Solucionar erros comuns de HAT/RAT no ESA

Opções de download

  • PDF     (267.3 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:8 de junho de 2026
ID do documento:215912

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve uma visão geral de alto nível, orientações de configuração e técnicas de solução de problemas para diagnosticar problemas comuns da Tabela de Acesso de Host (HAT) e da Tabela de Acesso de Destinatários (RAT) no Email Security Appliance (ESA).

Overview

CHAPÉU

Para cada listener configurado, você deve definir um conjunto de regras que controlem conexões recebidas de hosts remotos. Por exemplo, você pode definir hosts remotos e se eles podem ou não se conectar ao listener. O AsyncOS permite definir quais hosts têm permissão para se conectar ao ouvinte usando o HAT.

O HAT mantém um conjunto de regras que controlam as conexões de entrada de hosts remotos para um ouvinte. Cada ouvinte configurado tem seu próprio HAT independente. Você pode configurar HATs para ouvintes públicos e privados.

Por padrão, o HAT é definido para executar ações diferentes, dependendo do tipo de ouvinte:

  • Ouvinte público: O HAT é configurado para aceitar e-mails de todos os hosts.
  • Ouvinte privado: O HAT é configurado para retransmitir e-mails do(s) host(s) que você especificar e rejeitar todos os outros hosts.

Uma regra HAT consiste em um grupo de remetente, pontuação de reputação SenderBase (SBRS), fontes de feed de ameaças externas aplicadas e política de fluxo de e-mail.

Grupo de remetente

Um grupo de remetente é uma lista de remetentes identificados por um ou mais destes:

  • Endereço IP (IPv4 ou IPv6)
  • Intervalo IP
  • Nome de host ou domínio específico
  • Classificação da 'organização' do IP Reputation Service
  • Intervalo de pontuação de reputação de IP (IPRS) (ou falta de pontuação)
  • Resposta de consulta de lista DNS

Pontuação de reputação SenderBase

O equipamento pode consultar o serviço de reputação de IP para determinar uma pontuação de reputação de IP. A pontuação de reputação de IP é um valor numérico atribuído a um endereço IP, domínio ou organização com base nas informações do serviço de reputação de IP.

Fontes de Feed de Ameaças Externas (ETF) Aplicadas

O quadro dos ETF permite que o ESA consuma informações sobre ameaças externas no formato STIX comunicado através do protocolo TAXII.

A capacidade de consumir informações de ameaças externas ajuda uma empresa a:

  • Responda proativamente a ameaças cibernéticas, como malware, ransomware, ataques de phishing e ataques direcionados.

  • Inscreva-se em fontes de inteligência de ameaças locais e de terceiros.

  • Melhorar a eficácia.

Você precisa de uma chave de recurso válida para utilizar o ETF no seu ESA. Para obter informações sobre como obter uma chave de recurso, entre em contato com o representante de vendas da Cisco e/ou com as operações de licenciamento global da Cisco.

Política de fluxo de e-mail

As Políticas de fluxo de e-mail permitem controlar ou limitar o fluxo de mensagens de e-mail de um remetente para o ouvinte durante a conversação SMTP. Você controla as conversações SMTP definindo estes tipos de parâmetros na Política de fluxo de e-mail:

  • Parâmetros de conexão (por exemplo, número máximo de mensagens por conexão)
  • Parâmetros de limitação de taxa (por exemplo, número máximo de destinatários por hora)
  • Códigos e respostas SMTP personalizados são comunicados durante a conversação SMTP
  • Habilitar/desabilitar a detecção de antisspam
  • Ativar/desativar a proteção antivírus
  • Criptografia (por exemplo, TLS)
  • Autenticação e verificação (por exemplo, DMARC, DKIM e SPF)

RAT

O AsyncOS usa o RAT para cada ouvinte público para gerenciar a aceitação ou rejeição de endereços de destinatário. Os endereços dos destinatários incluem:

  • Domínios
  • Endereços de e-mail
  • Grupos de endereços de email

Por padrão, o RAT rejeita todos os destinatários para impedir a criação de um relay aberto.

Cenários comuns de implementação

Bloqueando um remetente manualmente

Para bloquear um remetente específico pelo endereço IP do remetente, adicione uma entrada manual para o endereço IP no grupo de remetente da lista de bloqueio e verifique se a ação está definida como 'Rejeitar' ou 'Recusar TCP'. Para obter instruções de configuração, consulte: Bloquear um IP de remetente manualmente no ESA.

Adicionando grupos/intervalos de endereços IP ao HAT

Os endereços IP adjacentes podem ser agrupados como sub-redes, como 192.0.2.0/24, intervalos de endereços IP, como 192.0.2.10-20, ou endereços IP parciais, como 192.0.2. e adicionados à tabela. Para adicionar vários endereços IP não adjacentes, siga estas etapas:

Na GUI:

  1. Navegue até Políticas de e-mail > Visão geral do HAT (se necessário, escolha o nível de cluster apropriado).
  2. Escolha o grupo de remetente a ser modificado e escolha Adicionar remetente.
  3. No campo Sender, insira os intervalos de IP aplicáveis (por exemplo, 192.0.2.0/24), um comentário opcional e escolha Submit.
  4. Clique em Confirmar alterações para salvar.

Na CLI:

  1. Execute a sequência de comandos:
    listenerconfig >> EDIT
  2. Informe o nome ou o número do listener a ser editado.
  3. Execute a sequência de comandos e insira o número ou o nome do grupo de remetente a ser editado:
    HOSTACCESS >> EDIT >> 1
  4. Escolha new e insira uma lista separada por vírgulas dos remetentes a serem adicionados.
  5. Quando terminar, execute commit para salvar as alterações.

Troubleshooting

Grupo de remetente incorreto correspondente

Verifique os logs de e-mail no ESA ou o controle de mensagens no Security Management Appliance (SMA) e verifique essas entradas no ID de conexão de entrada (ICID):

ICID 476946 ACCEPT SG WhiteList match nx.example SBRS None country United States

Razão: A Verificação DNS de Host de Conexão está habilitada no grupo de remetente, e o registro PTR de host de conexão não existe no DNS está selecionado.

ICID 476946 ACCEPT SG WhiteList match not.double.verified.example SBRS None country United States

Razão: A Verificação DNS de Host de Conexão está habilitada no grupo de remetente, e a pesquisa DNS reversa (PTR) de host de conexão não corresponde à pesquisa DNS de encaminhamento (A) foi escolhida.

ICID 476946 ACCEPT SG WhiteList match serv.fail.example SBRS None country United States

Razão: A Verificação DNS de Host de Conexão está habilitada no grupo de remetente e a pesquisa de registro PTR de host de conexão falha devido à falha temporária de DNS selecionada.

Configuração incorreta de host de grupo de remetente

Um grupo de remetente é uma lista de remetentes identificados por:

  • Endereço IP (IPv4 ou IPv6)
  • Intervalo IP
  • Nome de host ou domínio específico
  • Classificação da 'organização' do IP Reputation Service
  • Intervalo de pontuação de reputação de IP (IPRS) (ou falta de pontuação)
  • Resposta de consulta da Lista DNS

Exemplo de endereços configurados incorretamente em Sender Group: ESA Sender Group Matching Partial Hostnames.

As rejeições de HAT/RAT contam para 'Interrompido pelo filtro de reputação'?

Sim, as mensagens rejeitadas por um grupo de remetentes com a ação de rejeição na Política de fluxo de e-mail são contadas no contador do relatório "Interrompido pelo filtro de reputação".

note-icon

Note: Esse contador pode incluir rejeições de política HAT e rejeições baseadas em SBRS. Verifique o motivo da rejeição nos logs de e-mail para distinguir a origem.

Verificação de Rejeições pela Tabela RAT

Este é um exemplo de saída de log dos logs de e-mail em um ESA:

Thu Sep 18 09:10:14 2014 Info: MID 48445 ICID 15970 To: <user@example.com> "Rejected by RAT"

Razão: O domínio específico não é permitido sob o RAT na configuração ESA.

Como registrar informações adicionais do remetente/destinatário para conexões rejeitadas?

Por padrão, uma conexão rejeitada registra apenas o endereço IP do MTA do remetente nos logs de e-mail e não registra o remetente do envelope ou o destinatário do envelope. Se for necessário log adicional para solucionar problemas, a rejeição de HAT atrasada poderá ser habilitada no AsyncOS.

caution-icon

Caution: A Cisco recomenda que você não habilite esse recurso permanentemente porque ele requer recursos adicionais.

Mais detalhes podem ser encontrados aqui: HAT Delayed Rejection FAQ.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
2.0
08-Jun-2026
Formato modificado para conformidade com KCS
1.0
07-Aug-2020
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Dennis McCabe Jr
    Líder técnico da Cisco
  • Vibhor Amrodia
    Líder técnico da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos