Безопасность : устройства безопасности электронной почты Cisco ESA

Как ESA обрабатывает возвращенные сообщения, передаваемые 127.0.0.1?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Содержание

Внесенный Нэзиром Шэкуром и Энрико Вернером, специалистами службы технической поддержки Cisco.

Вопрос:

Как ESA обрабатывает возвращенные сообщения, передаваемые 127.0.0.1?

Когда спаммеры посылают электронное письмо, они иногда инициируют электронную почту из доменных имен, которые решат к одному из зарезервированных адресов обратной связи IP (как правило, 127.0.0.1, невзирая на то, что любой адрес в блоке 127.0.0.0/8 зарезервирован в петлевых целях). Когда подделанное название исходного домена никогда не разрабатывалось для получения почты и таким образом имеет недопустимый IP-адрес для воспрепятствования электронной почте, с этими адресами также иногда встречаются у червя массовой рассылки.

Проблема с такими доменными именами, решающими к адресам обратной связи, - то, что не подозревающий MTA мог бы попытаться соединиться с адресом для передачи сообщения. Начиная с подключений адреса обратной связи назад к тому же MTA, может генерироваться петля. В зависимости от того, как заголовки сформированы в возвращенном сообщении, петля может быть особенно дорогостоящей, в конечном счете становясь достаточно большой для потребления всех ресурсов системы.

ESA избегает этого патологического синдрома. Когда Поиск DNS приведет к IP-адресу в петлевом диапазоне (127.0.0.0/8), клиент SMTP AsyncOS не попытается передать такое сообщение. Можно наблюдать это поведение путем рассмотрения журнала mail_logs. Придерживающаяся регистрационная выборка показывает сообщение, передаваемое с доменным именем адреса возврата, которое решает к 127.0.0.1 IP-адресам. Когда сообщение не может быть передано, AsyncOS создает возвращенное сообщение, но не пытается отправить возвращенное сообщение, потому что DNS указывает на адрес обратной связи.

Thu Dec 9 22:06:03 2004 Info: Start MID 524 ICID 322
Thu Dec 9 22:06:03 2004 Info: MID 524 ICID 322 From: <loopme@loopback.example.com>
Thu Dec 9 22:06:08 2004 Info: MID 524 ICID 322 RID 0 To: <illegal99999@example.com>
Thu Dec 9 22:06:09 2004 Info: MID 524 Message-ID '<3l57rh$gc@mail.example.com>'
Thu Dec 9 22:06:10 2004 Info: MID 524 ready 9 bytes from <loopme@loopback.example.com>
Thu Dec 9 22:06:10 2004 Info: MID 524 matched all recipients for per-recipientpolicy DEFAULT in the inbound table
Thu Dec 9 22:06:10 2004 Info: MID 524 Brightmail negative
Thu Dec 9 22:06:10 2004 Info: MID 524 antivirus negative
Thu Dec 9 22:06:10 2004 Info: MID 524 queued for delivery
Thu Dec 9 22:06:10 2004 Info: New SMTP DCID 160 interface 192.35.195.101 address 192.245.12.7
Thu Dec 9 22:06:10 2004 Info: Delivery start DCID 160 MID 524 to RID [0]
Thu Dec 9 22:06:10 2004 Info: Bounced: DCID 160 MID 524 to RID 0 - 5.1.0 - Unknown address error ('550', ['5.1.1 unknown or illegal user: illegal99999@example.com'])
Thu Dec 9 22:06:10 2004 Info: MID 525 generated for bounce of MID 524
Thu Dec 9 22:06:10 2004 Info: Start MID 525 ICID 0
Thu Dec 9 22:06:10 2004 Info: MID 525 ICID 0 From: <>
Thu Dec 9 22:06:10 2004 Info: MID 525 ICID 0 RID 0 To: <loopme@loopback.opus1.com>
Thu Dec 9 22:06:10 2004 Info: MID 525 queued for delivery
Thu Dec 9 22:06:10 2004 Info: Message finished MID 524 done
Thu Dec 9 22:06:10 2004 Warning: nameserver resolution path points to 0.x.x.x or 127.x.x.x address. domain=loopback.example.com
Thu Dec 9 22:06:10 2004 Info: ICID 322 close
Thu Dec 9 22:06:15 2004 Info: DCID 160 close


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.