在2015年06月24日的【CSC公开课】中,思科TAC技术支持专家Manfred Zhu担任主讲者,Bing Yu 和 Linda Wang担任本次答疑专家,为与会者解答了关于“邮件安全网关新功能介绍与案例分享: 高级威胁检测与防护 ”的常见问题。问题解答列表:
- 问:请问,如何防护从内部发起的邮件Dos攻击?
- 答:请问您是指向internet的域名邮件服务发起Dos攻击,还是向内部邮件服务器或网关发起Dos攻击?
- 问:向内部邮件服务器-,例如,某些用户账号发大量垃圾邮件导致邮件服务器瘫痪
- 答:如果攻击来自内部,更本解决办法是内部用户的密码的强度
- 问:有时候更改密码强度可以解决,有时不行,你们有什么好办法
- 答:针对这类问题,我们建议从两个方面应对:1.管理方面,追根溯源,攻击的产生是open-relay,或是内部账户密码被盗用,这种情况下,需要在域管理层面对于密码验证错误超过若干次错误后,锁定该账户,进而防止攻击者尝试多次暴力破解; 2.如果内部密码机制已经被攻破,可以考虑在Cisco ESA上面做rate limit
- 问:請問一下Snowshoe ESA是要升級到9.1版本才有的功能嗎?
- 答:是在8.0.1之后,就有了
- 答:可以使用命令行或web界面来查看:--> antispam status
- 答:Choose the operation you want toperform:
- IRONPORT - Display IronPort Anti-Spamversion and rule information.
- CLOUDMARK - Display Cloud mark ServiceProvider Edition version and rule information.
- MULTISCAN - Display Intelligence-.
[]> ironport
Component LastUpdate Version
CASECore Files 09 Jun 2015 19:47 (GMT+00:00) 3.5.0-008
CASEUtilities 09 Jun 2015 19:47 (GMT+00:00) 3.5.0-008
StructuralRules 24 Jun 2015 01:25 (GMT+00:00)
- 问:关闭open-relay是好的选择吗?
- 答:open-relay是指,比如您没有做基于用户身份的验证,或是根本没有任何验证机制,或是只做基于IP的信任,这类比较松的验证机制,很容易将服务器陷入被hacker控制的肉鸡服务器情景下,hacker可以通过您的服务器relay 很多spam出去,很快您的公网邮件出口IP的信誉度很下降-
- 答:关闭open-relay,就是开启用户名密码的验证,并且密码复杂度加强,另外配合验证错误次数阈值机制,超过就告警并锁住一段时间-
- 答:这样管理员可以知道自己的哪些账户在被猜,提醒end user-。open-relay,这几年已经非常少了,只有密码复杂度不够的情况,建议定期修改密码
- 问:請問如果授權維護到期之後,是否ESA就失去了所有功能?
- 答:ESA 上的授权维护到期后,系统便不会使用过期的功能模块对邮件进行扫描检查;但是一般设备上的receivingkey 都为永久型,因此ESA 在license 过期后还是可以传递邮件。另外系统上的自定义策略,比如content filter与message filter 还是可以正常工作。
本期【CSC公开课】同主题相关资料:
