ESA experimenta una tormenta de rebote (NDR)

Opciones de descarga

  • PDF     (120.2 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (81.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (67.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de julio de 2021
ID del documento:117799

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe un problema encontrado en el que su dispositivo de seguridad Email Security Appliance (ESA) experimenta una tormenta de rebote y ofrece una solución al problema.

Antecedentes

Una tormenta de rebote es un efecto secundario de un trabajo en equipo o una dispersión de spam de correo electrónico.

Joe Job

Un trabajo en grupo es un ataque de spam que utiliza datos de remitentes falsificados y tiene como objetivo empañar la reputación del remitente aparente o inducir a los destinatarios a tomar medidas contra el remitente aparente.

Retrodispersión

Una retrodispersión es un efecto secundario del spam, virus y gusanos de correo electrónico en los que los servidores de correo electrónico que reciben spam y otros correos envían mensajes de rebote a una persona inocente. Esto ocurre porque el remitente original del sobre del mensaje está falsificado para contener la dirección de correo electrónico de la víctima. Dado que estos mensajes no fueron solicitados por los destinatarios, son sustancialmente similares entre sí y se envían en grandes cantidades, se consideran correo electrónico masivo no solicitado o spam. Por lo tanto, los sistemas que generan retrodispersión de correo electrónico pueden aparecer en varias listas negras del sistema de nombres de dominio (DNSBL) y violar los términos de servicio de los proveedores de servicios de Internet.

Problema

Su ESA experimenta una tormenta de rebote donde hay un aluvión de mensajes inyectados en el ESA. El recuento de conexiones entrantes alcanza su máximo durante un ataque de este tipo. El dispositivo podría desarrollar una copia de seguridad de la cola de trabajo. Para verificar si el dispositivo está sujeto a tal ataque, grep los registros de correo para la dirección de origen del correo. Los rebotes (Informes de no entrega - NDR) tienen un correo de sobre vacío Desde dirección.

ironport.com> grep -e "From:" mail_logs
Mon Oct 20 14:40:55 2008 Info: MID 10 ICID 19 From: <>
Mon Oct 20 14:40:55 2008 Info: MID 11 ICID 19 From: <>
Mon Oct 20 14:40:55 2008 Info: MID 12 ICID 19 From: <>

Un dispositivo que está sujeto a una tormenta de rebote tendrá la mayoría de los mensajes con la dirección From del correo del sobre de '<>'.

Solución

Hay varias opciones para gestionar una tormenta de rebote.

Verificación de rebote

Para combatir estos ataques de rebote mal dirigidos, AsyncOS incluye Cisco Bounce Verification.  Cuando está activada, esta función etiqueta la dirección del remitente del sobre para los mensajes enviados a través del ESA. El destinatario del sobre para cualquier mensaje de rebote recibido por el ESA se verifica para la presencia de esta etiqueta. Cuando se reciben mensajes de rebote legítimos, se elimina la etiqueta que se agregó a la dirección del remitente del sobre y se entrega el rebote al destinatario. Los mensajes de rebote que no contienen la etiqueta pueden manejarse por separado.

AsyncOS considera los rebotes como correo con una dirección From de correo nulo (<>). Los mensajes que provienen de direcciones como mailer-daemon@example.com o postmaster@example.com no son considerados rebotes por el sistema y no están sujetos a verificación de rebote.

Configurar claves de etiquetado de dirección de verificación de rebote

La lista Bounce Verification Address Tagging Keys (Claves de etiquetado de dirección de verificación de rebote) muestra la clave actual y las claves sin purgar que ha utilizado en el pasado. Para agregar una nueva clave, complete estos pasos:

  1. En el Políticas de correo > Verificación de rebote , haga clic en Nueva clave.

  2. Introduzca una cadena de texto y haga clic en Enviar.

  3. Realice los cambios.

Purgar claves

Puede purgar las claves de etiquetado de direcciones antiguas si selecciona una regla para purgar en el menú desplegable y hace clic en Purgar.

Configuración de los parámetros de verificación de rebote de Cisco

La configuración de verificación de rebote determina qué acción tomar cuando se recibe un rebote no válido.

  • Elegir Políticas de correo > Verificación de rebote.

  • Haga clic Editar configuración.

  • Seleccione si desea rechazar rebotes no válidos o agregar un encabezado personalizado al mensaje. Si desea agregar un encabezado, introduzca el nombre y el valor del encabezado.

  • De forma opcional, active las excepciones inteligentes. Esta configuración permite que los mensajes de correo entrante y los mensajes de rebote generados por los servidores de correo internos queden automáticamente exentos del procesamiento de verificación de rebote (incluso cuando se utiliza un único receptor para el correo entrante y saliente).

  • Envíe y confirme los cambios.

Configuración de la verificación de rebote de Cisco con la CLI

Puede utilizar los comandos bvconfig y destconfig en la CLI para configurar la verificación de rebote. Estos comandos se tratan en la Guía de Referencia de Cisco AsyncOS CLI.

Verificación de rebote de Cisco y configuración del clúster

La verificación de rebote funciona en una configuración de clúster siempre y cuando ambos dispositivos de Cisco utilicen la misma "clave de rebote". Cuando se utiliza la misma clave, cualquier sistema debe poder aceptar un rebote legítimo. La etiqueta/clave de encabezado modificada no es específica para cada dispositivo de Cisco.

Filtro de correo

Si no puede utilizar la verificación de rebote porque utiliza dispositivos separados para la recepción y entrega, puede configurar un filtro de mensaje para bloquear mensajes que tengan una dirección From vacía.

Bloque de correo

Dado que estos mensajes de rebote probablemente tengan una dirección de destinatario de sobre inexistente, puede bloquear direcciones no válidas a través de la validación de destinatarios del protocolo ligero de acceso a directorios (LDAP) para ayudar a reducir el impacto de tales mensajes.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
11-Jun-2014
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Jai Gill
    Cisco TAC Engineer
  • Robert Sherwin
    Cisco TAC Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos