Sécurité : Appareil de sécurité de courriel Cisco

Quelles sont les pratiques recommandées pour l'usage de SenderBase ?

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Question

Quelles sont les pratiques recommandées pour l'usage de SenderBase ?

Contribué par des ingénieurs TAC Cisco.

Réponse

En même temps que l'appliance de sécurité du courrier électronique de Cisco (ESA), le service de réputation de SenderBase (SBRS) fournit un précis, la façon flexible pour que vous rejetiez ou pour étranglez des systèmes suspectés transmettre le Spam basé sur l'adresse IP se connectante du serveur distant. Le SBRS renvoie un score basé sur la probabilité qu'un message d'une source donnée est Spam, s'étendant de -10 (sûr d'être Spam) par 0 à +10 (sûr de ne pas être Spam). Bien que SBRS puisse être utilisé comme solution autonome d'anti-Spam, il est le plus efficace une fois combiné avec un scanner basé sur contenu d'anti-Spam, tel que l'anti-Spam de Symantec Brightmail. 

Des scores de SenderBase peuvent être utilisés dans le Tableau d'accès au hôte (CHAPEAU) sur un auditeur de SMTP pour tracer les connexions entrantes de SMTP à différents groupes d'expéditeur. Chaque groupe d'expéditeur a associé avec lui une stratégie qui affecte comment l'email entrant est manipulé. Les choses les plus communes à faire avec des scores de SenderBase sont à l'un ou l'autre de messagerie d'anomalie entièrement, ou pour étrangler l'expéditeur suspecté de Spam.

Vous pouvez employer des scores SBRS dans le CHAPEAU pour rejeter ou étrangler l'email. Vous pouvez également créer des filtres de message pour spécifier des « seuils » pour que les scores SBRS agissent plus loin sur des messages traités par le système. 

  1. Les filiales de SenderBase envoient le temps réel, des données globales.
  2. L'envoi du MTA ouvre la connexion avec l'ESA.
  3. L'ESA vérifie des données globales pour l'adresse IP se connectante.
  4. Le service de réputation de SenderBase calcule la probabilité que ce message est Spam et assigne un score de réputations de SenderBase.
  5. L'ESA renvoie la réponse (l'un ou l'autre rejetant l'email ou étranglant l'expéditeur) basée sur le score de réputation de SenderBase.

Comment vous utilisez les scores SBRS dépendront de la façon dont agressif vous voulez être dans l'email de pré-filtrage. L'ESA offre trois stratégies différentes pour mettre en application SenderBase :

  • L'approche prudente du conservateur A est de bloquer des messages avec un score de réputation de SenderBase inférieur que -4.0, d'étrangler entre -4.0 et -2.0, appliquer la stratégie par défaut entre -2.0 et +6.0, et d'appliquer la stratégie de confiance pour des messages avec un score plus grand que +6.0. Utilisant cette approche assure un débit zéro proche de faux positif tout en réalisant une meilleure performance du système. 
  • Modérez l'approche modérée A est de bloquer des messages avec un score de réputation de SenderBase inférieur que -3.0, d'étrangler entre -3.0 et 0, appliquer la stratégie par défaut entre 0 et +6.0, et appliquer la stratégie de confiance pour des messages avec un score plus grand que +6.0. Utilisant cette approche assure un débit très petit de faux positif tout en réalisant une meilleure performance du système (parce que plus de messagerie est manoeuvrée à partir de l'anti-Spam traitant).
  • Agressif une approche agressive est de bloquer des messages avec un score de réputation de SenderBase inférieur que -2.0, d'étrangler entre -2.0 et 0.5, appliquer la stratégie par défaut entre 0 et +4.0, et d'appliquer la stratégie de confiance pour des messages avec un score plus grand que +4.0. Utilisant cette approche, vous pourriez encourir quelques faux positifs ; cependant, cette approche maximise la performance du système en manoeuvrant la plupart de messagerie à partir du traitement d'anti-Spam.

Remarque: Des utilisateurs sont également recommandés pour assigner tous les messages avec un score de réputation de SenderBase plus grand que 6.0 à la stratégie $TRUSTED.

Mise en oeuvre de SenderBase étranglant ou blocage

La meilleure manière d'utiliser des scores de SenderBase signifie suivre une méthodologie simple et en deux parties. D'abord, vous décidez de votre stratégie (par exemple, vous pourriez commencer par la stratégie « conservatrice » ci-dessus) et tracez cette stratégie aux groupes d'expéditeur. Puis, vous tracez ces groupes d'expéditeur à la stratégie que vous voulez. Cisco a déjà créé une matrice des groupes d'expéditeur et des stratégies de flux de courrier qui peuvent servir de modèle à votre implémentation de SBRS. 

Pour implémenter l'étranglement de SenderBase basé sur la stratégie par défaut, vous éditerez les quatre groupes d'expéditeur (Whitelist, liste noire, Suspectlist, et Unknownlist) à l'aperçu de Tableau de Policies>Host Access de messagerie (CHAPEAU). Début en cliquant sur sur le groupe d'expéditeur de « Whitelist ». Puis, utilisant le menu déroulant dans l'onglet d'expéditeurs, cliquez sur en fonction « ajoutent l'expéditeur » avec « le score de réputation de SenderBase (SBRS) » sélectionné. Ceci ajoutera une ligne SBRS à la liste d'expéditeurs. Complétez votre plage de score SBRS (dans ce cas 6.0 10.0) et cliquez sur le bouton de soumission.

La stratégie pour le groupe d'expéditeur de Whitelist « est faite confiance.  » Par défaut, cette stratégie ignorera l'anti-Spam traitant, qui augmentera la performance du système. Puisque les expéditeurs avec les scores très élevés SBRS sont fortement peu susceptibles d'envoyer le Spam, cette seule étape augmentera le débit. 

Éditez les trois groupes demeurants d'expéditeur pour ajouter des scores SBRS, selon la table ci-dessous :

Groupe d'expéditeur

Plage SBRS

Stratégie de flux de courrier

Whitelist6 à 10FAIT CONFIANCE
Unknownlist-2 à +6REÇU
Suspectlist-7 à -2ÉTRANGLÉ
Liste noire-10 à -7BLOQUÉ

Quand vous êtes fait ajoutant des plages de score, n'oubliez pas de cliquer sur des « modifications de validation. »

Quand vous ajoutez des règles de marquage SBRS aux groupes existants d'expéditeur, placez-les au bas de la liste d'expéditeurs dans n'importe quel groupe. Commandez les sujets en définissant des groupes d'expéditeur dans le CHAPEAU d'un auditeur, en tant que groupes sont évalués de haut en bas, et dans chaque groupe, chaque règle est évaluée individuellement, de haut en bas. Dans un CHAPEAU, la première règle appariant un expéditeur sera utilisée pour sélectionner une stratégie. Si une connexion entrante d'un domaine de envoi a un score défini SBRS et apparie la plage dans une règle dans le CHAPEAU de l'auditeur, la stratégie de flux de courrier sera appliquée, même si l'autre bas de règles autre dans la liste de groupes d'expéditeur pourrait également s'assortir. 

Si votre stratégie pour mettre des expéditeurs dans des groupes d'expéditeur exige que toutes les règles de non-SBRS soient évaluées avant que des scores SBRS soient considérés, alors vous pouvez simplement ajouter quatre nouveaux groupes d'expéditeur à la fin de la liste de groupes existants d'expéditeur spécifiquement pour la stratégie SBRS s'assortissant avec leurs stratégies appropriées.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118586