Безопасность : устройства безопасности электронной почты Cisco ESA

Часто задаваемые вопросы ESA: Что делает значение SBRS "ни одного" среднее значение, и как можно обнаружить эти очки?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как понять и обнаружить Счет Репутации SenderBase (SBRS).

Внесенный Крисом Хээгом и Энрико Вернером, специалистами службы технической поддержки Cisco.

Что делает значение SBRS "ни одного" среднее значение, и как можно обнаружить эти очки?

SBRS назначен на IP-адрес на основе более чем 50 других факторов, таких как почтовая громкость, претензии пользователя и соответствия spamtrap. SBRS может колебаться от-10 до +10 и отражает вероятность, что почта от IP-адреса передачи является спамом. Очень отрицательные очки указывают на отправителей, кто, очень вероятно, передаст спам; очень положительные очки указывают на отправителей, кто вряд ли передаст спам. 

Однако некоторые IP-адреса имеют счет SenderBase "ни одного". Если ESA неспособен связаться с серверами SBRS, соединяющийся IP-адрес получает счет "ни одного". Данные SBRS очень своевременны, и устройство не кэширует очки SBRS вне приблизительно 30 минут. Если была проблема нестационарного соединения к серверам SBRS, возможно, что ранее "выигранный" IP-адрес обнаружится, поскольку не выигрывает "ни один".

В противном случае счет SenderBase основывается на объективных данных, которые SenderBase собирает о IP-адресе. Возможно, что нет достаточной истории и информации для данного IP-адреса для присвоения его точная репутация. Это означает, что громкость почты, которая происходит из IP-адреса в течение прошлых 30 дней, очень низка, или никакая почта не была замечена в том периоде времени. SenderBase решил, что этот IP-адрес имеет низкий объем, который вычислен с выборкой общего глобального почтового трафика. Если существует низкий объем для данного сервера / домен, это не могло бы появиться в выборках, собранных SenderBase. Уровень громкости не мог бы быть достаточно высоким, чтобы быть статистически значительным. Нет точного порога для того, когда трафик достаточно высок, чтобы начать накапливать счет, но текущий почтовый трафик, как оценивается, является приблизительно десятью миллиардами сообщений в день. Главные отправляющие узлы в данный день могут передавать близко к десяти миллионам сообщений каждый день. На этих общих сведениях в день, вряд ли зарегистрируется сервер, который посылает несколько сотен электронных писем. Нет никаких жалоб об этом IP-адресе, и этот адрес не появляется ни на одном из основанных на DNS черных списков.

Примечание: Счет "ни одного" не составляет уравнение к счету "0". Счет 0.0 средств, что SenderBase собрал равные суммы положительной и отрицательной информации об этом отправителе и назначил его нейтральная репутация

Просто не добавить "ни один" отправители репутации к SENDERGROUP через веб-GUI:

Перейдите к Почтовой Политике> Обзор HAT и выберите SENDERGROUP. Cisco рекомендует перейти к "SUSPECTLIST">, Редактируют Параметры настройки и проверяют флажок, чтобы не добавить "ни один" выигранные отправители к группе.

Примечание: Cisco не рекомендует, чтобы вы отклонили или отбросили соединения от SBRS "ни один" отправители. Если бы была проблема, которая предотвращает соединение с очень избыточной фермой серверов SBRS, Cisco, то Email Security Appliance (ESA) отбросил бы всю входящую почту. В большинстве случаев необходимо или использовать ПРИНЯТИЕ или политику потока почты ДРОССЕЛЯ вместо этого

Если вы добавляете IP-адрес отправителя к группе отправителя в таблице доступа к хосту (НАТ), эти sendergroups могут быть изменены на основе на отправителя. Если вы хотите совпасть со Счетом Репутации SenderBase "ни одного" в фильтре сообщения, вы не можете ввести:

"if (reputation == "(?i)none""

Это вызвано тем, что репутация является целочисленным значением, и это не может быть по сравнению со строкой. Однако простой отрицательный фильтр не будет совпадать ни с "одним" очки:

sbrs_none:
if not (reputation <= 10)
{
insert-header('X-SBRS-none', '$reputation');
}

Примечание: Поведение сравнений счета SBRS является тем же, если очки SBRS отключены на слушателе или если они фактически отсутствуют: в обоих случаях данные отсутствуют.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.