Sécurité : Appareil de sécurité de courriel Cisco

FOIRE AUX QUESTIONS ESA : Queest-ce que le SBRS évalue de « aucun » le moyen, et comment peut vous détecter ces scores ?

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment comprendre et détecter le score de réputation de SenderBase (SBRS).

Contribué par Chris Haag et Enrico Werner, ingénieurs TAC Cisco.

Queest-ce que le SBRS évalue de « aucun » le moyen, et comment peut vous détecter ces scores ?

Le SBRS est assigné à une adresse IP basée en fonction plus de 50 facteurs différents, tels que le volume d'email, les plaintes d'utilisateur, et les hit de spamtrap. Le SBRS peut s'étendre de -10 à +10, et reflète la probabilité qui les envoient par mail d'une adresse IP de envoi sont Spam. Les scores fortement négatifs indiquent les expéditeurs qui sont très pour envoyer le Spam ; les scores fortement positifs indiquent les expéditeurs qui sont peu susceptibles d'envoyer le Spam. 

Cependant, quelques adresses IP ont une vingtaine de SenderBase de « aucun. » Si l'ESA ne peut pas contacter les serveurs SBRS, l'adresse IP se connectante reçoit une vingtaine de « aucun ». Les données SBRS sont très opportunes et l'appliance ne cache pas des scores SBRS au delà d'approximativement 30 minutes. S'il y avait un problème de connexion intermittent aux serveurs SBRS, il est possible qu'une adresse IP « précédemment marquée » révélera en tant que « aucun » le score.

Autrement, le score de SenderBase est basé sur les données objectives que SenderBase collecte au sujet d'une adresse IP. Il est possible qu'il n'y ait pas historique et informations suffisants pour qu'une adresse IP donnée lui assigne une réputation précise. Ceci signifie que le volume de messagerie qui provient l'adresse IP pour les 30 derniers jours est très bas, ou aucune messagerie n'a été vue dans ce délai prévu. SenderBase a déterminé que cette adresse IP a le bas volume, qui est calculé avec un échantillon du trafic mondial total d'email. S'il y a bas volume pour un serveur donné/domaine, il ne pourrait pas apparaître dans les échantillons collectés par SenderBase. Le niveau du volume ne pourrait pas être assez élevé pour être statistiquement significatif. Il n'y a pas un seuil précis pour quand le trafic est assez élevé pour commencer accumuler un score, mais on estime que le trafic en cours d'email est environ dix milliards de messages par jour. Les hôtes expéditeur supérieurs un jour donné peuvent envoyer de près de dix millions de messages chaque jour. Dans cette perspective, un serveur qui envoie quelques cent envoie un jour n'est pas susceptible de s'enregistrer. Il n'y a aucune plainte au sujet de cette adresse IP, et cette adresse n'apparaît pas sur les listes noires basées sur dn l'unes des.

Remarque: Une vingtaine de « aucun » n'égalise pas à une vingtaine de "0". Une vingtaine de 0.0 signifie que SenderBase a collecté des quantités égales d'informations positives et négatives sur cet expéditeur, et lui a assigné une réputation neutre

Il est facile de n'en ajouter « aucun » des expéditeurs de réputation à un SENDERGROUP par l'intermédiaire du GUI de Web :

Allez aux stratégies de messagerie > à l'aperçu de CHAPEAU et choisissez un SENDERGROUP. Cisco recommande que vous alliez à « SUSPECTLIST » > éditiez des configurations et vérifiiez la case à cocher pour n'en ajouter le « aucun » les expéditeurs marqués au groupe.

Remarque: Cisco ne recommande pas que vous rejetiez ou relâchiez des connexions de SBRS « aucun » des expéditeurs. S'il y avait une question qui empêche une connexion à la batterie fortement redondante des serveurs SBRS, votre appliance de sécurité du courrier électronique de Cisco (ESA) relâcherait toute votre messagerie d'arrivée. Dans la plupart des cas, vous devriez stratégie de flux de courrier utiliser ACCEPT ou de COMMANDE DE PUISSANCE à la place

Ces sendergroups peuvent être changés sur une base de par-expéditeur si vous ajoutez l'adresse IP de l'expéditeur à un groupe d'expéditeur dans le Tableau d'accès au hôte (CHAPEAU). Si vous voulez apparier une vingtaine de réputation de SenderBase de « aucun » dans un filtre de message, vous ne pouvez pas entrer :

"if (reputation == "(?i)none""

C'est parce que la réputation est une valeur numérique, et elle ne peut pas être comparée à une chaîne.  Cependant, un filtre négatif simple n'en appariera « aucun » marque :

sbrs_none:
if not (reputation <= 10)
{
insert-header('X-SBRS-none', '$reputation');
}

Remarque: Le comportement des comparaisons de score SBRS est identique si des scores SBRS sont désactivés sur un auditeur ou s'ils manquent réellement : dans des les deux cas, les données manquent.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 117903