Was sind die Best Practices für die Verwendung von SenderBase?

Download-Optionen

  • PDF     (311.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:19. November 2020
Dokument-ID:118381

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Best Practices für die Verwendung von SenderBase beschrieben.

    Was sind die Best Practices für die Verwendung von SenderBase?

    Der SenderBase Reputation Service (SBRS) bietet eine präzise, flexible Möglichkeit für Sie, Systeme, bei denen der Verdacht besteht, dass sie Spam versenden, auf Basis der Verbindungs-IP-Adresse des Remote-Hosts abzulehnen oder zu drosseln. Der SBRS gibt einen Wert zurück, der auf der Wahrscheinlichkeit basiert, dass eine Nachricht von einer bestimmten Quelle Spam ist, und der Bereich von -10 (sicher ist Spam) bis +10 (sicher nicht Spam) reicht. Obwohl SBRS als eigenständige Anti-Spam-Lösung verwendet werden kann, ist es am effektivsten, wenn es mit einem inhaltsbasierten Anti-Spam-Scanner kombiniert wird.

    SenderBase-Bewertungen können in der Host Access Table (HAT) auf einem SMTP-Listener verwendet werden, um eingehende SMTP-Verbindungen verschiedenen Absendergruppen zuzuordnen. Jede Absendergruppe ist mit einer Richtlinie verknüpft, die die Verarbeitung eingehender E-Mails beeinflusst. Die häufigsten Vorgänge bei SenderBase-Bewertungen sind das vollständige Zurückweisen von E-Mails oder das Drosseln des verdächtigen Spam-Absenders.

    Sie können SBRS-Bewertungen in der HAT verwenden, um E-Mails abzulehnen oder zu drosseln. Sie können auch Nachrichtenfilter erstellen, um "Schwellenwerte" für SBRS-Bewertungen festzulegen, die auf vom System verarbeitete Nachrichten angewendet werden. Das folgende Diagramm bietet einen groben Überblick darüber, wie SBRS-Bewertungen verwendet werden können, um verdächtige Absender zu blockieren oder zu drosseln:

    1. SenderBase-Partner senden globale Echtzeitdaten.
    2. Durch Senden der MTA wird die Verbindung mit der Appliance geöffnet.
    3. Die Appliance überprüft globale Daten für die IP-Adresse, die die Verbindung herstellt.
    4. SenderBase Reputation Service berechnet die Wahrscheinlichkeit, mit der diese Nachricht als Spam eingestuft wird, und weist eine SenderBase Reputation Score zu.
    5. Die Appliance gibt die Antwort (entweder die E-Mail zurückweist oder den Absender einschränkt) basierend auf der SenderBase-Reputationsbewertung zurück.

    Die Verwendung der SBRS-Bewertungen hängt davon ab, wie aggressiv Sie die E-Mail-Vorfilterung vorantreiben möchten. Die E-Mail Security Appliance (ESA) bietet drei verschiedene Strategien für die Implementierung von SenderBase:

    • Konservativ: Ein konservativer Ansatz besteht darin, Nachrichten mit einer SenderBase-Reputationsbewertung unter -7,0 zu blockieren, eine Drosselung zwischen -7,0 und -2,0 vorzunehmen, die Standardrichtlinie zwischen -2,0 und +6,0 anzuwenden und die vertrauenswürdige Richtlinie für Nachrichten mit einer Bewertung über +6,0 anzuwenden. Mit diesem Ansatz wird eine Fehlalarmquote von nahezu null bei gleichzeitiger Verbesserung der Systemleistung sichergestellt.
    • Mäßig: Ein moderater Ansatz besteht darin, Nachrichten mit einer SenderBase-Reputationsbewertung unter -4,0 zu blockieren, eine Drosselung zwischen -4,0 und 0 durchzuführen, die Standardrichtlinie zwischen 0 und +6,0 anzuwenden und die vertrauenswürdige Richtlinie für Nachrichten mit einer Punktzahl über +6,0 anzuwenden. Mit diesem Ansatz wird eine sehr kleine Fehlalarmquote sichergestellt und gleichzeitig eine bessere Systemleistung erreicht (da mehr E-Mails von der Anti-Spam-Verarbeitung weggeschickt werden).
    • Aggressiv: Ein aggressiver Ansatz besteht darin, Nachrichten mit einer SenderBase-Reputationsbewertung unter -1,0 zu blockieren, eine Drosselung zwischen -1,0 und 0 durchzuführen, die Standardrichtlinie zwischen 0 und +4,0 anzuwenden und die vertrauenswürdige Richtlinie für Nachrichten mit einer Punktzahl über +4,0 anzuwenden. Bei diesem Ansatz können einige Fehlalarme auftreten. Dieser Ansatz maximiert jedoch die Systemleistung, indem die meisten E-Mails von der Anti-Spam-Verarbeitung weggeleitet werden.

    In der folgenden Tabelle sind diese drei Grundsätze zusammengefasst:

    Ansatz Eigenschaften Zulassungsliste Sperrliste Suspectlist Unbekannte Liste
    Sender Base-Reputationsbewertungsbereich:
    Konservativ Beinahe keine Fehlalarme, bessere Leistung 7 bis 10 -10 bis -4 -4 bis -2 -2 bis 7
    Moderat (Standard) Sehr wenige Fehlalarme, hohe Leistung Sender Base-Reputationsbewertungen werden nicht verwendet. -10 bis -3 -3 bis -1 -1 bis +10
    aggressiv

    Einige Fehlalarme, maximale Leistung

    Mit dieser Option werden die meisten E-Mails von der Anti-Spam-Verarbeitung ferngehalten.

    		 4 bis 10 -10 bis -2 -2 bis -1 -1 bis 4
    Alle Ansätze Mail Flow Policy:
    Vertrauenswürdig Gesperrt gedrosselt Akzeptiert

    SenderBase-Einschränkung oder -Blockierung implementieren

    Die beste Methode zur Verwendung der SenderBase-Bewertungen besteht darin, eine einfache, zweiteilige Methodik zu befolgen. Zuerst entscheiden Sie über Ihre Richtlinie (Sie könnten z. B. mit der oben genannten "konservativen" Richtlinie beginnen) und ordnen diese Richtlinie Absendergruppen zu. Ordnen Sie diese Absendergruppen dann der gewünschten Richtlinie zu. Die ESA hat bereits eine Matrix mit Absendergruppen und Mail Flow Policies erstellt, die als Vorlage für Ihre Implementierung von SBRS dienen kann. 

    Um die SenderBase-Drosselung auf Basis der Standardrichtlinie zu implementieren, bearbeiten Sie die vier Absendergruppen (Zulässig, Sperrliste, Suspectlist und Unbekannte Liste) unter Mail-Policys > Host Access Table (HAT) Overview. Klicken Sie zunächst auf die Absendergruppe "Zulässig". Klicken Sie dann im Dropdown-Menü auf der Registerkarte Absender auf "Absender hinzufügen" mit "SenderBase Reputation Score (SBRS)" ausgewählt wurde. Dadurch wird der Liste der Absender eine SBRS-Zeile hinzugefügt. Geben Sie Ihren SBRS-Punktebereich ein (in diesem Fall 6.0 bis 10.0), und klicken Sie auf die Schaltfläche Submit (Senden).

    Die Richtlinie für die Absendergruppe der Zulassungsliste lautet "Vertrauenswürdig". Standardmäßig wird mit dieser Richtlinie die Anti-Spam-Verarbeitung übersprungen, wodurch die Systemleistung erhöht wird. Da Absender mit sehr hohen SBRS-Bewertungen sehr unwahrscheinlich sind, Spam zu versenden, wird durch diesen Schritt allein der Durchsatz erhöht. Bearbeiten Sie die verbleibenden drei Absendergruppen, um die SBRS-Bewertungen gemäß der folgenden Tabelle hinzuzufügen:

    Absendergruppe  Bewertungsbereich  Ergebnis
    Zulassungsliste 6 bis 10 Bekannte einwandfreie Absender werden nicht überprüft
    Unbekannte Liste -2 bis +6 Absender mit wenigen Informationen werden normal gescannt.
    Suspectlist -7 bis -2 Absender mit schlechter Reputation werden stark gedrosselt, um die Menge an Spam zu reduzieren, die sie versenden können
    Sperrliste -10 bis -7 E-Mails von bekannten Spammern werden zur SMTP-Zeit mit einer Antwort von 5xx abgelehnt.

    Wenn Sie alle Ergebnisbereiche hinzugefügt haben, vergessen Sie nicht, auf "Änderungen bestätigen" zu klicken. Wenn Sie SBRS-Bewertungsregeln zu vorhandenen Absendergruppen hinzufügen, platzieren Sie sie am unteren Rand der Liste der Absender in einer beliebigen Gruppe. Sortierung ist wichtig, wenn Absendergruppen in der HAT eines Listeners definiert werden, da die Gruppen von oben nach unten ausgewertet werden, und innerhalb jeder Gruppe wird jede Regel einzeln ausgewertet, von oben nach unten. In einer HAT wird die erste Regel, die mit einem Absender übereinstimmt, zum Auswählen einer Richtlinie verwendet. Wenn eine eingehende Verbindung von einer sendenden Domäne eine bestimmte SBRS-Bewertung hat und mit dem Bereich in einer Regel in der HAT des Listeners übereinstimmt, wird die Mail Flow Policy angewendet, selbst wenn andere weiter unten in der Liste der Absendergruppen befindliche Regeln ebenfalls übereinstimmen. 

    Wenn Ihre Richtlinie zum Einfügen von Absendern in Absendergruppen erfordert, dass alle Nicht-SBRS-Regeln ausgewertet werden, bevor SBRS-Bewertungen berücksichtigt werden, können Sie einfach vier neue Absendergruppen am Ende der Liste der vorhandenen Absendergruppen hinzufügen, die speziell für die Übereinstimmung der SBRS-Richtlinie mit den entsprechenden Richtlinien verwendet werden.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    08-Sep-2014
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Nasir Shakour
      Cisco TAC Engineer
    • Enrico Werner
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.