概要
このドキュメントでは、ディレクトリ獲得攻撃(DHA)を防止するために、Cisco E メール セキュリティ アプライアンス(ESA)のディレクトリ獲得攻撃防止(DHAP)機能を有効化する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、AsyncOS のすべてのバージョンに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
DHAは、スパマーが有効な電子メールアドレスを見つけるために使用する技術です。DHAがターゲットとするアドレスを生成するために使用される主な手法は2つあります。
- スパマーは、文字と数字のすべての可能な組み合わせのリストを作成し、ドメイン名を追加します。
- スパマーは標準的な辞書攻撃を使用し、一般的な名、姓、イニシャルを組み合わせたリストを作成します。
DHAPは、Lightweight Directory Access Protocol(LDAP)受け入れ検証が使用されるときに有効にできる、Ciscoコンテンツセキュリティアプライアンスでサポートされている機能です。DHAP機能は、特定の送信者からの無効な受信者アドレスの数を追跡します。
送信者が管理者が定義したしきい値を超えると、その送信者は信頼できないものとみなされ、その送信者からのメールはネットワーク設計要件(NDR)やエラーコードの生成なしでブロックされます。しきい値は、送信者のレピュテーションに基づいて設定できます。たとえば、信頼できない送信者や疑わしい送信者のDHAPしきい値は低く、信頼できる送信者や信頼できる送信者のDHAPしきい値は高くなります。
DHAPの有効化
DHAP機能を有効にするには、コンテンツセキュリティアプライアンスGUIから[Mail Policies] > [Host Access Table (HAT)] に移動し、[Mail Flow Policies] を選択します。[Policy Name] 列から、編集するポリシーを選択します。
HATには、リモートホストからの接続に応じて動作するために使用される4つの基本アクセスルールがあります。
- ACCEPT:接続は受け入れられ、電子メールの受け入れはリスナー設定によってさらに制限されます。これには、受信者アクセステーブル(パブリックリスナー用)が含まれます。
- REJECT:接続は最初は受け入れられますが、接続を試みるクライアントは4XXまたは5XXグリーティングを受信します。どの電子メールも許可されません。
- TCPREFUSE:接続はTCPレベルで拒否されます。
- リレー:接続が受け入れられます。受信者に対する受信は許可され、受信者アクセステーブルによって制限されません。ドメインキー署名は、中継メールフローポリシーでのみ使用できます。
選択したポリシーの[Mail Flow Limits] セクションで、[Max] を設定して[Directory Harvest Attack Prevention (DHAP)] 設定を見つけて設定します。1時間あたりの受信者が無効です。Max.1時間あたりの受信者コードと最大受信者数必要に応じて、1時間あたりの受信者のテキストが無効です。
追加のポリシーに対してDHAPを設定するには、このセクションを繰り返す必要があります。
GUIですべての変更を送信し、確定したことを確認します。
注:[Maximum number of invalid recipients per hour from a remote host] 設定には、5から10までの最大数を使用することをお勧めします。
注:詳細については、シスコサポートポータルの『AsyncOSユーザガイド』を参照してください。