Localisation des informations d'alerte DHAP sur l'ESA

Options de téléchargement

  • PDF     (299.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (130.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (114.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:23 avril 2015
ID du document:118936

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment rechercher des informations relatives aux alertes DHAP (Directory Harvest Attack Prevention) sur votre appliance de sécurité de la messagerie Cisco (ESA).

Localisation des occurrences DHAP à partir de l'ESA

Les entrées qui décrivent l'événement DHAP résident dans les journaux de messagerie. Voici un exemple d'entrée de journal de messagerie en cas de DHAP :

Tue Oct 18 00:25:35 2005 Warning: LDAP: Dropping connection due to potential Directory
 Harvest Attack from host=(192.168.10.1', None), dhap_limit=4, sender_group=SUSPECTLIST

Remarque : par défaut, le masque de réseau /24 est recherché dans la recherche.

Entrez cette requête dans la CLI afin d'afficher les journaux de messagerie :

myesa.local> grep "dhap_limit=" mail_logs

Les compteurs DHAP incluent à la fois les refus de la table d'accès aux destinataires (TAD) et les refus de requête d'acceptation LDAP (Lightweight Directory Access Protocol). Les paramètres DHAP sont configurés dans la stratégie de flux de messages.

Afficher ou mettre à jour la configuration DHAP depuis l'interface utilisateur graphique

Complétez ces étapes afin d'afficher ou de modifier vos paramètres de configuration DHAP à partir de l'interface utilisateur graphique :

  1. Accédez à Politiques de messagerie > Politiques de flux de messagerie.

  2. Cliquez sur le nom de la stratégie afin d'effectuer des modifications, ou cliquez sur Paramètres de stratégie par défaut afin d'afficher la configuration DHAP actuelle.

  3. Modifiez la section Directory Harvest Attack Prevention (DHAP) si nécessaire :



  4. Cliquez sur Submit, puis sur Commit afin d'enregistrer vos modifications.

Afficher ou mettre à jour la configuration DHAP à partir de la CLI

Afin d'afficher ou de modifier vos paramètres de configuration DHAP à partir de l'interface de ligne de commande, entrez la commande listenerconfig > edit [listener number] > hostaccess > default :

Default Policy Parameters
==========================
Maximum Message Size: 10M
Maximum Number Of Concurrent Connections From A Single IP: 10
Maximum Number Of Messages Per Connection: 10
Maximum Number Of Recipients Per Message: 50
Directory Harvest Attack Prevention: Enabled
Maximum Number Of Invalid Recipients Per Hour: 25
Maximum Number Of Recipients Per Hour: Disabled
Maximum Number of Recipients per Envelope Sender: Disabled
Use SenderBase for Flow Control: Yes 
Spam Detection Enabled: Yes
Virus Detection Enabled: Yes
Allow TLS Connections: No
Allow SMTP Authentication: No
Require TLS To Offer SMTP authentication: No
DKIM/DomainKeys Signing Enabled: No
DKIM Verification Enabled: No
SPF/SIDF Verification Enabled: No
DMARC Verification Enabled: No
Envelope Sender DNS Verification Enabled: No
Domain Exception Table Enabled: No
Accept untagged bounces: No

There are currently 5 policies defined.
There are currently 8 sender groups.

Choose the operation you want to perform:
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- MOVE - Move an entry.
- DEFAULT - Set the defaults.
- PRINT - Display the table.
- IMPORT - Import a table from a file.
- EXPORT - Export the table to a file.
- RESET - Remove senders and set policies to system default.
[]> default

Enter the default maximum message size. Add a trailing k for kilobytes, M for
 megabytes, or no letter for bytes. 
[10M]> 

Enter the maximum number of concurrent connections allowed from a single IP address. 
[10]> 

Enter the maximum number of messages per connection. 
[10]> 

Enter the maximum number of recipients per message. 
[50]> 

Do you want to override the hostname in the SMTP banner? [N]> 

Would you like to specify a custom SMTP acceptance response? [N]> 

Would you like to specify a custom SMTP rejection response? [N]> 

Do you want to enable rate limiting per host? [N]> 

Do you want to enable rate limiting per envelope sender? [N]> 

Do you want to enable Directory Harvest Attack Prevention per host? [Y]> 

Enter the maximum number of invalid recipients per hour from a remote host.
[25]> 

Select an action to apply when a recipient is rejected due to DHAP:
1. Drop
2. Code
[1]> 

Would you like to specify a custom SMTP DHAP response? [Y]> 

Enter the SMTP code to use in the response. 550 is the standard code.
[550]> 

Enter your custom SMTP response. Press Enter on a blank line to finish.

Would you like to use SenderBase for flow control by default? [Y]> 

Would you like to enable anti-spam scanning? [Y]> 

Would you like to enable anti-virus scanning? [Y]> 

Do you want to allow encrypted TLS connections?
1. No
2. Preferred
3. Required
4. Preferred - Verify
5. Required - Verify
[1]> 

Would you like to enable DKIM/DomainKeys signing? [N]> 

Would you like to enable DKIM verification? [N]> 

Would you like to change SPF/SIDF settings? [N]> 

Would you like to enable DMARC verification? [N]> 

Would you like to enable envelope sender verification? [N]> 

Would you like to enable use of the domain exception table? [N]> 

Do you wish to accept untagged bounces? [N]>

Si vous choisissez d'effectuer des mises à jour, veillez à revenir à l'invite de l'interface de ligne de commande principale et à valider toutes les modifications.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
23-Apr-2015
Première publication
TAC Authored

Contribution d’experts de Cisco

  • John Yu and Robert Sherwin
    Cisco TAC Engineers.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits