Sender Domain Reputation instellen voor ESA

Downloadopties

  • PDF     (433.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (404.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (428.7 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:21 oktober 2021
Document-id:216192

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt de configuratie van Sender Domain Reputation (SDR) voor de e-mail security applicatie (ESA) beschreven.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • ESA concepten 
    • ESA-configuratie

    Gebruikte componenten

    De informatie in dit document is gebaseerd op AsyncOS voor het ESR 12.0 en hoger.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

    Achtergrondinformatie

    1. SDR is ontwikkeld als extra middel om spamdetectie te verbeteren.

    2. SDR neemt meerdere header-waarden op, uploadt deze naar Talos Threat Intelligence Server, waarbij extra details worden gecombineerd om een uitspraak voor elk bericht op gegradueerde schaal te bepalen op basis van een formule afgeleid van Talos.acron

    3. De in het besluit opgenomen headerwaarden zijn:

    • Ontvangst van
    • Van
    • Antwoord
    • verificatie van dmarc, dkim en spf (indien geconfigureerd)
    • Van (naamgedeelte) wordt optioneel verzonden vanuit de kopregels 'Van' en 'Antwoorden'
    • Sender IP
    • Naam weergeven in de koppen 'Van' en 'Antwoord'

    5. SDR. Scan wordt uitgevoerd op alle inkomende berichten.

    6. SDR-scan vindt plaats vlak na de aanvaarding van een bericht door het Simple Mail Transfer Protocol (MTP).

    7. Er wordt geen actie ondernomen zonder dat een berichtfilter of een contentfilter wordt geïnstalleerd.

    8. SDR-actie vindt plaats in een geconfigureerd berichtfilter of contentfilter.

    9. De configureren onderdelen zijn onder meer:

    • Service voor Domain inschakelen
    • Domain Exception Lists (optioneel)
      • Domain Exception List (Global)
      • Domain Exception List (specifiek bericht/contentfilter)
    • Berichtfilter of contentfilter

    Configureren

    WebUI-toetsenbord voor domeinreputatie inschakelen

    SDR kan van WebUI of de CLI interfaces worden geactiveerd.

    WebeiUI:

    1. Navigeer naar Mail Security Services > Domain Reputation > Enable.

    2. Klik op het vakje naast Filtering van de Domeinherkenning inschakelen.

    3. Selecteer dit vakje Inclusief Extra Eigenschappen: (Optioneel) als u de optionele header-waarde wilt toevoegen aan de gecontroleerde gegevens voor een betere werkzaamheid. Klik op ? om te leren. 

    4.Selecteer dit vakje Sender Domain Reputation Query Time out. Klik op ? om te leren.

    5. Selecteer de optie Uitzonderingslijst aangepast aan domein op basis van domein in-omgeving.

    6. Klik op Inzenden > Commit zoals in de afbeelding.

    Screen Shot 2018-10-26 at 10.10.55 AMService van Sender (Domain Reputation)

    Screen Shot 2019-01-21 at 12.03.26 PM Domain Reputation" />Security Services > Domain Reputation

    Uitzonderingslijst domein

    1. De Domain Exception List gaat voorbij de Sender Domain Reputation-scanning voor inkomende e-mail.

    2. De Uitzonderingslijst van het domein kan op verschillende locaties worden toegepast om de poststroom te beïnvloeden.

    3. De Global Application is van toepassing op alle gescande e-mail.

    4. De meer gedetailleerde toepassing binnen content-/berichtfilters heeft alleen invloed op een of meer geconfigureerde filter(s).

    5. De Domain Exception List biedt twee opties om zowel een eenvoudige als een veiliger optie te bieden.

    6. In dit document worden de opties beschreven om SDR met succes te omzeilen voor een bericht dat gebruik maakt van de Domain Exception List.

    7. Uitgebreide vereisten voor de buitenste lijst van domeinen

    Een adreslijst maken

    1. Navigeren in naar postbeleid > adreslijst > adreslijst > Naam > Beschrijving > Lijsttype: Alleen velden
    2. Voeg elke domeinnaam toe met het gebruik van de komma-gescheiden.
    3. Klik op Inzenden en Aanmelden wijzigingen zoals in de afbeelding.

    Screen Shot 2018-10-26 at 9.54.06 AMAdres toe te passen op de Domain Exception List

    De adreslijst op de SDR-lijst toepassen.

    1. Navigeer naar Security Services > Domain Reputation > Domain Exception List > EditSettings > Domain Exception List (selecteer uw lijst).
    2. Klik op Inzenden en Aanmelden wijzigingen zoals in de afbeelding.

    Screen Shot 2018-10-26 at 10.21.10 AMKies een adreslijst uit de vervolgkeuzelijst

    De adreslijst op contentfilters/berichtfilters toepassen

    Inkomende contentfilters:

    1. Navigeer naar conditionering > URL-reputatie > dreigingsveld.

    2. Toestand van de Domeinreputatie.

    Screen Shot 2018-10-31 at 9.42.47 AMDomain Exception List staat per beleidsactie toe.

    Berichtenfilters:

    De toepassing van de Uitzonderingslijst van het Domein binnen berichtfilters zou als optie binnen een voorwaarde worden opgenomen. Merk op dat deze beeldsamples de domain_uitzondering_list als een deel van de hele conditie omvatten.

    1. sdr-reputatie ([ 'afschuwelijk', 'arm', 'besmet', 'zwak', 'onbekend', 'neutraal', 'goed'], domain_uitzondering_list)
    2. sdr-age ("dagen", <, 5, domein_uitzondering_list)
    3. sdr-niet-scannbaar (domein_uitzondering_list)

    Een uitgebreidere uitleg en monsters van de toepassing van het Berichtfilter zijn te vinden in de ESR - gebruikershandleidingen onder de kopjes:

    • Domain Reputation Rule voor ETF
    • Berichten filteren die zijn gebaseerd op Sender Domain Reputation met Berichtfilter

    Een contentfilter maken als u actie wilt ondernemen tegen de SDR-uitspraak

    1. SDR is alleen ingeschakeld voor inkomende Mail Flow.
    2. de SDR-conditioningsnaam: Domain Reputation.
    3. Er kunnen meerdere voorwaarden worden gecreëerd om verschillende resultaten te combineren.
    4. De Domain Reputation Condition bevat 2 verschillende controles die voor elk verschillende opties bevatten:
    • Reputatie naar ISDN-domein
      • Toestemming voor herkenning van scheidingstekens
      • daderdomeinleeftijd
      • Reputable Sender-domein niet gescand
    • Externe bedreigingen
      • Hiermee kunt u de gedownloade contentlijsten van de bedreigingsvelden gebruiken om tegen dezelfde domeinheaders te scannen die voor SDR zijn verzameld.

    Opmerking: Deze opties in de Domain Reputation Condition zullen visueel veranderen op basis van de verschillende opties voor elke selectie.

    5. De laatste optie in de Domain Reputation Condition is de Domain Exception List.

    6. De functie Uitzonderingslijst van het domein die aan een adreslijst is gekoppeld, voegt meer controle toe aan de toepassing van de actie door de lijst toe te passen op het meer gedetailleerde niveau van de berichtenverwerking.

    7. Navigeer naar postbeleid > Inkomende contentfilters > Add Filter > Add Condition > Domain Reputation.

    8. Voorwaarde 1: Toelichting op Domein Reputation Verdict.

    • Awful, arm, gestreept, zwak, onbekend, neutraal, goed
    • Bevat schuivende driehoekige markeringen om het bereik te kiezen dat u wilt aanpassen.
    • The Awful and Poor's zijn de aanbevolen waarden om in actie te komen.
    • De berichten die goed en arm overeenkomen, hebben een extra categorie, waarde zoals spam of kwaadaardig beeld in Berichttracering.

    Screen Shot 2018-10-31 at 9.41.38 AMScreen Shot 2018-10-31 at 9.41.50 AMVolledig overzicht van de schuifbalk van de SDR-uitspraak.SDR. Vergelijk aanpasbare schuifbalk.

    9. Voorwaarde 2: Domain Age van de zender.

    • De leeftijd van het domein kan worden geassocieerd met meer risico of een reeds lang bestaande betrouwbaarheid.
    • De mogelijkheid van een domein met een leeftijd van minder dan 10 dagen kan riskanter zijn.

    Screen Shot 2018-10-31 at 9.42.17 AMDomain Age van de zender. Lagere waarden duiden op meer risico's.

    10. Voorwaarde 3: Reputatie met verzendend domein is niet scannbaar.

    • Geef beheerders de mogelijkheid om actie te ondernemen als een uitspraak niet kan worden verkregen.

    Screen Shot 2018-10-31 at 9.42.27 AMSDR niet gescand

    11. Voorwaarde 4: Externe bedreigingen

    • De kopregels in SDR. Scannen kunnen ook worden gescand met behulp van aangepaste gedownload STIX/TAXII content.
    • De externe bedreigingsdiervoeders worden meer in detail behandeld in externe bedreigingsdiervoeders

    Screen Shot 2018-10-31 at 9.42.34 AMExterne bedreigingsvelden kunnen worden gebruikt om dezelfde kopregels te scannen die voor SDR worden gebruikt.

    E-mail security gebruikershandleidingen

    12. Voorwaarde 5: Gebruik een Domain Exception List.

    • Het gebruik van de Domain Exception List in het Content Filter voegt meer controle toe dan de Global List.

    Screen Shot 2018-10-31 at 9.42.47 AMDomain Exception List staat per beleidsactie toe.

    13. De met deze voorwaarden gepaard gaande actie kan van minimaal tot extreem uiteenlopen en hangt af van de gewenste resultaten van de beheerder.

    14. Enkele van de meest populaire acties zijn genoemd:

    • Quarantine/Kopie naar Quarantine
    • druppel
    • Voeg verklaring of waarschuwing toe aan het onderwerp of de inhoud van het bericht.
    • Maak een logingang om een specifiek woord, zinsnede of waarde aan de berichten volgende te genereren.

    Configureer SDR door middel van het gebruik van berichtfilters

    1. De ESA User Guides is een uitstekende bron voor de syntaxis van het berichtenfilter, de definities en de voorbeelden.
    2. Zoek deze rubriek in de Gebruikershandleiding voor extra inhoud voor berichtfilters naast de hier verstrekte informatie.
    • Berichten filteren die zijn gebaseerd op Sender Domain Reputation met Berichtfilter

    3. Deze voorwaarden zijn gekoppeld aan SDR-berichtfilter:

    • als sdr-reputatie ([ 'afschuwelijk', 'arm'] >> zijn alle waarden hiervoor : Awful, arm, gestreept, zwak, onbekend, neutraal, goed
    • indien sdr-reputatie (['afschuwelijk', 'arm'], "<domain_uitzondering_list>">> Dit omvat het gebruik van een Domain Exception List
    • als sdr-leeftijd (<"eenheid">, <"operator"> <"werkelijke waarde">>>> Verwijzing naar de gebruikersgids voor de definitie van "operator".
      • indien (sdr-leeftijd ("onbekend", "") >> eenheid = onbekend. Overige waarden worden vervangen door ""
      • voorbeeld: indien (sdr-leeftijd ("maanden", <, 1, ""). >> eenheid = dagen, maanden, jaren. Exploitant = < (minder dan). Feitelijke waarde = 1
    • als sdr-niet-scannbaar (<'domain_uitzondering_list'>>> Zoals aangegeven, als het bericht niet-scannbaar resulteert in het volgende. Deze steekproef omvat ook de voorwaarde van de domeinuitzonderingenlijst.
    • indien (sdr-niet-scannbaar (") >>> Deze steekproef bevat niet de lijst Uitzondering. De waarde wordt vervangen door (")

    Verifiëren

    Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

    Zodra de SDR service is ingeschakeld, beginnen de mail_logs en Message Tracking de SDR te tonen.: logingangen.

    1. De post_logs bevatten de score van de verzamelde SDR gegevens.
    2. De score wordt bepaald vroeg in de poststroom, voorafgaand aan het bepalen van het beleid van de Post.
    3. Handelingen in de uitspraak komen voor op het tijdstip van de berichtfilter en de acties voor het filter van de inhoud.
    beta.ironport.com> mail_logs sample including SDR verdict
    Tue Dec 3 15:22:44 2019 Info: New SMTP ICID 5539460 interface Data 1 (10.10.10.170) address 55.1.x.y reverse dns host mail1.theoffice.com verified yes
    Tue Dec 3 15:22:44 2019 Info: ICID 5539460 ACCEPT SG Production_INBOUND match mail1.theoffice.com SBRS 2.5 country United States
    Tue Dec 3 15:22:44 2019 Info: ICID 5539460 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES128-GCM-SHA256
    Tue Dec 3 15:22:44 2019 Info: Start MID 3291517 ICID 5539460
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 From: <jim.halpern@theoffice.com>
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 RID 0 To: <michael.scott@topnotchpros.com>
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 IncomingRelay(PROD_TO_BETA): Header Received found, IP 193.245.245.245 being used, SBRS -1.9 country United States
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 Message-ID '<0.0.0.3.1D5AA16A07FD5A4.71058@mail.topnotchpros.com>'
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 Subject "You\\'ve Been Nominated for inclusion with Who\\'s Who"
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 SDR: Domains for which SDR is requested: reverse DNS host: Not Present, helo: mail1.theoffice.com, env-from: topnotchpros.com, header-from: topnotchpros.com, reply-to: Not Present
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : michael.scott@topnotchpros.com, michael.scott-michael.scott=topnotchpros.com@topnotchpros.com. Youngest Domain Age: unknown for domain: michael.scott@topnotchpros.com
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Tracker Header : 5Zrl76622ZDGPsS6cByUUXq7LTXXS3/wonoZb5cGe2AbRQKxXE5Fag5SfJuNyzii3UPRVoCasmgBq9G0UrsLt7i/omQxDae82pU/wJbLOD8akDJ7eq7cLFChOcPm0utOmSv9sFJ4K/K1dL4uNiB13e/pXHjGDAmZrKwo7A13/7HTMCZz8PaMgKl7AFKvwVuZc1oVn5OGQr95d0L5x6/ipHZi6/2oKPxMcovolx580SiJ29lJFv7qLjJ8jOlGZCEQOVBnzRHJ7X8wJrZKhGMiLgy
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 ready 10011 bytes from <michael.scott@topnotchpros.com>
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 Custom Log Entry: MF_URL_Category_all HIT
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 matched all recipients for per-recipient policy DEFAULT in the inbound table
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim verdict using engine: CASE spam positive
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: CASE spam positive
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim AV verdict using Sophos CLEAN
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 antivirus negative
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 AMP file reputation verdict : SKIPPED (no attachment in message)
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: GRAYMAIL negative
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 Custom Log Entry: SDR_Verdict_matched_Awful_Poor
    Tue Dec 3 15:22:47 2019 Info: Start MID 3291519 ICID 0

    4. Eenvoudige gripopdrachten om de frequentie van bepaalde vonnissen of het bestaan ervan te controleren.

    • >> rep "verzendende reputatie": Awful" mail_logs
    • >> rep "verzendende reputatie": Arme" mail_logs

    5. Verder kunnen de postloggegevens worden verkregen door gebruik te maken van de CLI Findevent-opdracht in combinatie met de MID-waarde.

    beta.ironport.com> grep "SDR: Domain Reputation.*Poor" mail_logs
    Tue Dec 3 11:07:01 2019 Info: MID 3265844 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : client-192-10-10-120.spamhouse.com. Youngest Domain Age: 21 days for domain: chris@hedidit.net
    Tue Dec 3 12:55:47 2019 Info: MID 3277299 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : curious.finds-joe.smith=.com@hedidit.com, curious.finds@hedidit.com. Youngest Domain Age: 6 months 29 days for domain: curious.finds-kay.ivie=ivieinc.com@hedidit.com
    Tue Dec 3 12:57:28 2019 Info: MID 3277401 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : curious_finds_holiday_guide-smith=home.com@hedidit.com, curious_finds_holiday_guide@secretsanta.com. Youngest Domain Age: 6 months 29 days for domain: curious_finds_holiday_guide-marjorie=home.com@hedidit.com


    beta.ironport.com> grep "SDR: Domain Reputation.*Awful" mail_logs
    Tue Dec 3 10:24:08 2019 Info: MID 3261075 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : easycanvasprintscomad@canvasgiftesdf.us. Youngest Domain Age: unknown for domain: nomadsanta@northpole.ca
    Tue Dec 3 15:22:23 2019 Info: MID 3291483 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : chris.mann@topnotchpros.com, chris_mann.=example.com@topnotchpros.com. Youngest Domain Age: unknown for domain: chris_man@topnotchpros.com
    Tue Dec 3 15:18:27 2019 Info: MID 3291182 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : oil.planet.pure=example.com@there.info, oil.planet.pure@there.info. Youngest Domain Age: 1 day for domain: oil.planet.pure=example.com@there.info

    Problemen oplossen

    Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

    1. Geen bijzondere trekkingsrechten: logs die aanwezig zijn in de mail_logs of Message Tracking:
    • SDR-blogs zullen altijd aanwezig zijn voor berichten die doorlopen in een ACCEPT Mail Flow Policy.
    • Zorg ervoor dat de service is ingeschakeld zoals aangegeven in de eerste stappen van deze handleiding.

    2. Uitgebreid:

    • Controleer dat de Cisco cloud server voor SDR open is en beschikbaar voor gebruik.
    • v2.sds.cisco.com
    • Een zeer algemene test kan worden uitgevoerd met het gebruik van het telnet van de CLI.
    • Als de banner verschijnt zal deze de basisbereikbaarheid bevestigen.
      • CLI > telnet v2.sds.cisco.com 443 (dit controleert alleen een punt in de tijd.)
    • Controleer de logbestanden van andere diensten om vast te stellen of er mogelijk communicatiestoornissen zijn bij internetdiensten.
    • CLI > waarschuwingen weergeven om extra tekenen van communicatiestoornissen te controleren.
    • Voorafgaand aan 13.5 AsyncOS, SDR en URL filtering, beide gebruiken v2.sds.cisco.com.
      • Een controle van de opdracht URL Filtering CLI > websecurity diagnostiek kan enige validatie bieden als het netwerkpad latentie bevat.
    • Controleer de Time-outinstelling voor herstel van het verzendende domein en controleer of de waarde 1-10 seconden moet worden verhoogd. Navigatie naar Security Services > Domain Reputation > Editation > Sender Domain Reputation Query Time-out:2
    • De standaardinstelling is 2 seconden en een maximum instelling van 10 seconden.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    21-Oct-2021
    Gerectificeerde voorbeelden — bevatten live klantgegevens.
    1.0
    04-Nov-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Chris Arellano
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten