Sender Domain Reputation instellen voor ESA

Inleiding

In dit document wordt de configuratie van Sender Domain Reputation (SDR) voor de e-mail security applicatie (ESA) beschreven.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• ESA concepten 
• ESA-configuratie

Gebruikte componenten

De informatie in dit document is gebaseerd op AsyncOS voor het ESR 12.0 en hoger.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

Achtergrondinformatie

1. SDR is ontwikkeld als extra middel om spamdetectie te verbeteren.

2. SDR neemt meerdere header-waarden op, uploadt deze naar Talos Threat Intelligence Server, waarbij extra details worden gecombineerd om een uitspraak voor elk bericht op gegradueerde schaal te bepalen op basis van een formule afgeleid van Talos.acron

3. De in het besluit opgenomen headerwaarden zijn:

• Ontvangst van
• Van
• Antwoord
• verificatie van dmarc, dkim en spf (indien geconfigureerd)
• Van (naamgedeelte) wordt optioneel verzonden vanuit de kopregels 'Van' en 'Antwoorden'
• Sender IP
• Naam weergeven in de koppen 'Van' en 'Antwoord'

5. SDR. Scan wordt uitgevoerd op alle inkomende berichten.

6. SDR-scan vindt plaats vlak na de aanvaarding van een bericht door het Simple Mail Transfer Protocol (MTP).

7. Er wordt geen actie ondernomen zonder dat een berichtfilter of een contentfilter wordt geïnstalleerd.

8. SDR-actie vindt plaats in een geconfigureerd berichtfilter of contentfilter.

9. De configureren onderdelen zijn onder meer:

• Service voor Domain inschakelen
• Domain Exception Lists (optioneel)
  • Domain Exception List (Global)
  • Domain Exception List (specifiek bericht/contentfilter)
• Berichtfilter of contentfilter

Configureren

WebUI-toetsenbord voor domeinreputatie inschakelen

SDR kan van WebUI of de CLI interfaces worden geactiveerd.

WebeiUI:

1. Navigeer naar Mail Security Services > Domain Reputation > Enable.

2. Klik op het vakje naast Filtering van de Domeinherkenning inschakelen.

3. Selecteer dit vakje Inclusief Extra Eigenschappen: (Optioneel) als u de optionele header-waarde wilt toevoegen aan de gecontroleerde gegevens voor een betere werkzaamheid. Klik op ? om te leren. 

4.Selecteer dit vakje Sender Domain Reputation Query Time out. Klik op ? om te leren.

5. Selecteer de optie Uitzonderingslijst aangepast aan domein op basis van domein in-omgeving.

6. Klik op Inzenden > Commit zoals in de afbeelding.

Service van Sender (Domain Reputation)

Domain Reputation" />Security Services > Domain Reputation

Uitzonderingslijst domein

1. De Domain Exception List gaat voorbij de Sender Domain Reputation-scanning voor inkomende e-mail.

2. De Uitzonderingslijst van het domein kan op verschillende locaties worden toegepast om de poststroom te beïnvloeden.

3. De Global Application is van toepassing op alle gescande e-mail.

4. De meer gedetailleerde toepassing binnen content-/berichtfilters heeft alleen invloed op een of meer geconfigureerde filter(s).

5. De Domain Exception List biedt twee opties om zowel een eenvoudige als een veiliger optie te bieden.

6. In dit document worden de opties beschreven om SDR met succes te omzeilen voor een bericht dat gebruik maakt van de Domain Exception List.

7. Uitgebreide vereisten voor de buitenste lijst van domeinen

Een adreslijst maken

1. Navigeren in naar postbeleid > adreslijst > adreslijst > Naam > Beschrijving > Lijsttype: Alleen velden
2. Voeg elke domeinnaam toe met het gebruik van de komma-gescheiden.
3. Klik op Inzenden en Aanmelden wijzigingen zoals in de afbeelding.

Adres toe te passen op de Domain Exception List

De adreslijst op de SDR-lijst toepassen.

1. Navigeer naar Security Services > Domain Reputation > Domain Exception List > EditSettings > Domain Exception List (selecteer uw lijst).
2. Klik op Inzenden en Aanmelden wijzigingen zoals in de afbeelding.

Kies een adreslijst uit de vervolgkeuzelijst

De adreslijst op contentfilters/berichtfilters toepassen

Inkomende contentfilters:

1. Navigeer naar conditionering > URL-reputatie > dreigingsveld.

2. Toestand van de Domeinreputatie.

Domain Exception List staat per beleidsactie toe.

Berichtenfilters:

De toepassing van de Uitzonderingslijst van het Domein binnen berichtfilters zou als optie binnen een voorwaarde worden opgenomen. Merk op dat deze beeldsamples de domain_uitzondering_list als een deel van de hele conditie omvatten.

1. sdr-reputatie ([ 'afschuwelijk', 'arm', 'besmet', 'zwak', 'onbekend', 'neutraal', 'goed'], domain_uitzondering_list)
2. sdr-age ("dagen", <, 5, domein_uitzondering_list)
3. sdr-niet-scannbaar (domein_uitzondering_list)

Een uitgebreidere uitleg en monsters van de toepassing van het Berichtfilter zijn te vinden in de ESR - gebruikershandleidingen onder de kopjes:

• Domain Reputation Rule voor ETF
• Berichten filteren die zijn gebaseerd op Sender Domain Reputation met Berichtfilter

Een contentfilter maken als u actie wilt ondernemen tegen de SDR-uitspraak

1. SDR is alleen ingeschakeld voor inkomende Mail Flow.
2. de SDR-conditioningsnaam: Domain Reputation.
3. Er kunnen meerdere voorwaarden worden gecreëerd om verschillende resultaten te combineren.
4. De Domain Reputation Condition bevat 2 verschillende controles die voor elk verschillende opties bevatten:

• Reputatie naar ISDN-domein
  • Toestemming voor herkenning van scheidingstekens
  • daderdomeinleeftijd
  • Reputable Sender-domein niet gescand
• Externe bedreigingen
  • Hiermee kunt u de gedownloade contentlijsten van de bedreigingsvelden gebruiken om tegen dezelfde domeinheaders te scannen die voor SDR zijn verzameld.

Opmerking: Deze opties in de Domain Reputation Condition zullen visueel veranderen op basis van de verschillende opties voor elke selectie.

5. De laatste optie in de Domain Reputation Condition is de Domain Exception List.

6. De functie Uitzonderingslijst van het domein die aan een adreslijst is gekoppeld, voegt meer controle toe aan de toepassing van de actie door de lijst toe te passen op het meer gedetailleerde niveau van de berichtenverwerking.

7. Navigeer naar postbeleid > Inkomende contentfilters > Add Filter > Add Condition > Domain Reputation.

8. Voorwaarde 1: Toelichting op Domein Reputation Verdict.

• Awful, arm, gestreept, zwak, onbekend, neutraal, goed
• Bevat schuivende driehoekige markeringen om het bereik te kiezen dat u wilt aanpassen.
• The Awful and Poor's zijn de aanbevolen waarden om in actie te komen.
• De berichten die goed en arm overeenkomen, hebben een extra categorie, waarde zoals spam of kwaadaardig beeld in Berichttracering.
  
  

Volledig overzicht van de schuifbalk van de SDR-uitspraak.SDR. Vergelijk aanpasbare schuifbalk.

9. Voorwaarde 2: Domain Age van de zender.

• De leeftijd van het domein kan worden geassocieerd met meer risico of een reeds lang bestaande betrouwbaarheid.
• De mogelijkheid van een domein met een leeftijd van minder dan 10 dagen kan riskanter zijn.

Domain Age van de zender. Lagere waarden duiden op meer risico's.

10. Voorwaarde 3: Reputatie met verzendend domein is niet scannbaar.

• Geef beheerders de mogelijkheid om actie te ondernemen als een uitspraak niet kan worden verkregen.

SDR niet gescand

11. Voorwaarde 4: Externe bedreigingen

• De kopregels in SDR. Scannen kunnen ook worden gescand met behulp van aangepaste gedownload STIX/TAXII content.
• De externe bedreigingsdiervoeders worden meer in detail behandeld in externe bedreigingsdiervoeders
  
  

Externe bedreigingsvelden kunnen worden gebruikt om dezelfde kopregels te scannen die voor SDR worden gebruikt.

E-mail security gebruikershandleidingen

12. Voorwaarde 5: Gebruik een Domain Exception List.

• Het gebruik van de Domain Exception List in het Content Filter voegt meer controle toe dan de Global List.

Domain Exception List staat per beleidsactie toe.

13. De met deze voorwaarden gepaard gaande actie kan van minimaal tot extreem uiteenlopen en hangt af van de gewenste resultaten van de beheerder.

14. Enkele van de meest populaire acties zijn genoemd:

• Quarantine/Kopie naar Quarantine
• druppel
• Voeg verklaring of waarschuwing toe aan het onderwerp of de inhoud van het bericht.
• Maak een logingang om een specifiek woord, zinsnede of waarde aan de berichten volgende te genereren.

Configureer SDR door middel van het gebruik van berichtfilters

1. De ESA User Guides is een uitstekende bron voor de syntaxis van het berichtenfilter, de definities en de voorbeelden.
2. Zoek deze rubriek in de Gebruikershandleiding voor extra inhoud voor berichtfilters naast de hier verstrekte informatie.

• Berichten filteren die zijn gebaseerd op Sender Domain Reputation met Berichtfilter

3. Deze voorwaarden zijn gekoppeld aan SDR-berichtfilter:

• als sdr-reputatie ([ 'afschuwelijk', 'arm'] >> zijn alle waarden hiervoor : Awful, arm, gestreept, zwak, onbekend, neutraal, goed
• indien sdr-reputatie (['afschuwelijk', 'arm'], "<domain_uitzondering_list>">> Dit omvat het gebruik van een Domain Exception List
• als sdr-leeftijd (<"eenheid">, <"operator"> <"werkelijke waarde">>>> Verwijzing naar de gebruikersgids voor de definitie van "operator".
  
  • indien (sdr-leeftijd ("onbekend", "") >> eenheid = onbekend. Overige waarden worden vervangen door ""
  • voorbeeld: indien (sdr-leeftijd ("maanden", <, 1, ""). >> eenheid = dagen, maanden, jaren. Exploitant = < (minder dan). Feitelijke waarde = 1
• als sdr-niet-scannbaar (<'domain_uitzondering_list'>>> Zoals aangegeven, als het bericht niet-scannbaar resulteert in het volgende. Deze steekproef omvat ook de voorwaarde van de domeinuitzonderingenlijst.
• indien (sdr-niet-scannbaar (") >>> Deze steekproef bevat niet de lijst Uitzondering. De waarde wordt vervangen door (")

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Zodra de SDR service is ingeschakeld, beginnen de mail_logs en Message Tracking de SDR te tonen.: logingangen.

1. De post_logs bevatten de score van de verzamelde SDR gegevens.
2. De score wordt bepaald vroeg in de poststroom, voorafgaand aan het bepalen van het beleid van de Post.
3. Handelingen in de uitspraak komen voor op het tijdstip van de berichtfilter en de acties voor het filter van de inhoud.

beta.ironport.com> mail_logs sample including SDR verdict
Tue Dec 3 15:22:44 2019 Info: New SMTP ICID 5539460 interface Data 1 (10.10.10.170) address 55.1.x.y reverse dns host mail1.theoffice.com verified yes
Tue Dec 3 15:22:44 2019 Info: ICID 5539460 ACCEPT SG Production_INBOUND match mail1.theoffice.com SBRS 2.5 country United States
Tue Dec 3 15:22:44 2019 Info: ICID 5539460 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES128-GCM-SHA256
Tue Dec 3 15:22:44 2019 Info: Start MID 3291517 ICID 5539460
Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 From: <jim.halpern@theoffice.com>
Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 RID 0 To: <michael.scott@topnotchpros.com>
Tue Dec 3 15:22:44 2019 Info: MID 3291517 IncomingRelay(PROD_TO_BETA): Header Received found, IP 193.245.245.245 being used, SBRS -1.9 country United States
Tue Dec 3 15:22:44 2019 Info: MID 3291517 Message-ID '<0.0.0.3.1D5AA16A07FD5A4.71058@mail.topnotchpros.com>'
Tue Dec 3 15:22:44 2019 Info: MID 3291517 Subject "You\\'ve Been Nominated for inclusion with Who\\'s Who"
Tue Dec 3 15:22:44 2019 Info: MID 3291517 SDR: Domains for which SDR is requested: reverse DNS host: Not Present, helo: mail1.theoffice.com, env-from: topnotchpros.com, header-from: topnotchpros.com, reply-to: Not Present
Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : michael.scott@topnotchpros.com, michael.scott-michael.scott=topnotchpros.com@topnotchpros.com. Youngest Domain Age: unknown for domain: michael.scott@topnotchpros.com
Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Tracker Header : 5Zrl76622ZDGPsS6cByUUXq7LTXXS3/wonoZb5cGe2AbRQKxXE5Fag5SfJuNyzii3UPRVoCasmgBq9G0UrsLt7i/omQxDae82pU/wJbLOD8akDJ7eq7cLFChOcPm0utOmSv9sFJ4K/K1dL4uNiB13e/pXHjGDAmZrKwo7A13/7HTMCZz8PaMgKl7AFKvwVuZc1oVn5OGQr95d0L5x6/ipHZi6/2oKPxMcovolx580SiJ29lJFv7qLjJ8jOlGZCEQOVBnzRHJ7X8wJrZKhGMiLgy
Tue Dec 3 15:22:46 2019 Info: MID 3291517 ready 10011 bytes from <michael.scott@topnotchpros.com>
Tue Dec 3 15:22:46 2019 Info: MID 3291517 Custom Log Entry: MF_URL_Category_all HIT
Tue Dec 3 15:22:46 2019 Info: MID 3291517 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim verdict using engine: CASE spam positive
Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: CASE spam positive
Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim AV verdict using Sophos CLEAN
Tue Dec 3 15:22:47 2019 Info: MID 3291517 antivirus negative
Tue Dec 3 15:22:47 2019 Info: MID 3291517 AMP file reputation verdict : SKIPPED (no attachment in message)
Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: GRAYMAIL negative
Tue Dec 3 15:22:47 2019 Info: MID 3291517 Custom Log Entry: SDR_Verdict_matched_Awful_Poor
Tue Dec 3 15:22:47 2019 Info: Start MID 3291519 ICID 0

4. Eenvoudige gripopdrachten om de frequentie van bepaalde vonnissen of het bestaan ervan te controleren.

• >> rep "verzendende reputatie": Awful" mail_logs
• >> rep "verzendende reputatie": Arme" mail_logs

5. Verder kunnen de postloggegevens worden verkregen door gebruik te maken van de CLI Findevent-opdracht in combinatie met de MID-waarde.

beta.ironport.com> grep "SDR: Domain Reputation.*Poor" mail_logs
Tue Dec 3 11:07:01 2019 Info: MID 3265844 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : client-192-10-10-120.spamhouse.com. Youngest Domain Age: 21 days for domain: chris@hedidit.net
Tue Dec 3 12:55:47 2019 Info: MID 3277299 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : curious.finds-joe.smith=.com@hedidit.com, curious.finds@hedidit.com. Youngest Domain Age: 6 months 29 days for domain: curious.finds-kay.ivie=ivieinc.com@hedidit.com
Tue Dec 3 12:57:28 2019 Info: MID 3277401 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : curious_finds_holiday_guide-smith=home.com@hedidit.com, curious_finds_holiday_guide@secretsanta.com. Youngest Domain Age: 6 months 29 days for domain: curious_finds_holiday_guide-marjorie=home.com@hedidit.com


beta.ironport.com> grep "SDR: Domain Reputation.*Awful" mail_logs
Tue Dec 3 10:24:08 2019 Info: MID 3261075 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : easycanvasprintscomad@canvasgiftesdf.us. Youngest Domain Age: unknown for domain: nomadsanta@northpole.ca
Tue Dec 3 15:22:23 2019 Info: MID 3291483 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : chris.mann@topnotchpros.com, chris_mann.=example.com@topnotchpros.com. Youngest Domain Age: unknown for domain: chris_man@topnotchpros.com
Tue Dec 3 15:18:27 2019 Info: MID 3291182 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : oil.planet.pure=example.com@there.info, oil.planet.pure@there.info. Youngest Domain Age: 1 day for domain: oil.planet.pure=example.com@there.info

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

1. Geen bijzondere trekkingsrechten: logs die aanwezig zijn in de mail_logs of Message Tracking:

• SDR-blogs zullen altijd aanwezig zijn voor berichten die doorlopen in een ACCEPT Mail Flow Policy.
• Zorg ervoor dat de service is ingeschakeld zoals aangegeven in de eerste stappen van deze handleiding.

2. Uitgebreid:

• Controleer dat de Cisco cloud server voor SDR open is en beschikbaar voor gebruik.
• v2.sds.cisco.com
• Een zeer algemene test kan worden uitgevoerd met het gebruik van het telnet van de CLI.
• Als de banner verschijnt zal deze de basisbereikbaarheid bevestigen.
  • CLI > telnet v2.sds.cisco.com 443 (dit controleert alleen een punt in de tijd.)
• Controleer de logbestanden van andere diensten om vast te stellen of er mogelijk communicatiestoornissen zijn bij internetdiensten.
• CLI > waarschuwingen weergeven om extra tekenen van communicatiestoornissen te controleren.
• Voorafgaand aan 13.5 AsyncOS, SDR en URL filtering, beide gebruiken v2.sds.cisco.com.
  • Een controle van de opdracht URL Filtering CLI > websecurity diagnostiek kan enige validatie bieden als het netwerkpad latentie bevat.
• Controleer de Time-outinstelling voor herstel van het verzendende domein en controleer of de waarde 1-10 seconden moet worden verhoogd. Navigatie naar Security Services > Domain Reputation > Editation > Sender Domain Reputation Query Time-out:2
• De standaardinstelling is 2 seconden en een maximum instelling van 10 seconden.

Gerelateerde informatie

• ESA-gebruikershandleidingen
• Releaseopmerkingen van ESA
• ESR CLI-handleidingen
• Technische ondersteuning en documentatie – Cisco Systems