Introduction
Este documento descreve um problema encontrado no qual o ESA (Email Security Appliance) enfrenta uma tempestade de devolução e oferece uma solução para o problema.
Informações de Apoio
Uma tempestade de devolução é um efeito colateral de um trabalho joe ou de uma dispersão de spam de e-mail.
Joe Job
Um trabalho de joe é um ataque de spam que usa dados de remetente falsificados e tem como objetivo manchar a reputação do remetente aparente e/ou induzir os destinatários a tomar medidas contra o remetente aparente.
Backscatter
Uma backscatter é um efeito colateral de spam de e-mail, vírus e worms em que os servidores de e-mail que recebem spam e outros e-mails enviam mensagens de devolução para uma pessoa inocente. Isso ocorre porque o remetente do envelope de mensagem original é forjado para conter o endereço de e-mail da vítima. Como essas mensagens não foram solicitadas pelos destinatários, são substancialmente semelhantes entre si e são entregues em grande quantidade, elas se qualificam como e-mail em massa ou spam não solicitado. Como tal, os sistemas que geram backscatter de e-mail podem ser listados em várias DNSBLs (Domain Name System Blacklists, listas negras do sistema de nomes de domínio) e violar os Termos de serviço dos provedores de serviços de Internet.
Problema
Seu ESA experimenta uma tempestade de devolução em que há um dilúvio de mensagens injetadas no ESA. A contagem de conexões de entrada pica durante tal ataque. O dispositivo pode desenvolver um backup de fila de trabalho. Para verificar se o dispositivo está sujeito a tal ataque, remova os logs de e-mail do endereço de remetente do e-mail. Os devoluções (relatórios de não entrega - NDRs) têm um endereço de e-mail de envelope vazio.
ironport.com> grep -e "From:" mail_logs
Mon Oct 20 14:40:55 2008 Info: MID 10 ICID 19 From: <>
Mon Oct 20 14:40:55 2008 Info: MID 11 ICID 19 From: <>
Mon Oct 20 14:40:55 2008 Info: MID 12 ICID 19 From: <>
Um aplicativo sujeito a uma tempestade de devolução terá a maioria das mensagens com o endereço de email do envelope De '<>'.
Solução
Há várias opções para gerenciar uma tempestade de devolução.
Verificação de devolução
Para combater esses ataques de devolução mal direcionados, o AsyncOS inclui a verificação de devolução da Cisco. Quando habilitado, esse recurso marca o endereço do remetente do envelope para as mensagens enviadas pelo ESA. O Destinatário do envelope para qualquer mensagem de devolução recebida pelo ESA é então verificado quanto à presença dessa marca. Quando mensagens de devolução legítimas são recebidas, a marca que foi adicionada ao endereço do remetente do envelope é removida e a devolução é entregue ao destinatário. As mensagens de devolução que não contêm a marca podem ser tratadas separadamente.
O AsyncOS considera as devoluções como correio com um endereço De correio nulo (<>). Mensagens de endereços como mailer-daemon@example.com ou postmaster@example.com não são consideradas devolução pelo sistema e não estão sujeitas à verificação de devolução.
Configurar chaves de marcação de endereço de verificação de devolução
A lista Chaves de marcação de endereço de verificação de devolução mostra a chave atual e as chaves não limpas usadas no passado. Para adicionar uma nova chave, faça o seguinte:
- No Políticas de e-mail > Verificação de devolução clique em Nova chave.
- Digite uma string de texto e clique em Enviar.
- Confirme suas alterações.
Teclas de limpeza
Você pode limpar as teclas de marcação de endereço antigas se selecionar uma regra para limpeza no menu suspenso e clicar em Limpar.
Configurar as configurações de verificação de devolução da Cisco
As configurações de verificação de devolução determinam qual ação deve ser tomada quando uma devolução inválida é recebida.
- Escolher Políticas de e-mail > Verificação de devolução.
- Clique em Editar configurações.
- Selecione se deseja rejeitar devoluções inválidas ou se deseja adicionar um cabeçalho personalizado à mensagem. Para adicionar um cabeçalho, insira o nome e o valor do cabeçalho.
- Como opção, habilite exceções inteligentes. Essa configuração permite que mensagens de e-mail de entrada e mensagens de devolução geradas por servidores de e-mail internos sejam automaticamente isentas do processamento de verificação de devolução (mesmo quando um único ouvinte é usado para e-mails de entrada e de saída).
- Envie e confirme suas alterações.
Configurar a verificação de devolução Cisco com CLI
Você pode usar os comandos bvconfig e destconfig na CLI para configurar a verificação de devolução. Esses comandos são discutidos no Cisco AsyncOS CLI Reference Guide.
Verificação de devolução da Cisco e configuração de cluster
A verificação de devolução funciona em uma configuração de cluster, desde que ambos os dispositivos da Cisco usem a mesma "chave de devolução". Quando você usa a mesma chave, qualquer sistema deve ser capaz de aceitar uma devolução legítima. A marca/chave do cabeçalho modificada não é específica para cada dispositivo da Cisco.
Filtro de e-mail
Se você não puder usar a Verificação de devolução porque usa dispositivos separados para recebimento e entrega, poderá configurar um filtro de mensagens para bloquear mensagens que tenham um endereço De correio vazio.
Bloco de correio
Como essas mensagens de devolução provavelmente terão um endereço de destinatário de envelope inexistente, você pode bloquear endereços inválidos por meio da validação de destinatário do LDAP (Lightweight Diretory Access Protocol) para ajudar a reduzir o impacto dessas mensagens.