はじめに
このドキュメントでは、ディレクトリ獲得攻撃(DHA)を防止するためのディレクトリ獲得攻撃防御(DHAP)機能についてご説明します。AsyncOS14.2.0-620の動作を基に記載しております。ESAのバージョンによって動作が異なる場合があります。
概要
DHAPはリスナーがリモート・ ホストから受け取る1時間あたりの無効な受信者の最大数を指しています。このしきい値はRAT、SMTP Call-AheadおよびLDAP受け入れクエリにより拒否された受信者数の合計です。
設定方法
管理GUI > メールポリシー > メールフローポリシー > 任意のポリシー > ディレクトリ獲得攻撃防御(DHAP)にて、「1時間あたりの無効な受信者の最大数」が設定できます。カスタマイズする場合、最大10000まで指定可能です。
ログの出力例
ESAはDHAPしきい値に到達しますとそれ以降の受信者に対し、受信者メールアドレスの存在有無を問わずリモート・ホストからの接続をドロップし、送信元へエラー「550 Too many invalid recipients」を返します。
Mail Logs
Sun Jan 8 13:47:04 2023 Info: New SMTP ICID 191 interface Management (*.*.*.*) address *.*.*.* reverse dns host unknown verified no
Sun Jan 8 13:47:04 2023 Info: ICID 191 ACCEPT SG ALLOWED_LIST match sbrs[none] SBRS rfc1918 country not applicable
Sun Jan 8 13:47:12 2023 Info: Start MID 72 ICID 191
Sun Jan 8 13:47:12 2023 Info: MID 72 ICID 191 From: <*@*.*>
Sun Jan 8 13:47:25 2023 Info: MID 72 ICID 191 To: <*@*.*> Rejected by RAT
Sun Jan 8 13:47:44 2023 Info: MID 72 ICID 191 To: <*@*.*> Rejected by RAT
Sun Jan 8 13:48:00 2023 Info: MID 72 ICID 191 To: <*@*.*> Rejected by RAT
Sun Jan 8 13:48:00 2023 Warning: Dropping connection due to potential Directory Harvest Attack from host=('*.*.*.*', *.*),dhap_limit=2, sender_group=ALLOWED_LIST, listener=xxxxxxx, reverse_dns=*.*.*.*, ICID 191
Sun Jan 8 13:48:00 2023 Warning: Potential Directory Harvest Attack detected. See the system mail logs for more information about this attack.
Sun Jan 8 13:48:00 2023 Info: ICID 191 close
本機能が解除されるタイミングはリモート・ホストから一つ目の無効な受信者が検知された1時間後になります。
参考ドキュメント
User Guide for AsyncOS 14.2 for Cisco Secure Email Gateway
https://www.cisco.com/c/en/us/td/docs/security/esa/esa14-2/user_guide/b_ESA_Admin_Guide_14-2/b_ESA_Admin_Guide_12_1_chapter_0110.html?bookSearch=true
What does the "Potential Directory Harvest Attack detected" warning message mean?https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118496-technote-esa-00.html