Безопасность : устройства безопасности электронной почты Cisco ESA

Каковы оптимальные методы для использования SenderBase?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Вопрос

Каковы оптимальные методы для использования SenderBase?

Внесенный специалистами службы технической поддержки Cisco.

Ответ

В сочетании с Cisco Email Security Appliance (ESA) Сервис Репутации SenderBase (SBRS) предоставляет точное, адаптивный способ для вас, чтобы отклонить или задушить системы, которые, как подозревают, передавали спам на основе соединяющегося IP-адреса удаленного хоста. SBRS возвращает счет на основе вероятности, что сообщение из данного источника является спамом, в пределах от-10 (определенный, некоторый, чтобы быть спамом) до 0 к +10 (определенный, некоторый, чтобы не быть спамом). Несмотря на то, что SBRS может использоваться в качестве автономного решения для защиты от спама, это является самым эффективным, когда объединено с основанным на содержании сканером для защиты от спама, таким как Symantec Защита от спама Brightmail. 

Очки SenderBase могут использоваться в таблице доступа к хосту (НАТ) на слушателе SMTP для сопоставления входящих соединений SMTP с другой Sender Groups. Каждая Sender Group привязала к нему политику, которая влияет, как обрабатывается входящая электронная почта. Наиболее распространенные вещи сделать с очками SenderBase состоят в том, чтобы или отклонить почту полностью, или задушить подозреваемого отправителя спама.

Можно использовать очки SBRS в HAT, чтобы отклонить или задушить электронную почту. Можно также создать фильтры сообщения для определения "порогов" для очков SBRS для дальнейшей реакции на сообщения, обработанные системой. 

  1. Филиалы SenderBase передают глобальные данные в реальном времени.
  2. Передача MTA открывает соединение с ESA.
  3. ESA проверяет глобальные данные для соединяющегося IP-адреса.
  4. Сервис Репутации SenderBase вычисляет вероятность, это сообщение является спамом и назначает Счет Репутаций SenderBase.
  5. ESA возвращает ответ (или отклоняющий электронную почту или душащий отправителя) на основе Счета Репутации SenderBase.

То, как вы используете очки SBRS, будет зависеть от того, как агрессивный вы хотите быть в предварительном фильтровании электронной почты. ESA предлагает три других стратегии осуществления SenderBase:

  • Консерватор, который консервативный подход к групповым сообщениям со Счетом Репутации SenderBase ниже, чем-4.0, дроссель между-4.0 и-2.0, применяет политику по умолчанию между-2.0 и +6.0 и применяет доверяемую политику для сообщений со счетом, больше, чем +6.0. Использование этого подхода гарантирует почти нулевую скорость ошибочного допуска при достижении лучшей производительности системы. 
  • Умеренный умеренный подход к групповым сообщениям со Счетом Репутации SenderBase ниже, чем-3.0, дроссель между-3.0 и 0, примените политику по умолчанию между 0 и +6.0 и примените доверяемую политику для сообщений со счетом, больше, чем +6.0. Использование этого подхода гарантирует очень маленькую скорость ошибочного допуска при достижении лучшей производительности системы (потому что больше почты шунтируется далеко от обработки Защиты от спама).
  • Агрессивный агрессивный подход к групповым сообщениям со Счетом Репутации SenderBase ниже, чем-2.0, дроссель между-2.0 и 0.5, примените политику по умолчанию между 0 и +4.0 и примените доверяемую политику для сообщений со счетом, больше, чем +4.0. Использование этого подхода, вы могли бы подвергнуться некоторым ошибочным допускам; однако, этот подход увеличивает производительность системы путем шунтирования самого почтового далеко от обработки Для защиты от спама.

Примечание: Пользователям также рекомендуют назначить все сообщения со Счетом Репутации SenderBase, больше, чем 6.0 к политике $TRUSTED.

Осуществление удушения SenderBase или блокирования

Лучший способ использовать средства очков SenderBase после простой, методологии с 2 частями. Во-первых, вы выбираете политику (например, вы могли запустить с "консервативной" политики выше), и сопоставьте ту политику с Sender Groups. Затем вы сопоставляете те группы отправителя с политикой, которую вы хотите. Cisco уже создал матрицу Sender Groups и Почтовой Политики Потока, которая может служить шаблоном для реализации SBRS. 

Для осуществления SenderBase , душащего на основе политики по умолчанию, вы отредактируете четыре группы отправителя (Белый список, Черный список, Suspectlist и Unknownlist) в Почтовой Политике> Обзор таблицы доступа к хосту (НАТ). Запустите путем щелчка по группе отправителя "Whitelist". Затем с помощью раскрывающегося меню во вкладке Senders щелкните по "Add Sender" со "Счетом Репутации SenderBase (SBRS)", выбранный. Это добавит линию SBRS к списку отправителей. Заполните диапазон счета SBRS (в этом случае 6.0 к 10.0) и нажмите Кнопку отправки.

Политике для группы отправителя Белого списка "Доверяют". По умолчанию эта политика пропустит обработку для защиты от спама, которая увеличит производительность системы. Поскольку отправители с очень высокими очками SBRS очень вряд ли будут передавать спам, один только этот шаг увеличит пропускную способность. 

Отредактируйте оставление тремя Sender Groups для добавления очков SBRS, согласно таблице ниже:

Sender Group

Диапазон SBRS

Почтовая политика потока

Белый список6 - 10ДОВЕРЯЕМЫЙ
Unknownlist- 2 к +6ПРИНЯТЫЙ
Suspectlist- 7 к-2ЗАДУШЕННЫЙ
Черный список- 10 к-7ЗАБЛОКИРОВАННЫЙ

Когда вы будете сделаны, добавляя диапазоны счета, не забывайте нажимать "Commit Changes".

Когда вы добавляете SBRS выигрывающие правила к существующим группам отправителя, размещаете их у основания списка отправителей в любой группе. Вопросы заказа при определении групп отправителя в HAT слушателя, поскольку группы оценены сверху донизу, и в каждой группе, каждое правило, оценены индивидуально, сверху донизу. В HAT первое правило, совпадающее с отправителем, будет использоваться для выбора политики. Если входящее соединение от домена передачи будет иметь определенный счет SBRS и совпадет с диапазоном в правиле в HAT слушателя, то почтовая политика потока будет применена, даже если могли бы также совпасть другие правила далее вниз в списке групп отправителя. 

Если политика для помещения отправителей в группы отправителя требует, чтобы все правила non-SBRS были оценены, прежде чем очки SBRS рассматривают, то можно просто добавить четыре новых группы отправителя в конце списка существующих групп отправителя в частности для политики SBRS, совпадающей вместе с их соответствующей политикой.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.