Безопасность : устройства безопасности электронной почты Cisco ESA

Каковы оптимальные методы для использования SenderBase?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает оптимальные методы для использования SenderBase.

Внесенный Нэзиром Шэкуром и Энрико Вернером, специалистами службы технической поддержки Cisco.

Каковы оптимальные методы для использования SenderBase?

Сервис Репутации SenderBase (SBRS) предоставляет точное, адаптивный способ для вас, чтобы отклонить или задушить системы, которые, как подозревают, передавали спам на основе соединяющегося IP-адреса удаленного хоста. SBRS возвращает счет на основе вероятности, что сообщение из данного источника является спамом, в пределах от-10 (определенный, некоторый, чтобы быть спамом) до 0 к +10 (определенный, некоторый, чтобы не быть спамом). Несмотря на то, что SBRS может использоваться в качестве автономного решения для защиты от спама, это является самым эффективным, когда объединено с основанным на содержании сканером для защиты от спама.

Очки SenderBase могут использоваться в таблице доступа к хосту (НАТ) на слушателе SMTP для сопоставления входящих соединений SMTP с другой Sender Groups. Каждая Sender Group привязала к нему политику, которая влияет, как обрабатывается входящая электронная почта. Наиболее распространенные вещи сделать с очками SenderBase состоят в том, чтобы или отклонить почту полностью, или задушить подозреваемого отправителя спама.

Можно использовать очки SBRS в HAT, чтобы отклонить или задушить электронную почту. Можно также создать фильтры сообщения для определения "порогов" для очков SBRS для дальнейшей реакции на сообщения, обработанные системой. Приведенный ниже рисунок предоставляет грубую структуру того, как очки SBRS могут использоваться, чтобы заблокировать или задушить подозреваемых отправителей:

  1. Филиалы SenderBase передают глобальные данные в реальном времени.
  2. Передача MTA открывает соединение с устройством.
  3. Устройство проверяет глобальные данные для соединяющегося IP-адреса.
  4. Сервис Репутации SenderBase вычисляет вероятность, это сообщение является спамом и назначает Счет Репутаций SenderBase.
  5. Устройство возвращает ответ (или отклоняющий электронную почту или душащий отправителя) на основе Счета Репутации SenderBase.

То, как вы используете очки SBRS, будет зависеть от того, как агрессивный вы хотите быть в предварительном фильтровании электронной почты. Email Security Appliance (ESA) предлагает три других стратегии осуществления SenderBase:

  • Консерватор: консервативный подход к групповым сообщениям со Счетом Репутации SenderBase ниже, чем-7.0, дроссель между-7.0 и-2.0, примените политику по умолчанию между-2.0 и +6.0 и примените доверяемую политику для сообщений со счетом, больше, чем +6.0. Использование этого подхода гарантирует почти нулевую скорость ошибочного допуска при достижении лучшей производительности системы.
  • Умеренный: умеренный подход к групповым сообщениям со Счетом Репутации SenderBase ниже, чем -4.0, дроссель между-4.0 и 0, примените политику по умолчанию между 0 и +6.0 и примените доверяемую политику для сообщений со счетом, больше, чем +6.0. Использование этого подхода гарантирует очень маленькую скорость ошибочного допуска при достижении лучшей производительности системы (потому что больше почты шунтируется далеко от обработки Защиты от спама).
  • Агрессивный: агрессивный подход к групповым сообщениям со Счетом Репутации SenderBase ниже, чем-1.0, дроссель между-1.0 и 0, примените политику по умолчанию между 0 и +4.0 и примените доверяемую политику для сообщений со счетом, больше, чем +4.0. Использование этого подхода, вы могли бы подвергнуться некоторым ошибочным допускам; однако, этот подход увеличивает производительность системы путем шунтирования самого почтового далеко от обработки Для защиты от спама.

График и таблица ниже суммируют эти три политики:

Осуществление удушения SenderBase или блокирования

Лучший способ использовать средства очков SenderBase после простой, методологии с 2 частями. Во-первых, вы выбираете политику (например, вы могли запустить с "консервативной" политики выше), и сопоставьте ту политику с Sender Groups. Затем вы сопоставляете те группы отправителя с политикой, которую вы хотите. ESA уже создал матрицу Sender Groups и Почтовой Политики Потока, которая может служить шаблоном для реализации SBRS. 

Для осуществления SenderBase, душащего на основе политики по умолчанию, вы отредактируете четыре группы отправителя (Белый список, Черный список, Suspectlist и Unknownlist) в Почтовой Политике> Обзор таблицы доступа к хосту (НАТ). Запустите путем щелчка по группе отправителя "Whitelist". Затем с помощью раскрывающегося меню во вкладке Senders щелкните по "Add Sender" со "Счетом Репутации SenderBase (SBRS)", выбранный. Это добавит линию SBRS к списку отправителей. Заполните диапазон счета SBRS (в этом случае 6.0 к 10.0) и нажмите Кнопку отправки.

Политике для группы отправителя Белого списка "Доверяют". По умолчанию эта политика пропустит обработку для защиты от спама, которая увеличит производительность системы. Поскольку отправители с очень высокими очками SBRS очень вряд ли будут передавать спам, один только этот шаг увеличит пропускную способность. Отредактируйте оставление тремя Sender Groups для добавления очков SBRS, согласно таблице ниже:

Sender GroupДиапазон счетаРезультат
Белый список6 - 10Известные хорошие отправители не будут просмотрены
Unknownlist- 2 к +6Отправители с небольшой информацией будут обычно просматриваться
Suspectlist- 7 к-2Отправителей с плохой репутацией в большой степени задушат для сокращения суммы спама, который они могут передать
Черный список- 10 к-7Почта от известных спаммеров будет отклонена во время SMTP с 5xx ответ

Когда вы будете сделаны, добавляя диапазоны счета, не забывайте нажимать "Commit Changes". Когда вы добавляете SBRS выигрывающие правила к существующим группам отправителя, размещаете их у основания списка отправителей в любой группе. Вопросы заказа при определении групп отправителя в HAT слушателя, поскольку группы оценены сверху донизу, и в каждой группе, каждое правило, оценены индивидуально, сверху донизу. В HAT первое правило, совпадающее с отправителем, будет использоваться для выбора политики. Если входящее соединение от домена передачи будет иметь определенный счет SBRS и совпадет с диапазоном в правиле в HAT слушателя, то почтовая политика потока будет применена, даже если могли бы также совпасть другие правила далее вниз в списке групп отправителя. 

Если политика для помещения отправителей в группы отправителя требует, чтобы все правила non-SBRS были оценены, прежде чем очки SBRS рассматривают, то можно просто добавить четыре новых группы отправителя в конце списка существующих групп отправителя в частности для политики SBRS, совпадающей вместе с их соответствующей политикой.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.