Sécurité : Appareil de sécurité de courriel Cisco

Comment est-ce que je modifie l'en-tête soumise pour signaler les messages qui ont un bas score de réputation de SenderBase (SBRS) ?

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contenu

Contribué par Nasir Shakour et Enrico Werner, ingénieurs TAC Cisco.

Question

Comment est-ce que je modifie l'en-tête soumise pour signaler les messages qui ont un bas score de réputation de SenderBase (SBRS) ?

Le score de réputation de SenderBase (SBRS) est une valeur entre -10 et +10 pour des adresses IP reflétant la probabilité qu'une adresse IP actuellement est utilisée pour envoyer le Spam.  (Quelques adresses pour lesquelles aucune informations sont retour disponible par « aucun » score). Vous pouvez utiliser ce score de plusieurs manières en tant qu'élément de votre stratégie de Gestion de Spam d'entreprise.  Quelques gestionnaires de réseau peuvent vouloir étiqueter des messages avec leurs scores SBRS pour permettre à des filtres plus loin en bas de leur pipeline d'email d'agir sur les scores. 

Pour utiliser des scores SBRS, l'auditeur doit faire activer des requêtes de SenderBase.  C'est le comportement par défaut, et peut seulement être changé du CLI utilisant le listenerconfig->edit->setup.  (Note qui même si SBRS est désactivé, vous verra toujours des rapports de notes SBRS de « aucun » pour chaque hôte expéditeur dans les mail_logs classer.)  Le score SBRS est disponible pour tous les messages (bien qu'il peut n'en être « aucun, » signifiant qu'aucun score SBRS n'est disponible pour une adresse IP) basés sur l'adresse IP de envoi du message. 

Le score SBRS est enregistré dans une variable, $REPUTATION, qui est à la disposition de vous dans des filtres de message (et dans d'autres endroits). Cette variable peut être testée pour déterminer une certaine action de filtre, et elle peut être utilisée dans des actions de filtre telles qu'ajouter des en-têtes aux messages. Le filtre de message suivant affiche comment vous pouvez ajouter le score de SenderBase et d'autres paramètres basés sur chapeau de stratégie comme en-têtes de corps à n'importe quel message envoyé par un auditeur particulier « InboundMail » :

AddHATDataForInbound:
 If ( recv-inj == "InboundMail")
 {   
  insert-header ('X-SBRS', '$REPUTATION');
  insert-header ('X-SenderGroup', '$GROUP');
  insert-header ('X-MailFlowPolicy', '$POLICY');
 }

Note - Les expéditeurs pour lesquels il n'y a aucun score SBRS auront une valeur $REPUTATION de « aucun » ; expéditeurs qui tombent dans aucun expéditeur spécifique que le groupe aura un groupe d'expéditeur de « <Unknown> » et une stratégie de flux de courrier de « $ACCEPTED ».

Le filtre de message ci-dessous est plus complexe.  Il marque toujours le score SBRS comme en-tête « x » dans le message.  Si le score SBRS est moins que (ou égal) -2.0, alors il marquera également la réputation dans le sujet de message à l'extrémité, entourée en droit et caractères bouclés laissés de crochet.  Ce filtre essaye également de ne pas marquer le champ objet plus d'une fois :

MarkSBRSinSubject:
if ( (recv-inj == "InboundMail") AND
  (subject != "\\{SBRS .*\\}$")          ) 
 {
  insert-header("X-SBRS", "$REPUTATION");
  if (reputation <= -2.0) 
  {
   strip-header("Subject");
   insert-header("Subject", "$Subject \\{SBRS $REPUTATION\\}");
  }
 }


Document ID: 117977