Resolución de problemas comunes de HAT/RAT en ESA

Opciones de descarga

  • PDF     (267.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:8 de junio de 2026
ID del documento:215912

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe una descripción general de alto nivel, la guía de configuración y las técnicas de resolución de problemas para diagnosticar problemas comunes para la Tabla de acceso de host (HAT) y la Tabla de acceso de destinatario (RAT) en el Dispositivo de seguridad de correo electrónico (ESA).

Overview

SOMBRERO

Para cada receptor configurado, debe definir un conjunto de reglas que controlen las conexiones entrantes de los hosts remotos. Por ejemplo, puede definir hosts remotos y si pueden o no conectarse al listener. AsyncOS permite definir qué hosts pueden conectarse al receptor mediante HAT.

HAT mantiene un conjunto de reglas que controlan las conexiones entrantes de hosts remotos para un receptor. Cada receptor configurado tiene su propio HAT independiente. Puede configurar HAT para receptores públicos y privados.

De forma predeterminada, la HAT se define para realizar diferentes acciones en función del tipo de receptor:

  • Receptor público: La HAT está configurada para aceptar correos electrónicos de todos los hosts.
  • Receptor privado: La HAT se configura para retransmitir correo electrónico desde los hosts especificados y rechazar todos los demás hosts.

Una regla HAT consta de un grupo de remitentes, una puntuación de reputación de SenderBase (SBRS), fuentes de fuente de amenazas externas aplicadas y una política de flujo de correo.

Grupo de remitentes

Un grupo de remitentes es una lista de remitentes identificados por uno o más de los siguientes:

  • Dirección IP (IPv4 o IPv6)
  • Intervalo IP
  • Nombre de host o dominio específico
  • Clasificación de 'organización' del servicio de reputación de IP
  • Intervalo de puntuación de reputación de IP (IPRS) (o falta de puntuación)
  • respuesta de consulta de lista DNS

Puntuación de reputación de SenderBase

El dispositivo puede consultar el servicio de reputación IP para determinar una puntuación de reputación IP. La puntuación de reputación IP es un valor numérico asignado a una dirección IP, dominio u organización en función de la información del servicio de reputación IP.

Fuentes de fuente de amenazas externas (ETF) aplicadas

El marco de ETFs permite que el ESA consuma información de amenazas externas en formato STIX comunicada a través del protocolo TAXI.

La capacidad de consumir información de amenazas externas ayuda a una organización a:

  • Responda de forma proactiva a amenazas cibernéticas como malware, ransomware, ataques de phishing y ataques selectivos.

  • Suscríbase a fuentes de inteligencia de amenazas locales y de terceros.

  • Mejore la eficacia.

Necesita una clave de característica válida para utilizar ETF en su ESA. Para obtener información sobre cómo obtener una clave de característica, póngase en contacto con su representante de ventas de Cisco o con Cisco Global Licensing Operations.

Política de flujo de correo

Las políticas de flujo de correo le permiten controlar o limitar el flujo de mensajes de correo electrónico de un remitente al receptor durante la conversación SMTP. Para controlar las conversaciones SMTP, defina estos tipos de parámetros en la política de flujo de correo:

  • Parámetros de conexión (por ejemplo, número máximo de mensajes por conexión)
  • Parámetros de limitación de velocidad (por ejemplo, número máximo de destinatarios por hora)
  • Los códigos y respuestas SMTP personalizados se comunican durante la conversación SMTP
  • Activar/desactivar la detección de antispam
  • Activar/desactivar la protección antivirus
  • Cifrado (por ejemplo, TLS)
  • Autenticación y verificación (por ejemplo, DMARC, DKIM y SPF)

RATA

AsyncOS utiliza la RAT para que cada receptor público gestione la aceptación o el rechazo de las direcciones de los destinatarios. Las direcciones de destinatario incluyen:

  • Dominos
  • Direcciones de correo electrónico
  • Grupos de direcciones de correo electrónico

De forma predeterminada, la RAT rechaza todos los destinatarios para evitar la creación de una retransmisión abierta.

Escenarios de implementación comunes

Bloqueo manual de un remitente

Para bloquear un remitente específico por dirección IP del remitente, agregue una entrada manual para la dirección IP en el grupo de remitentes de la lista de bloqueo y asegúrese de que la acción esté configurada como 'Rechazar' o 'Rechazar TCP'. Para obtener instrucciones de configuración, consulte: Bloqueo manual de una IP de remitente en ESA.

Adición de grupos/rangos de direcciones IP a HAT

Las direcciones IP adyacentes se pueden agrupar como subredes, como 192.0.2.0/24, los intervalos de direcciones IP, como 192.0.2.10-20, o las direcciones IP parciales, como 192.0.2., y agregarse a la tabla. Para agregar varias direcciones IP no adyacentes, observe estos pasos:

Desde la GUI:

  1. Navegue hasta Políticas de correo > Descripción general de HAT (si es necesario, elija el nivel de agrupamiento apropiado).
  2. Elija el Grupo de Remitentes que desea modificar y elija Agregar Remitente.
  3. En el campo Sender, ingrese los rangos de IP aplicables (por ejemplo, 192.0.2.0/24), un comentario opcional y elija Submit.
  4. Haga clic en Registrar cambios para guardar.

Desde la CLI:

  1. Ejecute la secuencia de comandos:
    listenerconfig >> EDIT
  2. Introduzca el nombre o el número del listener que desea editar.
  3. Ejecute la secuencia de comandos y luego ingrese el número o nombre del grupo de remitentes para editar:
    HOSTACCESS >> EDIT >> 1
  4. Elija new e ingrese una lista de remitentes separados por comas para agregar.
  5. Cuando haya terminado, ejecute commit para guardar los cambios.

Resolución de problemas

Grupo de Remitentes Incorrectos Coincidentes con Remitentes

Verifique los registros de correo en el ESA o el rastreo de mensajes en el Dispositivo de administración de seguridad (SMA), y verifique estas entradas en el ID de conexión entrante (ICID):

ICID 476946 ACCEPT SG WhiteList match nx.example SBRS None country United States

Motivo: La verificación de conexión de DNS de host está habilitada en el grupo de remitentes y el registro PTR de conexión de host no existe en DNS está seleccionado.

ICID 476946 ACCEPT SG WhiteList match not.double.verified.example SBRS None country United States

Motivo: La verificación de DNS de host de conexión está habilitada en el grupo de remitentes y la búsqueda de DNS inverso (PTR) de host de conexión no coincide con la búsqueda de DNS de reenvío (A) elegida.

ICID 476946 ACCEPT SG WhiteList match serv.fail.example SBRS None country United States

Motivo: La verificación de conexión de DNS de host está habilitada en el grupo de remitentes y la búsqueda de registros PTR de host de conexión falla debido a un error temporal de DNS está seleccionada.

Configuración de host de grupo de remitentes incorrecta

Un grupo de remitentes es una lista de remitentes identificados por:

  • Dirección IP (IPv4 o IPv6)
  • Intervalo IP
  • Nombre de host o dominio específico
  • Clasificación de 'organización' del servicio de reputación de IP
  • Intervalo de puntuación de reputación de IP (IPRS) (o falta de puntuación)
  • Respuesta de consulta de lista DNS

Ejemplo de direcciones mal configuradas en Grupo de Remitentes: Grupo de Remitentes ESA que Coincide con Nombres de Host Parciales.

¿Los rechazos de HAT/RAT se tienen en cuenta para 'Detención por filtrado de reputación'?

Sí, los mensajes rechazados por un grupo de remitentes con la acción de rechazo en la directiva de flujo de correo se cuentan en el contador de informes "Detención por filtrado de reputación".

note-icon

Nota: Este contador puede incluir rechazos de políticas HAT y rechazos basados en SBRS. Verifique el motivo del rechazo en los registros de correo para distinguir el origen.

Verificación de Rechazos por Tabla RAT

Este es un ejemplo de salida de registro de los registros de correo en un ESA:

Thu Sep 18 09:10:14 2014 Info: MID 48445 ICID 15970 To: <user@example.com> "Rejected by RAT"

Motivo: El dominio específico no está permitido en la RAT en la configuración ESA.

¿Cómo se registra información adicional del remitente/destinatario para las conexiones rechazadas?

De forma predeterminada, una conexión rechazada registra sólo la dirección IP MTA del remitente en los registros de correo y no registra al remitente o destinatario del sobre. Si se requiere un registro adicional para la resolución de problemas, el rechazo HAT retrasado se puede habilitar en AsyncOS.

caution-icon

Precaución: Cisco recomienda no activar esta función de forma permanente porque requiere recursos adicionales.

Más detalles se pueden encontrar aquí: HAT Delayed Reject FAQ.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
2.0
08-Jun-2026
Formato modificado para el cumplimiento de KCS
1.0
07-Aug-2020
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Dennis McCabe Jr
    Cisco Technical Leader
  • Vibhor Amrodia
    Cisco Technical Leader

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos