Sécurité : Appareil de sécurité de courriel Cisco

Comment l'ESA manipule-t-il des avis de non-livraison envoyés à 127.0.0.1 ?

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contenu

Contribué par Nasir Shakour et Enrico Werner, ingénieurs TAC Cisco.

Question :

Comment l'ESA manipule-t-il des avis de non-livraison envoyés à 127.0.0.1 ?

Quand les spammers envoient l'email, ils lancent de temps en temps l'email des noms de domaine qui les résoudront à une des adresses de bouclage réservées IP (typiquement 127.0.0.1, bien que n'importe quelle adresse dans le bloc 127.0.0.0/8 soit réservée pour le bouclage). Ces adresses sont également de temps en temps produites dans un ver de masse-courrier, quand le nom de domaine modifié de source n'a été jamais conçu pour recevoir la messagerie et a ainsi une adresse IP illégale pour décourager l'email.

La question avec de tels noms de domaine résolvant aux adresses de bouclage est qu'un MTA confiant pourrait tenter de se connecter à l'adresse pour fournir le message. Puisque l'adresse de bouclage se connecte de nouveau au même MTA, une boucle peut être générée. Selon la façon dont les en-têtes sont formées dans un message rebondi, la boucle peut être particulièrement coûteuse, obtenir par la suite assez grand pour consommer toutes les ressources système.

L'ESA évite ce syndrome pathologique. Quand les résultats de recherche de DN dans une adresse IP dans le bouclage s'étendent (127.0.0.0/8), le client de SMTP d'AsyncOS ne tentera pas de fournir un tel message. Vous pouvez observer ce comportement en regardant le log de mail_logs. L'extrait suivant de log affiche un message étant envoyé avec un nom de domaine d'adresse de retour qui résout à 127.0.0.1 l'adresse IP. Quand le message ne peut pas être fourni, AsyncOS crée un avis de non-livraison, mais n'essaye pas et fournit le message rebondi parce que les DN indique l'adresse de bouclage.

Thu 9 décembre 22:06:03 les 2004 informations : MID de début 524 ICID 322
Thu 9 décembre 22:06:03 les 2004 informations : MID 524 ICID 322 de : < loopme@loopback.example.com >
Thu 9 décembre 22:06:08 les 2004 informations : Le MID 524 ICID 322 A DÉBARRASSÉ 0 à : <illegal99999@example.com>
Thu 9 décembre 22:06:09 les 2004 informations : Message-ID '<3l57rh$gc@mail.example.com>' du MID 524
Thu 9 décembre 22:06:10 les 2004 informations : MID 524 9 octets prêts de < loopme@loopback.example.com >
Thu 9 décembre 22:06:10 les 2004 informations : Le MID 524 a apparié tous les destinataires pour par-recipientpolicy le PAR DÉFAUT dans la table d'arrivée
Thu 9 décembre 22:06:10 les 2004 informations : Négatif de Brightmail du MID 524
Thu 9 décembre 22:06:10 les 2004 informations : Négatif d'antivirus du MID 524
Thu 9 décembre 22:06:10 les 2004 informations : MID 524 aligné pour la livraison
Thu 9 décembre 22:06:10 les 2004 informations : Nouvelle adresse 192.245.12.7 de 192.35.195.101 d'interface du SMTP DCID 160
Thu 9 décembre 22:06:10 les 2004 informations : MID 524 du début DCID 160 de la livraison POUR DÉBARRASSER [0]
Thu 9 décembre 22:06:10 les 2004 informations : Rebondi : MID 524 DCID 160 POUR DÉBARRASSER 0 - 5.1.0 - erreurs d'adresse inconnues (utilisateur inconnu ou illégal '550', ['5.1.1 : illegal99999@example.com'])
Thu 9 décembre 22:06:10 les 2004 informations : MID 525 généré pour le rebond du MID 524
Thu 9 décembre 22:06:10 les 2004 informations : MID de début 525 ICID 0
Thu 9 décembre 22:06:10 les 2004 informations : MID 525 ICID 0 de : <>
Thu 9 décembre 22:06:10 les 2004 informations : Le MID 525 ICID 0 A DÉBARRASSÉ 0 à : <loopme@loopback.opus1.com>
Thu 9 décembre 22:06:10 les 2004 informations : MID 525 aligné pour la livraison
Thu 9 décembre 22:06:10 les 2004 informations : MID de finition 524 de message fait
Thu 9 décembre 22:06:10 2004 avertissant : points de chemin de résolution de nameserver à l'adresse 0.x.x.x ou 127.x.x.x. domain=loopback.example.com
Thu 9 décembre 22:06:10 les 2004 informations : Fin ICID 322
Thu 9 décembre 22:06:15 les 2004 informations : Fin DCID 160


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 117911