Segurança : Cisco Email Security Appliance

ESA FAQ: Que fazem o valor SBR de “nenhuns” meio, e como podem você detectar estas contagens?

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como compreender e detectar a contagem da reputação de SenderBase (SBR).

Contribuído por Chris Haag e por Enrico Werner, engenheiros de TAC da Cisco.

Que fazem o valor SBR de “nenhuns” meio, e como podem você detectar estas contagens?

Os SBR são atribuídos a um endereço IP de Um ou Mais Servidores Cisco ICM NT baseado sobre sobre fatores diferentes dos 50 pés, tais como o volume do email, as reclamações de usuário, e as batidas do spamtrap. Os SBR podem variar de -10 a +10, e refletem a probabilidade que o correio de um endereço IP de Um ou Mais Servidores Cisco ICM NT de emissão é Spam. As contagens altamente negativas indicam os remetentes que são muito prováveis enviar o Spam; as contagens altamente positivas indicam os remetentes que são pouco suscetíveis de enviar o Spam. 

Contudo, alguns endereços IP de Um ou Mais Servidores Cisco ICM NT têm uma contagem de SenderBase de “nenhuns.” Se o ESA é incapaz de contactar os server SBR, o endereço IP de Um ou Mais Servidores Cisco ICM NT de conexão recebe uma contagem de “nenhuns”. Os dados SBR são muito oportunos e o dispositivo não põe em esconderijo contagens SBR além de aproximadamente 30 minutos. Se havia um problema de conexão intermitente aos server SBR, é possível que um endereço IP de Um ou Mais Servidores Cisco ICM NT “previamente marcado” aparecerá como um “nenhum” a contagem.

Se não, a contagem de SenderBase é baseada nos dados objetivos que SenderBase recolhe sobre um endereço IP de Um ou Mais Servidores Cisco ICM NT. É possível que não há uma suficientes história e informação para que um endereço IP de Um ou Mais Servidores Cisco ICM NT dado lhe atribua uma reputação exata. Isto significa que o volume de correio que vem do endereço IP de Um ou Mais Servidores Cisco ICM NT para os últimos 30 dias é muito baixo, ou nenhum correio foi considerado nesse período de tempo. SenderBase determinou que este endereço IP de Um ou Mais Servidores Cisco ICM NT tem o volume baixo, que é calculado com uma amostra de tráfego mundial total do email. Se há um volume baixo para um dado servidor/domínio, não pôde aparecer nas amostras recolhidas por SenderBase. O nível do volume não pôde ser altamente bastante ser estatisticamente significativo. Não há um ponto inicial exato para quando o tráfego é altamente bastante começar acumular uma contagem, mas o tráfego atual do email está calculado para ser aproximadamente dez bilhão mensagens pelo dia. Os anfitriões de emissão superiores em um dia dado podem enviar perto de dez milhão mensagens cada dia. Contra esse fundo, um server que envie alguns cem envia por correio eletrónico um dia não é provável registrar-se. Não há nenhuma queixa sobre este endereço IP de Um ou Mais Servidores Cisco ICM NT, e este endereço não aparece em algumas das listas negras DNS-baseadas.

Nota: Uma contagem de “nenhuns” não iguala a uma contagem de "0". Uma contagem de 0.0 significa que SenderBase recolheu quantidades igual de informação positiva e negativa sobre este remetente, e atribuiu-lhe uma reputação neutra

É fácil não adicionar “nenhuns” remetentes da reputação a um SENDERGROUP através da Web GUI:

Vá às políticas do correio > à vista geral do CHAPÉU e escolha um SENDERGROUP. Cisco recomenda que você vai a “SUSPECTLIST” > edita ajustes e verifica a caixa de seleção para não adicionar o “nenhuns” remetentes marcados ao grupo.

Nota: Cisco não recomenda que você rejeita ou deixa cair conexões dos SBR “nenhuns” remetentes. Se havia uma edição que impeça uma conexão à exploração agrícola altamente redundante de server SBR, seu Cisco envia por correio eletrónico a ferramenta de segurança (ESA) deixaria cair todo seu correio de entrada. Na maioria dos casos, você deve usar política do fluxo de correio da ACEITAÇÃO ou do REGULADOR DE PRESSÃO pelo contrário

Estes sendergroups podem ser mudados em uma base do por-remetente se você adiciona o endereço IP de Um ou Mais Servidores Cisco ICM NT do remetente a um grupo do remetente na tabela do acesso host (CHAPÉU). Se você quer combinar uma contagem da reputação de SenderBase de “nenhuns” em um filtro da mensagem, você não pode entrar:

"if (reputation == "(?i)none""

Isto é porque a reputação é um valor numérico, e não pode ser comparada a uma corda.  Contudo, um filtro negativo simples não combinará “nenhuns” marca:

sbrs_none:
if not (reputation <= 10)
{
insert-header('X-SBRS-none', '$reputation');
}

Nota: O comportamento de comparações da contagem SBR é o mesmo se as contagens SBR estão desabilitadas em um ouvinte ou se faltam realmente: em ambos os casos, os dados faltam.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 117903