Wat zijn de beste praktijken voor het gebruik van SenderBase?
Inhoud
Inleiding
Dit document beschrijft de best practices voor het gebruik van SenderBase.
Wat zijn de beste praktijken voor het gebruik van SenderBase?
De SenderBase Reputation Service (SBRS) biedt u een nauwkeurige, flexibele manier om systemen waarvan wordt vermoed dat ze spam verzenden, af te wijzen of te blokkeren op basis van het verbindende IP-adres van de externe host. De SBRS retourneert een score op basis van de waarschijnlijkheid dat een bericht van een bepaalde bron spam is, variërend van -10 (zeker spam) tot +10 (zeker geen spam). Hoewel SBRS kan worden gebruikt als een op zichzelf staande antispamoplossing, is het het meest effectief in combinatie met een op inhoud gebaseerde antispamscanner.
SenderBase-scores kunnen worden gebruikt in de Host Access Table (HAT) op een SMTP-listener om inkomende SMTP-verbindingen aan verschillende Sender Groups toe te wijzen. Elke afzendergroep heeft er een beleid aan gekoppeld dat van invloed is op de manier waarop inkomende e-mail wordt behandeld. De meest voorkomende dingen die te maken hebben met SenderBase-scores zijn om e-mail volledig af te wijzen of om de vermoedelijke spam-afzender te smoren.
U kunt SBRS-scores in de HAT gebruiken om e-mail af te wijzen of te verstikken. U kunt ook berichtenfilters maken om "drempelwaarden" voor SBRS-scores op te geven om verder te reageren op berichten die door het systeem worden verwerkt. Het onderstaande schema geeft een ruwe schets van hoe SBRS-scores kunnen worden gebruikt om vermoedelijke afzenders te blokkeren of te verstikken:
- SenderBase-partners verzenden realtime, wereldwijde gegevens.
- Het verzenden van MTA opent de verbinding met het toestel.
- Toestel controleert globale gegevens voor het verbinden van het IP-adres.
- SenderBase Reputation Service berekent de kans dat dit bericht spam is en wijst een SenderBase Reputations Score toe.
- Toestel retourneert het antwoord (e-mail afwijzen of afzender afknijpen) op basis van de SenderBase Reputation Score.
Hoe u SBRS-scores gebruikt, hangt af van hoe agressief u wilt zijn in het vooraf filteren van e-mail. De Email Security Appliance (ESA) biedt drie verschillende strategieën voor het implementeren van SenderBase:
- Conservatief: Een conservatieve benadering is om berichten te blokkeren met een SenderBase Reputation Score lager dan -7.0, de drempel tussen -7.0 en -2.0 te verlagen, het standaardbeleid tussen -2.0 en +6.0 toe te passen en het vertrouwde beleid toe te passen voor berichten met een score hoger dan +6.0. Het gebruik van deze aanpak zorgt voor een bijna nul vals positief tarief, terwijl het bereiken van betere systeemprestaties.
- Matig: Een gematigde aanpak is om berichten te blokkeren met een SenderBase Reputation Score lager dan -4.0, de klemtoon tussen -4.0 en 0 te leggen, het standaardbeleid tussen 0 en +6.0 toe te passen en het vertrouwde beleid toe te passen voor berichten met een score hoger dan +6.0. Het gebruik van deze aanpak zorgt voor een zeer kleine fout-positieve snelheid terwijl betere systeemprestaties worden bereikt (omdat meer e-mail wordt verwijderd van de verwerking van anti-spam).
- Agressief: Een agressieve aanpak is om berichten te blokkeren met een SenderBase Reputation Score lager dan -1.0, de drempel tussen -1.0 en 0 te verlagen, het standaardbeleid tussen 0 en +4.0 toe te passen en het vertrouwde beleid toe te passen voor berichten met een score hoger dan +4.0. Met behulp van deze aanpak kunt u een aantal valse positieven oplopen; deze aanpak maximaliseert echter de systeemprestaties door de meeste e-mail weg te halen van anti-spam-verwerking.
Onderstaande tabel geeft een overzicht van deze drie beleidsvormen:
| naderen | Eigenschappen | lijst van emissierechten | blocklist | verdachte | onbekendenlijst |
| Sender Base Reputation Score-bereik: | |||||
| conservatief | Bijna nul valse positieven, betere prestaties | 7 tot 10 | -10 tot -4 | -4 tot -2 | -2 tot 7 |
| Matig (standaard) | Zeer weinig fout-positieven, hoge prestaties | Sender Base Reputation Scores worden niet gebruikt. | -10 tot -3 | -3 tot -1 | -1 tot +10 |
| agressief |
Sommige vals-positieven, maximale prestaties Met deze optie wordt de meeste e-mail verwijderd van de verwerking van anti-spam. |
4 tot 10 | -10 tot -2 | -2 tot -1 | -1 tot 4 |
| Alle benaderingen | Beleid voor e-mailstromen: | ||||
| vertrouwd | geblokkeerd | gashengelend | aanvaard | ||
SenderBase blokkeren of blokkeren implementeren
De beste manier om SenderBase-scores te gebruiken, is door een eenvoudige, 2-delige methodologie te volgen. Eerst bepaal je je beleid (je zou bijvoorbeeld kunnen beginnen met het bovenstaande "Conservatieve" beleid) en breng dat beleid in kaart aan Afzendergroepen. Vervolgens brengt u die afzendergroepen in kaart met het beleid dat u wilt. De ESA heeft al een matrix van Sender Groups en Mail Flow Policies gemaakt die kan dienen als sjabloon voor uw implementatie van SBRS.
Om SenderBase-beperking te implementeren op basis van het standaardbeleid, bewerkt u de vier afzendergroepen (Allowlist, Blocklist, Suspectlist en Unknownlist) in Mail Policies > Host Access Table (HAT) Overview. Begin met te klikken op "Allowlist" afzendergroep. Klik vervolgens in het vervolgkeuzemenu op het tabblad Afzenders op "Afzender toevoegen" met "SenderBase Reputation Score (SBRS)" geselecteerd. Hiermee wordt een SBRS-regel toegevoegd aan de lijst met afzenders. Vul je SBRS-score in (in dit geval 6,0 tot 10,0) en klik op de knop Verzenden.
Het beleid voor de afzendergroep van Allowlist is 'Vertrouwd'. Standaard wordt met dit beleid antispamverwerking overgeslagen, waardoor de systeemprestaties toenemen. Omdat het hoogst onwaarschijnlijk is dat afzenders met zeer hoge SBRS-scores spam verzenden, zal deze stap alleen al de doorvoer verhogen. Bewerk de overige drie groepen afzenders om SBRS-scores toe te voegen, volgens onderstaande tabel:
| zendergroep | Scorebereik | resultaat |
|---|---|---|
| lijst van emissierechten | 6 tot 10 | Bekende goede afzenders worden niet gescand |
| onbekendenlijst | -2 tot +6 | Afzenders met weinig informatie worden normaal gescand |
| verdachte | -7 tot -2 | Afzenders met een slechte reputatie zullen zwaar worden ingeperkt om de hoeveelheid spam die ze kunnen verzenden te verminderen |
| blocklist | -10 tot -7 | Mail van bekende spammers zal worden afgewezen op SMTP tijd met een 5xx reactie |
Wanneer u klaar bent met het toevoegen van scorerabereiken, vergeet dan niet op "Wijzigingen vastleggen" te klikken. Wanneer u SBRS-scoreregels toevoegt aan bestaande afzendergroepen, plaatst u deze onderaan de lijst met afzenders in een groep. De volgorde is van belang bij het definiëren van afzendergroepen in de HAT van een luisteraar, omdat de groepen van boven naar beneden worden geëvalueerd en binnen elke groep wordt elke regel afzonderlijk geëvalueerd, van boven naar beneden. In een HAT wordt de eerste regel die overeenkomt met een afzender gebruikt om een beleid te selecteren. Als een inkomende verbinding vanuit een verzenddomein een definitieve SBRS-score heeft en overeenkomt met het bereik in een regel in de HAT van de luisteraar, wordt het beleid voor de e-mailstroom toegepast, zelfs als andere regels verderop in de lijst met afzendergroepen ook overeenkomen.
Als uw beleid voor het plaatsen van afzenders in afzendergroepen vereist dat alle niet-SBRS-regels worden geëvalueerd voordat SBRS-scores worden overwogen, kunt u eenvoudig vier nieuwe afzendergroepen toevoegen aan het einde van de lijst met bestaande afzendergroepen die specifiek zijn voor SBRS-beleidsmatching, samen met hun relevante beleid.
Gerelateerde informatie
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)