安全 : Cisco IronPort Email 安全设备

SenderBase名誉如何计分什么(SBRS) “无的”值平均值和能检测这些分数?

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 7 月 9 日) | 反馈

简介

本文描述如何了解和检测SenderBase名誉斯克尔(SBRS)。

贡献用克莉丝Haag和恩里科沃纳, Cisco TAC工程师。

SBRS如何重视什么“无”平均值和能您检测这些分数?

SBRS分配到IP地址根据50个不同的要素,例如电子邮件音量、用户投诉和spamtrap命中数。SBRS能范围自-10到+10,并且反射可能性从一个发送的IP地址的邮件是垃圾邮件。高度负分数指示是很可能发送垃圾邮件的发送方;高度正分数指示是不太可能发送垃圾邮件的发送方。 

然而,一些IP地址有“无的一个SenderBase分数”。如果ESA无法联系SBRS服务器,连接的IP地址接收“无的”分数。SBRS数据是非常及时的,并且设备不缓存在大约30分钟之外的SBRS分数。如果有一个断断续续连接问题到SBRS服务器,很可能,一个“以前被计分的” IP地址将出现作为“无”分数。

否则, SenderBase分数根据SenderBase收集关于IP地址的客观数据。很可能,没有满足的历史记录和信息一给的IP地址分配的它准确名誉。这意味着来自IP地址为最后30天的音量邮件非常低,或者邮件在该时间未被看到。SenderBase确定此IP地址有低音量,计算与总全世界电子邮件流量示例。如果有指定服务器/域的低音量,在SenderBase收集的示例也许没出现。水平音量也许不是足够高统计上是重大的。没有一确切的阈值为,当流量是足够高开始累计分数时,但是当前电子邮件流量预计是大约十每天的十亿个消息。在一个给的天的顶部发送的主机可能每天发送近十百万个消息。以这个为背景,发送几百的服务器给一个天发电子邮件不可能注册。没有关于此IP地址的投诉,并且此地址不出现在任何基于DNS的黑名单。

注意:“无的”分数不等同于对分数"0"。分数0.0意味着SenderBase收集了相等数量关于此发送方的正和负信息和分配它中立名誉

它是容易添加“无”名誉发送方对SENDERGROUP通过Web GUI :

邮件策略>帽子概述并且选择SENDERGROUP。思科建议您去“SUSPECTLIST” > Edit设置并且检查复选框添加“无”被计分的发送方给组。

注意:思科不建议您从SBRS拒绝或切连接“无”发送方。如果有防止对SBRS服务器极为冗长的组群的一连接的问题,您的思科电子邮件安全工具(ESA)将下降所有您的入站邮件。在大多数情况下,您应该使用接受或节流孔邮件流量策略

这些sendergroups可以更改根据每发送方基本类型,如果添加发送方的IP地址到主机访问的表(帽子)一发送方组。如果要匹配“无的” SenderBase名誉斯克尔在消息过滤器,您不能输入:

"if (reputation == "(?i)none""

这是因为名誉是数值,并且不可能与字符串比较。 然而,一个简单负过滤器什么都不会匹配“”计分:

sbrs_none:
if not (reputation <= 10)
{
insert-header('X-SBRS-none', '$reputation');
}

注意:SBRS分数比较行为是相同的,如果SBRS分数在监听程序禁用或,如果他们实际上未命中:在两种情况下,数据未命中。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 117903