Was sind die Best Practices für die Verwendung von SenderBase?
Inhalt
Einleitung
In diesem Dokument werden die Best Practices für die Verwendung von SenderBase beschrieben.
Was sind die Best Practices für die Verwendung von SenderBase?
Der SenderBase Reputation Service (SBRS) bietet eine präzise, flexible Möglichkeit für Sie, Systeme, bei denen der Verdacht besteht, dass sie Spam versenden, auf Basis der Verbindungs-IP-Adresse des Remote-Hosts abzulehnen oder zu drosseln. Der SBRS gibt einen Wert zurück, der auf der Wahrscheinlichkeit basiert, dass eine Nachricht von einer bestimmten Quelle Spam ist, und der Bereich von -10 (sicher ist Spam) bis +10 (sicher nicht Spam) reicht. Obwohl SBRS als eigenständige Anti-Spam-Lösung verwendet werden kann, ist es am effektivsten, wenn es mit einem inhaltsbasierten Anti-Spam-Scanner kombiniert wird.
SenderBase-Bewertungen können in der Host Access Table (HAT) auf einem SMTP-Listener verwendet werden, um eingehende SMTP-Verbindungen verschiedenen Absendergruppen zuzuordnen. Jede Absendergruppe ist mit einer Richtlinie verknüpft, die die Verarbeitung eingehender E-Mails beeinflusst. Die häufigsten Vorgänge bei SenderBase-Bewertungen sind das vollständige Zurückweisen von E-Mails oder das Drosseln des verdächtigen Spam-Absenders.
Sie können SBRS-Bewertungen in der HAT verwenden, um E-Mails abzulehnen oder zu drosseln. Sie können auch Nachrichtenfilter erstellen, um "Schwellenwerte" für SBRS-Bewertungen festzulegen, die auf vom System verarbeitete Nachrichten angewendet werden. Das folgende Diagramm bietet einen groben Überblick darüber, wie SBRS-Bewertungen verwendet werden können, um verdächtige Absender zu blockieren oder zu drosseln:
- SenderBase-Partner senden globale Echtzeitdaten.
- Durch Senden der MTA wird die Verbindung mit der Appliance geöffnet.
- Die Appliance überprüft globale Daten für die IP-Adresse, die die Verbindung herstellt.
- SenderBase Reputation Service berechnet die Wahrscheinlichkeit, mit der diese Nachricht als Spam eingestuft wird, und weist eine SenderBase Reputation Score zu.
- Die Appliance gibt die Antwort (entweder die E-Mail zurückweist oder den Absender einschränkt) basierend auf der SenderBase-Reputationsbewertung zurück.
Die Verwendung der SBRS-Bewertungen hängt davon ab, wie aggressiv Sie die E-Mail-Vorfilterung vorantreiben möchten. Die E-Mail Security Appliance (ESA) bietet drei verschiedene Strategien für die Implementierung von SenderBase:
- Konservativ: Ein konservativer Ansatz besteht darin, Nachrichten mit einer SenderBase-Reputationsbewertung unter -7,0 zu blockieren, eine Drosselung zwischen -7,0 und -2,0 vorzunehmen, die Standardrichtlinie zwischen -2,0 und +6,0 anzuwenden und die vertrauenswürdige Richtlinie für Nachrichten mit einer Bewertung über +6,0 anzuwenden. Mit diesem Ansatz wird eine Fehlalarmquote von nahezu null bei gleichzeitiger Verbesserung der Systemleistung sichergestellt.
- Mäßig: Ein moderater Ansatz besteht darin, Nachrichten mit einer SenderBase-Reputationsbewertung unter -4,0 zu blockieren, eine Drosselung zwischen -4,0 und 0 durchzuführen, die Standardrichtlinie zwischen 0 und +6,0 anzuwenden und die vertrauenswürdige Richtlinie für Nachrichten mit einer Punktzahl über +6,0 anzuwenden. Mit diesem Ansatz wird eine sehr kleine Fehlalarmquote sichergestellt und gleichzeitig eine bessere Systemleistung erreicht (da mehr E-Mails von der Anti-Spam-Verarbeitung weggeschickt werden).
- Aggressiv: Ein aggressiver Ansatz besteht darin, Nachrichten mit einer SenderBase-Reputationsbewertung unter -1,0 zu blockieren, eine Drosselung zwischen -1,0 und 0 durchzuführen, die Standardrichtlinie zwischen 0 und +4,0 anzuwenden und die vertrauenswürdige Richtlinie für Nachrichten mit einer Punktzahl über +4,0 anzuwenden. Bei diesem Ansatz können einige Fehlalarme auftreten. Dieser Ansatz maximiert jedoch die Systemleistung, indem die meisten E-Mails von der Anti-Spam-Verarbeitung weggeleitet werden.
In der folgenden Tabelle sind diese drei Grundsätze zusammengefasst:
| Ansatz | Eigenschaften | Zulassungsliste | Sperrliste | Suspectlist | Unbekannte Liste |
| Sender Base-Reputationsbewertungsbereich: | |||||
| Konservativ | Beinahe keine Fehlalarme, bessere Leistung | 7 bis 10 | -10 bis -4 | -4 bis -2 | -2 bis 7 |
| Moderat (Standard) | Sehr wenige Fehlalarme, hohe Leistung | Sender Base-Reputationsbewertungen werden nicht verwendet. | -10 bis -3 | -3 bis -1 | -1 bis +10 |
| aggressiv |
Einige Fehlalarme, maximale Leistung Mit dieser Option werden die meisten E-Mails von der Anti-Spam-Verarbeitung ferngehalten. |
4 bis 10 | -10 bis -2 | -2 bis -1 | -1 bis 4 |
| Alle Ansätze | Mail Flow Policy: | ||||
| Vertrauenswürdig | Gesperrt | gedrosselt | Akzeptiert | ||
SenderBase-Einschränkung oder -Blockierung implementieren
Die beste Methode zur Verwendung der SenderBase-Bewertungen besteht darin, eine einfache, zweiteilige Methodik zu befolgen. Zuerst entscheiden Sie über Ihre Richtlinie (Sie könnten z. B. mit der oben genannten "konservativen" Richtlinie beginnen) und ordnen diese Richtlinie Absendergruppen zu. Ordnen Sie diese Absendergruppen dann der gewünschten Richtlinie zu. Die ESA hat bereits eine Matrix mit Absendergruppen und Mail Flow Policies erstellt, die als Vorlage für Ihre Implementierung von SBRS dienen kann.
Um die SenderBase-Drosselung auf Basis der Standardrichtlinie zu implementieren, bearbeiten Sie die vier Absendergruppen (Zulässig, Sperrliste, Suspectlist und Unbekannte Liste) unter Mail-Policys > Host Access Table (HAT) Overview. Klicken Sie zunächst auf die Absendergruppe "Zulässig". Klicken Sie dann im Dropdown-Menü auf der Registerkarte Absender auf "Absender hinzufügen" mit "SenderBase Reputation Score (SBRS)" ausgewählt wurde. Dadurch wird der Liste der Absender eine SBRS-Zeile hinzugefügt. Geben Sie Ihren SBRS-Punktebereich ein (in diesem Fall 6.0 bis 10.0), und klicken Sie auf die Schaltfläche Submit (Senden).
Die Richtlinie für die Absendergruppe der Zulassungsliste lautet "Vertrauenswürdig". Standardmäßig wird mit dieser Richtlinie die Anti-Spam-Verarbeitung übersprungen, wodurch die Systemleistung erhöht wird. Da Absender mit sehr hohen SBRS-Bewertungen sehr unwahrscheinlich sind, Spam zu versenden, wird durch diesen Schritt allein der Durchsatz erhöht. Bearbeiten Sie die verbleibenden drei Absendergruppen, um die SBRS-Bewertungen gemäß der folgenden Tabelle hinzuzufügen:
| Absendergruppe | Bewertungsbereich | Ergebnis |
|---|---|---|
| Zulassungsliste | 6 bis 10 | Bekannte einwandfreie Absender werden nicht überprüft |
| Unbekannte Liste | -2 bis +6 | Absender mit wenigen Informationen werden normal gescannt. |
| Suspectlist | -7 bis -2 | Absender mit schlechter Reputation werden stark gedrosselt, um die Menge an Spam zu reduzieren, die sie versenden können |
| Sperrliste | -10 bis -7 | E-Mails von bekannten Spammern werden zur SMTP-Zeit mit einer Antwort von 5xx abgelehnt. |
Wenn Sie alle Ergebnisbereiche hinzugefügt haben, vergessen Sie nicht, auf "Änderungen bestätigen" zu klicken. Wenn Sie SBRS-Bewertungsregeln zu vorhandenen Absendergruppen hinzufügen, platzieren Sie sie am unteren Rand der Liste der Absender in einer beliebigen Gruppe. Sortierung ist wichtig, wenn Absendergruppen in der HAT eines Listeners definiert werden, da die Gruppen von oben nach unten ausgewertet werden, und innerhalb jeder Gruppe wird jede Regel einzeln ausgewertet, von oben nach unten. In einer HAT wird die erste Regel, die mit einem Absender übereinstimmt, zum Auswählen einer Richtlinie verwendet. Wenn eine eingehende Verbindung von einer sendenden Domäne eine bestimmte SBRS-Bewertung hat und mit dem Bereich in einer Regel in der HAT des Listeners übereinstimmt, wird die Mail Flow Policy angewendet, selbst wenn andere weiter unten in der Liste der Absendergruppen befindliche Regeln ebenfalls übereinstimmen.
Wenn Ihre Richtlinie zum Einfügen von Absendern in Absendergruppen erfordert, dass alle Nicht-SBRS-Regeln ausgewertet werden, bevor SBRS-Bewertungen berücksichtigt werden, können Sie einfach vier neue Absendergruppen am Ende der Liste der vorhandenen Absendergruppen hinzufügen, die speziell für die Übereinstimmung der SBRS-Richtlinie mit den entsprechenden Richtlinien verwendet werden.
Zugehörige Informationen
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)