Segurança : Cisco Email Security Appliance

Que são os melhores prática para usar SenderBase?

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Pergunta

Que são os melhores prática para usar SenderBase?

Contribuído por engenheiros de TAC da Cisco.

Resposta

Conjuntamente com a ferramenta de segurança do email de Cisco (ESA), o serviço da reputação de SenderBase (SBR) fornece um exato, a maneira flexível para que você rejeite ou estrangule os sistemas suspeitados transmitir o Spam baseado no endereço IP de Um ou Mais Servidores Cisco ICM NT de conexão do host remoto. Os SBR retornam uma contagem baseada na probabilidade que uma mensagem de uma fonte dada é Spam, variando de -10 (certo ser Spam) com 0 a +10 (certo não ser Spam). Embora os SBR possam ser usados como uma solução autônoma do anti-Spam, é a mais eficaz quando combinada com um varredor índice-baseado do anti-Spam, tal como o Anti-Spam de Symantec Brightmail. 

As contagens de SenderBase podem ser usadas na tabela do acesso host (CHAPÉU) em um ouvinte S TP para traçar conexões SMTP entrantes aos grupos diferentes do remetente. Cada grupo do remetente associou com ele uma política que afetasse como o email entrante é segurado. As coisas as mais comuns a fazer com contagens de SenderBase são ao correio da rejeição inteiramente, ou para estrangular o remetente suspeitado do Spam.

Você pode usar contagens SBR no CHAPÉU para rejeitar ou estrangular o email. Você pode igualmente criar filtros da mensagem para especificar “pontos iniciais” para que as contagens SBR atuem mais em cima das mensagens processadas pelo sistema. 

  1. As filiais de SenderBase enviam o tempo real, dados globais.
  2. Enviar o MTA abre a conexão com o ESA.
  3. O ESA verifica dados globais para ver se há o endereço IP de Um ou Mais Servidores Cisco ICM NT de conexão.
  4. O serviço da reputação de SenderBase calcula a probabilidade que esta mensagem é Spam e atribui uma contagem das reputações de SenderBase.
  5. O ESA retorna a resposta (rejeitando o email ou estrangulando o remetente) baseada na contagem da reputação de SenderBase.

Como você se usa as contagens SBR dependerão de como agressivo você quer estar no email defiltração. O ESA oferece três estratégias diferentes para executar SenderBase:

  • O abordagem conservadora do conservador A é obstruir mensagens com uma contagem da reputação de SenderBase mais baixa de -4.0, estrangulá-lo entre -4.0 e -2.0, aplicar a política padrão entre -2.0 e +6.0, e aplicar a política confiada para mensagens com uma contagem maior de +6.0. Usar esta aproximação assegura uma taxa zero próxima do falso positivo ao conseguir o melhor desempenho de sistema. 
  • Moderar o moderado que à aproximação é obstruir mensagens com uma contagem da reputação de SenderBase mais baixo de -3.0, a estrangular entre -3.0 e 0, aplicar a política padrão entre 0 e +6.0, e para aplicar a política confiada para mensagens com uma contagem maior de +6.0. Usar esta aproximação assegura uma taxa muito pequena do falso positivo ao conseguir o melhor desempenho de sistema (porque mais correio é desviado longe do Anti-Spam que processa).
  • Agressivo uma aproximação agressiva é obstruir mensagens com uma contagem da reputação de SenderBase mais baixa de -2.0, estrangulá-la entre -2.0 e 0.5, aplicar a política padrão entre 0 e +4.0, e aplicar a política confiada para mensagens com uma contagem maior de +4.0. Usando esta aproximação, você pôde incorrer alguns falsos positivos; contudo, esta aproximação maximiza o desempenho de sistema desviando a maioria de correio longe do processamento do Anti-Spam.

Nota: Os usuários são recomendados igualmente atribuir todas as mensagens com uma contagem da reputação de SenderBase maior de 6.0 à política $TRUSTED.

Executando SenderBase que estrangula ou obstrução

A melhor maneira de usar contagens de SenderBase significa o seguimento de um simples, metodologia da 2-parte. Primeiramente, você decide em sua política (por exemplo, você poderia começar com a política “conservadora” acima) e traça essa política aos grupos do remetente. Então, você traça aqueles grupos do remetente à política que você quer. Cisco tem criado já uma matriz dos grupos do remetente e das políticas do fluxo de correio que podem servir como um molde para sua aplicação dos SBR. 

Para executar o estrangulamento de SenderBase baseado na política padrão, você editará os quatro grupos do remetente (Whitelist, lista negra, Suspectlist, e Unknownlist) na vista geral da tabela do acesso de Policies>Host do correio (CHAPÉU). Comece clicando no grupo do remetente de “Whitelist”. Então, usando o menu suspenso nos remetentes catalogue, clique sobre “adicionam o remetente” com de “a contagem da reputação SenderBase (SBR)” selecionada. Isto adicionará SBR alinha à lista de remetentes. Preencha sua escala da contagem SBR (neste caso 6.0 10.0) e clique o botão Submit Button.

A política para o grupo do remetente de Whitelist “é confiada. ” À revelia, esta política saltará o anti-Spam que processa, que aumentará o desempenho de sistema. Porque os remetentes com as contagens muito altas SBR são altamente pouco suscetíveis de enviar o Spam, esta etapa apenas aumentará a taxa de transferência. 

Edite os três grupos permanecendo do remetente para adicionar contagens SBR, de acordo com a tabela abaixo:

Grupo do remetente

Escala SBR

Política do fluxo de correio

Whitelist6 a 10CONFIADO
Unknownlist-2 a +6ACEITO
Suspectlist-7 a -2ESTRANGULADO
Lista negra-10 a -7OBSTRUÍDO

Quando você é feito que adiciona escalas da contagem, não esqueça clicar “comprometem mudanças.”

Quando você está adicionando SBR que marca regras aos grupos existentes do remetente, coloque-os na parte inferior da lista de remetentes em qualquer grupo. Peça matérias ao definir grupos do remetente no CHAPÉU de um ouvinte, como os grupos são avaliados de cima para baixo, e dentro de cada grupo, cada regra é avaliada individualmente, de cima para baixo. Em um CHAPÉU, a primeira regra que combina um remetente será usada para selecionar uma política. Se uma conexão recebida de um domínio de emissão tem SBR definidos marca e combina a escala em uma regra no CHAPÉU do ouvinte, a política do fluxo de correio será aplicado, mesmo se a outra pena mais adicional das regras na lista de grupos do remetente pôde igualmente combinar. 

Se sua política para pôr remetentes em grupos do remetente exige que todas as regras NON-SBR estejam avaliadas antes que as contagens SBR estejam consideradas, a seguir você pode simplesmente adicionar quatro grupos novos do remetente na extremidade da lista de grupos existentes do remetente especificamente para a política SBR que combina junto com suas políticas relevantes.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118586