
 robert@domain.com
 Class: All - Severities: All

Initial number of seconds to wait before sending a duplicate alert: 300
Maximum number of seconds to wait before sending a duplicate alert: 3600
Maximum number of alerts stored in the system are: 50

Alerts will be sent using the system-default From Address.

Cisco IronPort AutoSupport: Enabled
You will receive a copy of the weekly AutoSupport reports.

Choose the operation you want to perform:
- NEW - Add a new email address to send alerts.
- EDIT - Modify alert subscription for an email address.
- DELETE - Remove an email address.
- CLEAR - Remove all email addresses (disable alerts).
- SETUP - Configure alert settings.
- FROM - Configure the From Address of alert emails.
[]> edit

Please select the email address to edit.
1. robert@domain.com (all)
[]> 1

Choose the Alert Class to modify for "robert@domain.com".
Press Enter to return to alertconfig.
1. All - Severities: All
2. System - Severities: All
3. Hardware - Severities: All
4. Updater - Severities: All
5. Outbreak Filters - Severities: All
6. Anti-Virus - Severities: All
7. Anti-Spam - Severities: All
8. Directory Harvest Attack Prevention - Severities: All

Sie können auch die Menüoption GUI System Administration > Alerts > Recipient Address (Systemverwaltung > Warnungen > Empfängeradresse) verwenden, und den empfangenen Schweregrad oder die gesamte Warnmeldung ändern.  

GUI

Um Ihre DHAP-Konfigurationsparameter über die GUI anzuzeigen, klicken Sie auf Mail-Policys > Mail-Flow-Policys > Klicken Sie auf den Richtliniennamen, der bearbeitet werden soll, oder auf Standard-Policy-Parameter > und nehmen Sie je nach Bedarf Änderungen am Abschnitt Mail-Flow-Limits/DHAP (Directory Harvest Attack Prevention) vor:

Senden und bestätigen Sie Ihre Änderungen an der GUI.

CLI

Um Ihre DHAP-Konfigurationsparameter über die CLI anzuzeigen, verwenden Sie listenerconfig > edit (Auswählen der Nummer des zu bearbeitenden Listeners) > hostaccess > default, um die DHAP-Einstellungen zu bearbeiten:

Default Policy Parameters
==========================
Maximum Message Size: 10M
Maximum Number Of Concurrent Connections From A Single IP: 10
Maximum Number Of Messages Per Connection: 10
Maximum Number Of Recipients Per Message: 50
Directory Harvest Attack Prevention: Enabled
Maximum Number Of Invalid Recipients Per Hour: 25
Maximum Number Of Recipients Per Hour: Disabled
Maximum Number of Recipients per Envelope Sender: Disabled
Use SenderBase for Flow Control: Yes 
Spam Detection Enabled: Yes
Virus Detection Enabled: Yes
Allow TLS Connections: No
Allow SMTP Authentication: No
Require TLS To Offer SMTP authentication: No
DKIM/DomainKeys Signing Enabled: No
DKIM Verification Enabled: No
SPF/SIDF Verification Enabled: No
DMARC Verification Enabled: No
Envelope Sender DNS Verification Enabled: No
Domain Exception Table Enabled: No
Accept untagged bounces: No

There are currently 5 policies defined.
There are currently 8 sender groups.

Choose the operation you want to perform:
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- MOVE - Move an entry.
- DEFAULT - Set the defaults.
- PRINT - Display the table.
- IMPORT - Import a table from a file.
- EXPORT - Export the table to a file.
- RESET - Remove senders and set policies to system default.
[]> default

Enter the default maximum message size. Add a trailing k for kilobytes, M for
megabytes, or no letter for bytes. 
[10M]> 

Enter the maximum number of concurrent connections allowed from a single
IP address. 
[10]> 

Enter the maximum number of messages per connection. 
[10]> 

Enter the maximum number of recipients per message. 
[50]> 

Do you want to override the hostname in the SMTP banner? [N]> 

Would you like to specify a custom SMTP acceptance response? [N]> 

Would you like to specify a custom SMTP rejection response? [N]> 

Do you want to enable rate limiting per host? [N]> 

Do you want to enable rate limiting per envelope sender? [N]> 

Do you want to enable Directory Harvest Attack Prevention per host? [Y]> 

Enter the maximum number of invalid recipients per hour from a remote host.
[25]> 

Select an action to apply when a recipient is rejected due to DHAP:
1. Drop
2. Code
[1]> 

Would you like to specify a custom SMTP DHAP response? [Y]> 

Enter the SMTP code to use in the response. 550 is the standard code.
[550]> 

Enter your custom SMTP response. Press Enter on a blank line to finish.

Would you like to use SenderBase for flow control by default? [Y]> 

Would you like to enable anti-spam scanning? [Y]> 

Would you like to enable anti-virus scanning? [Y]> 

Do you want to allow encrypted TLS connections?
1. No
2. Preferred
3. Required
4. Preferred - Verify
5. Required - Verify
[1]> 

Would you like to enable DKIM/DomainKeys signing? [N]> 

Would you like to enable DKIM verification? [N]> 

Would you like to change SPF/SIDF settings? [N]> 

Would you like to enable DMARC verification? [N]> 

Would you like to enable envelope sender verification? [N]> 

Would you like to enable use of the domain exception table? [N]> 

Do you wish to accept untagged bounces? [N]>

Wenn Sie Aktualisierungen oder Änderungen vornehmen, kehren Sie zur Haupt-CLI-Eingabeaufforderung zurück, und bestätigen Sie alle Änderungen.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
14-Oct-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Mark Strasheim and Robert Sherwin
    Cisco TAC Engineers.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.