Cisco Cisco Email Security Appliance C190 User Guide

Cisco AsyncOS 9.1 for Email 사용 설명서

25 장     LDAP 쿼리

  LDAP를 사용하여 디렉토리 수집 공격 방지

작업 큐 내에서 디렉토리 수집 공격 방지

RTA(Recipient Access Table)에 도메인만 입력하고 작업 큐 내에서 LDAP 수락 검증을 수행하여 대
부분의 DHA를 방지할 수 있습니다. 이 기술은 악의적인 발신자가 SMTP 대화 도중에 수신자가 유
효한지 여부를 파악하는 것을 방지합니다. (수락 쿼리가 구성된 경우, 시스템은 메시지를 수락한 
다음 작업 큐 내에서 LDAP 수락 검증을 수행합니다.) 그러나 메시지의 봉투 발신자는 수신자가 유
효하지 않은 경우에도 바운스 메시지를 여전히 수신합니다.

관련 주제

작업 큐에서 디렉토리 수집 방지 구성

디렉토리 수집 공격을 방지하려면 먼저, LDAP 서버 프로파일을 구성하고 LDAP 수락을 활성화해
야 합니다. LDAP 수락 쿼리를 활성화한 후 리스너에서 수락 쿼리를 사용하고 일치하지 않는 수신
자에 대한 메일을 바운스하도록 구성합니다.

그림

일치하지

않는

수신자에

대한

메시지를

바운스하도록

수락

쿼리

구성

다음으로, 시스템이 특정 기간 동안 IP 주소를 전송할 때마다 허용할 올바르지 않은 수신자 주소의 
수를 지정하도록 메일 흐름 정책을 구성합니다. 이 수를 초과하는 경우, 시스템은 이 상태를 DHA
로 식별하고 알림 메시지를 전송합니다. 알림 메시지에는 다음 정보가 포함됩니다. 

시스템은 메일 흐름 정책에 지정한 임계값까지 메시지를 바운스한 다음 나머지를 자동으로 수락
하고 삭제합니다. 이를 통해 올바른 발신자에게 해당 주소가 불량하다고 알리고 악의적인 발신자
가 어떤 메시지가 수락되었는지 판별하는 것을 방지할 수 있습니다.

이러한 유효하지 않은 수신자를 카운터하는 기능은 AsyncOS에서 현재 사용 가능한 속도 제한과 
유사한 방식입니다. 이 기능을 활성화하고 공용 리스너의 HAT(HAT에 대한 기본 메일 흐름 정책 포
함)에서 메일 흐름 정책을 설정하는 방법의 하나로서 한계값을 지정합니다. 

예를 들어 공용 리스너의 HAT에서 메일 흐름 정책 생성 또는 편집 시 CLI(

listenerconfig -> edit 

-> hostaccess -> default | new

 명령)에서 다음 질문이 포함된 프롬프트가 표시됩니다.

LDAP: Potential Directory Harvest Attack from host=('IP-address', 'domain_name'), 

dhap_limit=n, sender_group=sender_group, 

listener=listener_name, reverse_dns=(reverse_IP_address, 'domain_name', 1), 

sender=envelope_sender, rcpt=envelope_recipients

Do you want to enable Directory Harvest Attack Prevention per host?   [Y]> y

Enter the maximum number of invalid recipients per hour from a remote host.

[25]>