はじめに

このドキュメントでは、ディレクトリ獲得攻撃（DHA）を防止するためのディレクトリ獲得攻撃防御（DHAP）機能についてご説明します。AsyncOS14.2.0-620の動作を基に記載しております。ESAのバージョンによって動作が異なる場合があります。

概要

DHAPはリスナーがリモート・ ホストから受け取る1時間あたりの無効な受信者の最大数を指しています。このしきい値はRAT、SMTP Call-AheadおよびLDAP受け入れクエリにより拒否された受信者数の合計です。

設定方法

管理GUI ＞ メールポリシー ＞ メールフローポリシー ＞ 任意のポリシー ＞ ディレクトリ獲得攻撃防御(DHAP)にて、「1時間あたりの無効な受信者の最大数」が設定できます。カスタマイズする場合、最大10000まで指定可能です。

ログの出力例

ESAはDHAPしきい値に到達しますとそれ以降の受信者に対し、受信者メールアドレスの存在有無を問わずリモート・ホストからの接続をドロップし、送信元へエラー「550 Too many invalid recipients」を返します。

Mail Logs

Sun Jan  8 13:47:04 2023 Info: New SMTP ICID 191 interface Management (*.*.*.*) address *.*.*.* reverse dns host unknown verified no
Sun Jan  8 13:47:04 2023 Info: ICID 191 ACCEPT SG ALLOWED_LIST match sbrs[none] SBRS rfc1918 country not applicable
Sun Jan  8 13:47:12 2023 Info: Start MID 72 ICID 191
Sun Jan  8 13:47:12 2023 Info: MID 72 ICID 191 From: <*@*.*>
Sun Jan  8 13:47:25 2023 Info: MID 72 ICID 191 To: <*@*.*> Rejected by RAT
Sun Jan  8 13:47:44 2023 Info: MID 72 ICID 191 To: <*@*.*> Rejected by RAT
Sun Jan  8 13:48:00 2023 Info: MID 72 ICID 191 To: <*@*.*> Rejected by RAT
Sun Jan  8 13:48:00 2023 Warning: Dropping connection due to potential Directory Harvest Attack from host=('*.*.*.*', *.*),dhap_limit=2, sender_group=ALLOWED_LIST, listener=xxxxxxx, reverse_dns=*.*.*.*, ICID 191
Sun Jan  8 13:48:00 2023 Warning: Potential Directory Harvest Attack detected.  See the system mail logs for more information about this attack.
Sun Jan  8 13:48:00 2023 Info: ICID 191 close

本機能が解除されるタイミングはリモート・ホストから一つ目の無効な受信者が検知された1時間後になります。

参考ドキュメント

User Guide for AsyncOS 14.2 for Cisco Secure Email Gateway
https://www.cisco.com/c/en/us/td/docs/security/esa/esa14-2/user_guide/b_ESA_Admin_Guide_14-2/b_ESA_Admin_Guide_12_1_chapter_0110.html?bookSearch=true

What does the "Potential Directory Harvest Attack detected" warning message mean?https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118496-technote-esa-00.html