Problemen met " oplossen; gestopt door IP Reputation Filtering"
Inleiding
In dit document wordt een algemeen onderzoek beschreven naar rapporten die aangeven dat e-mails zijn gestopt door "IP-reputatiefiltering".
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco Secure Email Appliance
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Secure Email Appliance
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
IP Reputation Filtering is de eerste laag van spambeveiliging die controle mogelijk maakt over berichten die door de e-mailgateway gaan op basis van de betrouwbaarheid van de afzender, zoals bepaald door de Sender IP Reputation Service. In dit artikel wordt besproken hoe problemen met betrekking tot IP-reputatiefiltering kunnen worden aangepakt.
Probleem
Bij het openen van rapporten in het ESA/CES-toestel door te navigeren naar Monitor > Inkomende Mail, lijken bepaalde e-mails te worden geblokkeerd door "IP-reputatiefiltering". In sommige gevallen komt het totale aantal pogingen tot e-mail overeen met de e-mails die worden gestopt door IP-reputatiefiltering, waardoor bezorgdheid ontstaat over de nauwkeurigheid ervan. Bovendien kan het moeilijk zijn om specifieke e-mails te vinden die zijn geblokkeerd.
Een veel voorkomende zorg is het onvermogen om een lijst met e-mails te genereren die zijn geblokkeerd door IP-reputatiefiltering, wat leidt tot verwarring over de vraag of legitieme e-mails ten onrechte zijn gefilterd.
Oplossing
IP-reputatiefilterfuncties vergelijkbaar met de Sender Base Reputation Scores (SBRS) in ESA-apparaten, met behulp van een vergelijkbare berekeningsmethode.
IP-reputatiefiltering begrijpen
De afzender IP reputatie filtering is de eerste laag van spam bescherming, waardoor controle over berichten die komen via de e-mail gateway op basis van de betrouwbaarheid van de afzenders, zoals bepaald door de afzender IP Reputation Service. De IP Reputation Service, met behulp van wereldwijde gegevens van het Talos Affiliate-netwerk, wijst een IP Reputation Score (IPRS) toe aan e-mailafzenders op basis van klachtenpercentages, statistieken over het berichtenvolume en gegevens van openbaar geblokkeerde lijsten en open proxylijsten. De IP Reputation Score helpt om legitieme afzenders te onderscheiden van spambronnen. U kunt de drempel bepalen voor het blokkeren van berichten van afzenders met lage reputatiescores. Talos Intelligence (Talos Intelligence) biedt een wereldwijd overzicht van de nieuwste e-mail- en webgebaseerde bedreigingen, geeft het huidige e-mailverkeer per land weer en stelt u in staat reputatiescores op te zoeken op basis van IP-adres, URI of domein.
In het voorbeeld wordt de werking van IP-reputatiefiltering uitgelegd:
Top-afzenders
Gegevens voor inkomende e-mail
IP XXXX.XXXX.XXXX.XXXX heeft 234 e-mails verzonden, die allemaal lijken te zijn geblokkeerd door IP-reputatiefiltering. Uit een analyse van het volgen van berichten en mail_logs in het toestel blijkt echter dat e-mails van dit IP-adres met succes zijn afgeleverd, zonder bewijs van blokkering door IP-reputatiefiltering.
Voorwaarden voor IP Reputation Filtering
IP-reputatiefiltering wordt berekend op basis van specifieke parameters, zoals weergegeven in de screenshot waarnaar wordt verwezen. In bepaalde gevallen kunnen e-mails worden afgestemd op de derde voorwaarde - een conservatieve vermenigvuldiger voor het aantal berichten per verbinding. Afwijzingslogboeken zijn alleen zichtbaar als e-mails aan de eerste twee voorwaarden voldoen. Het toestel kan echter een geschat aantal berichten weergeven op basis van deze vermenigvuldiger.
Het rapport kan een geschat aantal verbindingen weergeven, waarvan sommige het apparaat niet daadwerkelijk kunnen bereiken. Er wordt bijvoorbeeld een verbinding met het Simple Mail Transfer Protocol (SMTP) gemaakt, maar deze wordt later afgebroken vanwege een netwerkprobleem. De derde voorwaarde houdt rekening met dergelijke scenario's en biedt een geschatte analyse van de vraag of de verbinding de IP-reputatiecontrole heeft doorstaan of niet. Dit betekent niet noodzakelijk dat alle vermelde berichten werden geblokkeerd door IP-reputatiefiltering.
Geblokkeerde e-mails verifiëren
Om te bepalen of berichten daadwerkelijk zijn geblokkeerd:
- Controleer de afzendergroep van de blokkeerlijst: berichten die zijn geblokkeerd door IP-reputatiefiltering, worden gecategoriseerd onder de afzendergroep van de blokkeerlijst.
- Berichtentracering gebruiken: Navigeer naar Geavanceerde opties, voer het IP-adres in om te zoeken en selecteer Alleen geweigerde verbindingen zoeken.
Afgewezen verbindingen zoeken in Berichtentracering
- E-maillogboeken bekijken: e-mails die zijn geblokkeerd door de groep afzenders van de blokkeringslijst, kunnen worden geïdentificeerd in mail_logs.
- Vertraagde HAT-afwijzing: IP-filtering wordt afgedwongen op het SMTP-verbindingsniveau en de functie Vertraagde Host Access Table (HAT)-afwijzing op ESA kan worden gebruikt om de oorzaak te begrijpen.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
24-Mar-2025
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)