Que signifie le message d'avertissement « Attaque potentielle de collecte d'annuaire détectée » ?
Introduction
Ce document décrit le message d'erreur « Potential Directory Harvest Attack » tel qu'il a été reçu sur le dispositif de sécurité de la messagerie Cisco (ESA).
Que signifie le message d'avertissement « Attaque potentielle de collecte d'annuaire détectée » ?
Les administrateurs de l'ESA ont reçu le message d'avertissement DHAP (Directory Harvest Attack Prevention) suivant :
The Warning message is:
Potential Directory Harvest Attack detected. See the system mail logs for more
information about this attack.
Version: 8.0.1-023
Serial Number: XXBAD1112DYY-008X011
Timestamp: 22 Sep 2014 21:21:32 -0600
Ces alertes sont considérées comme informatives et vous ne devez pas entreprendre d'action. Un serveur de messagerie externe a tenté d'envoyer trop de destinataires non valides et a déclenché l'alerte DHAP (Directory Harvest Attack Prevention). L'ESA agit comme configuré en fonction de la configuration de la stratégie de messagerie.
Il s'agit du nombre maximal de destinataires non valides par heure que l'écouteur recevra d'un hôte distant. Ce seuil représente le nombre total de refus RAT et de refus de serveur d'appels anticipés SMTP combinés au nombre total de messages destinés à des destinataires LDAP non valides abandonnés dans la conversation SMTP ou renvoyés dans la file d'attente de travail (comme configuré dans les paramètres d'acceptation LDAP sur l'écouteur associé). Pour plus d'informations sur la configuration de DHAP pour les requêtes d'acceptation LDAP, consultez le chapitre "LDAP Queries" du Guide de l'utilisateur de la sécurité du courrier électronique.
Vous pouvez ajuster votre profil d'alerte avec alertconfig pour filtrer ces alertes si vous ne souhaitez pas recevoir ces alertes :
myesa.local> alertconfig
Sending alerts to:
robert@domain.com
Class: All - Severities: All
Initial number of seconds to wait before sending a duplicate alert: 300
Maximum number of seconds to wait before sending a duplicate alert: 3600
Maximum number of alerts stored in the system are: 50
Alerts will be sent using the system-default From Address.
Cisco IronPort AutoSupport: Enabled
You will receive a copy of the weekly AutoSupport reports.
Choose the operation you want to perform:
- NEW - Add a new email address to send alerts.
- EDIT - Modify alert subscription for an email address.
- DELETE - Remove an email address.
- CLEAR - Remove all email addresses (disable alerts).
- SETUP - Configure alert settings.
- FROM - Configure the From Address of alert emails.
[]> edit
Please select the email address to edit.
1. robert@domain.com (all)
[]> 1
Choose the Alert Class to modify for "robert@domain.com".
Press Enter to return to alertconfig.
1. All - Severities: All
2. System - Severities: All
3. Hardware - Severities: All
4. Updater - Severities: All
5. Outbreak Filters - Severities: All
6. Anti-Virus - Severities: All
7. Anti-Spam - Severities: All
8. Directory Harvest Attack Prevention - Severities: All
Ou dans l'interface GUI System Administration > Alerts > Recipient Address et modifiez le niveau de gravité reçu ou l'alerte dans son intégralité.
IUG
Pour afficher vos paramètres de configuration DHAP à partir de l'interface utilisateur graphique, cliquez sur Politiques de messagerie > Politiques de flux de messagerie > Cliquez sur le Nom de la stratégie pour modifier ou sur Paramètres de stratégie par défaut > et apportez les modifications nécessaires à la section Limites de flux de messagerie/Prévention des attaques par collecte de répertoire (DHAP) :
Envoyez et validez vos modifications dans l'interface utilisateur graphique.
CLI
Pour afficher vos paramètres de configuration DHAP à partir de l'interface de ligne de commande, utilisez listenerconfig > edit (en choisissant le numéro de l'écouteur à modifier) > hostaccess > default pour modifier les paramètres DHAP :
Default Policy Parameters
==========================
Maximum Message Size: 10M
Maximum Number Of Concurrent Connections From A Single IP: 10
Maximum Number Of Messages Per Connection: 10
Maximum Number Of Recipients Per Message: 50
Directory Harvest Attack Prevention: Enabled
Maximum Number Of Invalid Recipients Per Hour: 25
Maximum Number Of Recipients Per Hour: Disabled
Maximum Number of Recipients per Envelope Sender: Disabled
Use SenderBase for Flow Control: Yes
Spam Detection Enabled: Yes
Virus Detection Enabled: Yes
Allow TLS Connections: No
Allow SMTP Authentication: No
Require TLS To Offer SMTP authentication: No
DKIM/DomainKeys Signing Enabled: No
DKIM Verification Enabled: No
SPF/SIDF Verification Enabled: No
DMARC Verification Enabled: No
Envelope Sender DNS Verification Enabled: No
Domain Exception Table Enabled: No
Accept untagged bounces: No
There are currently 5 policies defined.
There are currently 8 sender groups.
Choose the operation you want to perform:
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- MOVE - Move an entry.
- DEFAULT - Set the defaults.
- PRINT - Display the table.
- IMPORT - Import a table from a file.
- EXPORT - Export the table to a file.
- RESET - Remove senders and set policies to system default.
[]> default
Enter the default maximum message size. Add a trailing k for kilobytes, M for
megabytes, or no letter for bytes.
[10M]>
Enter the maximum number of concurrent connections allowed from a single
IP address.
[10]>
Enter the maximum number of messages per connection.
[10]>
Enter the maximum number of recipients per message.
[50]>
Do you want to override the hostname in the SMTP banner? [N]>
Would you like to specify a custom SMTP acceptance response? [N]>
Would you like to specify a custom SMTP rejection response? [N]>
Do you want to enable rate limiting per host? [N]>
Do you want to enable rate limiting per envelope sender? [N]>
Do you want to enable Directory Harvest Attack Prevention per host? [Y]>
Enter the maximum number of invalid recipients per hour from a remote host.
[25]>
Select an action to apply when a recipient is rejected due to DHAP:
1. Drop
2. Code
[1]>
Would you like to specify a custom SMTP DHAP response? [Y]>
Enter the SMTP code to use in the response. 550 is the standard code.
[550]>
Enter your custom SMTP response. Press Enter on a blank line to finish.
Would you like to use SenderBase for flow control by default? [Y]>
Would you like to enable anti-spam scanning? [Y]>
Would you like to enable anti-virus scanning? [Y]>
Do you want to allow encrypted TLS connections?
1. No
2. Preferred
3. Required
4. Preferred - Verify
5. Required - Verify
[1]>
Would you like to enable DKIM/DomainKeys signing? [N]>
Would you like to enable DKIM verification? [N]>
Would you like to change SPF/SIDF settings? [N]>
Would you like to enable DMARC verification? [N]>
Would you like to enable envelope sender verification? [N]>
Would you like to enable use of the domain exception table? [N]>
Do you wish to accept untagged bounces? [N]>
Si vous effectuez des mises à jour ou des modifications, revenez à l'invite de l'interface de ligne de commande principale et validez toutes les modifications.
Informations connexes
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
14-Oct-2014 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)