close

最近在學習Cisco Ironport,所以有做了學習並在此做記錄,

所以若有錯誤地方再請告知,謝謝。

壹、功能說明

貳、設定步驟

參、參考網站

 

壹、功能說明

電子郵件進來的其中一道關卡就是HAT(Host Access Table),

HAT會去判斷白名單、黑名單…等分門別類的名單。

所以我們可以在此對這些名單設定一些不同的設定,例如…

(1) 允許/拒絕收到特定IP寄過來的信

(2) 對於特定IP只收多大Size的電子郵件

(3) 對於特定IP每小時只收幾封電子郵件

(4) 對於特定IP是否經過Spam或是Virus的掃描

(5) 對於特定IP是否經過DNS的反解確認

以上條件只是冰山一角,可設定的方式非常多。

 

貳、設定步驟

設定時有幾個地方要注意一下,

(1) Listerener要先設定,才能啟用HAT。

(2) 設定時要先設定Policy,再去建立Group清單將其套用。

(3) 建議有些預設的Group與Policy不要使用,可額外新增。(註1)

(4) 設定Group清單時,建議用IP去做。(註2)

(註1)

有些清單預設的條件很寬鬆,可能帶有風險。

例如說,你將cklab.com寄過來的信加入白名單,

哪天cklab.com被打掛開始亂發電子郵件,當時開的條件很寬鬆,

你的ironport可能就接著被cklab.com發出來的垃圾郵件塞爆。

所以可以依需求新增或是修正原預設的Policy。

(註2)

若使用DomainName去設定,雖然也可以達到功能,

但可能只有一半的效用,未必能完全做到配對。

DomainName會去做解析IP的動作,解析出來的IP未必是他寄信的IP。

簡單說,你在清單設定一筆mail.cklab.com,經過解析可能是1.1.1.1,

但因cklab.com它有多個外部IP,可能是用1.1.1.2或1.1.1.3去寄信。

Ironport判斷IP不同,就會覺得不是cklab.com,所以就會放行或拒絕。

如果要用DomainName去過瀘,要用Mail Policy去做,才會100%達到需求。

 

第一步驟

點選Mail Policies / Mail Flow Policies,並點選Add Policy,首先來建立白名單。

hat (2).png

Name:WhiteList

ConnectionBehavior:Accept //選擇動作

hat (3).png   

Max. Message Size:50000000  //郵件大小

hat (4).png

Max. Recipients Per Hours:4500 //每小時可以寄多少收件者

hat (5).png

Max. Invalid Recipient Per Hour:5 //每小時只允許5個錯誤的收件者

Directory Harvest Attack (DHA,電子郵件地址搜尋攻擊)

攻擊者找到一個確定有效的網域,開始進行大量的垃圾郵件傳送。

如果收件者不是一個合法的,對方主機會回覆說你送的電子郵件非合法。

經過大量的測試就知道哪些是確定有用的電子郵件。

簡單說,就是亂槍打鳥。攻擊者知道@cklab.com.tw是個有效的網域,

開始進行亂送信,admin@cklab.com.tw、test@cklab.com.tw…等。

我的郵件主機回覆攻擊者test@cklab.com.tw是非合法,但我沒傳送admin@cklab.com.tw是非合法。

那攻擊者就知道admin@cklab.com.tw是個有效的電子郵件。

hat (6).png

DMARC Verification:on

Domain-based Message Authentication, Reporting & Conformance (DMARC)

不太會解釋,請直接看以下Link有詳細的說明。

http://blog.longwin.com.tw/2012/02/email-dmarc-protocol-2012/

hat (7).png

其它都皆為預設即可,設定完後就點選Commit離開設定。

第二步驟

剛建立完白名單,接著我們來修改黑名單,點選BLOCKED。

Max. Message Per Connection:1 //每次連線最多的Message數量

Max. Recipient Per Message:1 //每個Message最多的收件人數量

Max. Concurrent Connection From a Single IP:1 //單一個IP允許的Connection數量

hat (9).png  

DNS Verification enable:on //啟用DNS反解析

hat (10).png  

其它都皆為預設即可。

第三步驟

點選Mail Policy / HAT Overview,點選Add Sender Group按鈕進行新增。

Name:TrustList

Order:1 //排序,可依需求調整

Comment:Customize WhiteList //註解,隨便填

Policy:WhiteList //選擇剛才新增的Policy

其它保持預設值,點選Summit離開,這樣就套用完成了。

hat (11).png  

第四步驟

設定完成後最後要點選Commit Change設定才會生效。

hat (13).png  

Commit(optional):edit HAT //可填可不填

hat (14).png  

第五步驟

可將HAT設定檔備份,點選Expert按鈕,再輸入FileName即可。

hat (12).png  

利用FTP登入後,在configuration資料夾下可看到備份檔。

hat (15).png  

參、參考網站

Policy屬性詳細說明可見以下連結的第143頁

http://www.cisco.com/c/dam/en/us/td/docs/security/esa/esa9-0/ESA_9-0_User_Guide.pdf

DHA攻擊

https://www.symantec.com/zh/tw/security_response/glossary/define.jsp?letter=d&word=directory-harvest-attack

 

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 EdisonChang 的頭像
    EdisonChang

    Coolking's CCNP 筆記

    EdisonChang 發表在 痞客邦 留言(0) 人氣()