Introduction
Os procedimentos e recomendações a seguir são "melhores práticas" para reduzir a quantidade de spam que passa pelo ESA. Observe que cada cliente é diferente e que algumas dessas recomendações podem aumentar o número de e-mails legítimos classificados como spam (falsos positivos).
Configuração básica
- Verifique se o antisspam está ativado:
- Verifique se todos os registros MX (incluindo prioridade mais baixa) estão retransmitindo e-mails por meio dos ESAs.
- Certifique-se de que os seus dispositivos têm uma chave de recurso Anti-Spam válida.
- Verifique se o Anti-Spam está ativado para todas as políticas de e-mail de entrada apropriadas.
- Verifique se você está recebendo atualizações de regras antisspam. Verifique se os datadores mais recentes para atualizações em Serviços de Segurança > Anti-Spam são de dentro das últimas 2 horas.
- Verifique se as mensagens estão sendo digitalizadas pelo Anti-Spam:
- Verifique um exemplo de mensagens de spam perdidas para o seguinte cabeçalho: X-IronPort-Anti-Spam-Result:
- Se esse cabeçalho estiver faltando:
- Verifique se você não tem entradas permitidas ou filtros que façam com que o spam ignore a verificação de spam (consulte abaixo).
- Verifique se as mensagens não estão ignorando a verificação porque excedem o tamanho máximo de verificação de mensagens (o padrão é 262144 bytes). A redução dessa configuração não melhora muito o desempenho e pode resultar em SPAM perdido. Durante uma avaliação, também é importante certificar-se de que a configuração IPAS seja a mesma que qualquer outro produto sendo testado.
- Analise cada entrada de HAT e confirme se "spam_check=on" para todas as políticas de fluxo de e-mail de entrada. Desde que o padrão tenha "spam_check= ativado" e nenhuma das políticas de fluxo de e-mail o desative explicitamente, ele é configurado corretamente. Preste atenção especial às configurações TRUSTED/allowLIST. Frequentemente, os clientes adicionam inadvertidamente um remetente à lista de permissões que está encaminhando spam - por exemplo, adicionando o domínio de um ISP ou parceiro que encaminha spam e e-mail legítimo para o grupo de remetentes allowLIST.
- Faça uma verificação rápida nos filtros de mensagem para verificar se não há filtros que "ignorem a verificação de spam". Se houver, certifique-se de que eles estejam fazendo o que devem (tendo em mente que corresponder um único rcpt-para pode corresponder em mensagens com mais de 30 destinatários).
- Encontre um exemplo recente de SPAM (hora, data, rcpt, etc.) e consulte mail_logs para ver o que aconteceu. Confirme se o Anti-Spam retornou um veredito negativo.
- Verifique se você está tomando as ações desejadas em mensagens positivas de spam. Verifique as Políticas de e-mail de entrada para saber como os vereditos antisspam são tratados. Verifique se as mensagens SPAM positivas e suspeitas são descartadas ou colocadas em quarentena na política padrão e se todas as outras políticas usam o comportamento padrão ou substituem deliberadamente o padrão.
- Aplique limiares de spam mais agressivos se falso-positivos forem menos preocupantes do que spam perdido:
- Reduza o Limite de spam positivo para 80 (o padrão é 90) se os falsos positivos não forem uma preocupação no limite 'determinado'.
- Reduza o limite de spam suspeito para 40 (o padrão é 50) se falso-positivos não forem uma preocupação no limite 'suspeito'.
- Se a maioria das suas reclamações de spam vem de um subconjunto de destinatários, você pode criar uma política de e-mail separada para esses usuários com limites de spam mais baixos, a fim de filtrar de forma mais agressiva apenas para esses destinatários.
- As alterações a estes valores não devem ser tomadas com ligeireza, nem devem ser adotadas sem quaisquer dados concretos para determinar quais serão os efeitos repurcussivos.
- Além disso, não necessariamente ajuste valores na outra direção apenas para evitar Falsos Positivos.
- Certifique-se de que Falsos Positivos e Falsos Negativos sejam enviados ao TAC.
- Otimize suas configurações de SBRS e as políticas de HAT:
- A maioria das empresas está confortável em adicionar SBRS -10 a -3.0 à sua lista de bloqueio e SBRS -3.0 a -1.0 à sua SUSPETLIST. Clientes mais agressivos podem bloquear o SBRS -10 a -2.0 e adicionar -2.0 a -0.6 à SUSPECTLIST.
- Em alguns casos, o fato de que um remetente ainda não tem uma Pontuação de reputação SenderBase é uma evidência de que esse remetente pode ser um remetente de spam. Você pode adicionar SBRS "none" diretamente a um grupo de remetente que recebe a política "Throttled", por exemplo, ao seu grupo de remetentes SUSPEITO.
- Altere o número máximo de destinatários por hora para 5 para a política "limitada".
- Considere criar mais de uma política "limitada" para aplicar diferentes limites de destinatário por hora - por exemplo, limite de taxa de remetentes com um SBRS entre -2 e -1 e 5 destinatários por hora e remetentes com um SBRS entre -1 e 0 e 20 destinatários por hora.
- Habilitar verificação de remetente para a política de fluxo de correio "limitado":
- Os clientes podem optar por adicionar remetentes com DNS inexistente ou configurado incorretamente ao grupo de remetentes SUSPETLIST.
- O registro PTR do host de conexão não existe no DNS.
- Falha na pesquisa de registro PTR do host de conexão devido a uma falha temporária de DNS.
- A pesquisa de DNS reverso (PTR) do host de conexão não corresponde à pesquisa de DNS avançado (A).
- Há algum risco de falsos positivos de remetentes com DNS mal configurado, portanto os clientes podem querer configurar uma política de fluxo de correio separada que retorne uma resposta 4xx personalizada indicando o motivo da rejeição das mensagens.
- Consulte a Ajuda on-line ou o Guia do usuário do AsyncOS para obter mais informações sobre a verificação de remetente
- Habilitar a aceitação LDAP e a proteção contra ataque de coleta de diretório:
- Muitos spammers enviam emails para um número alto de endereços inválidos, de modo que bloquear remetentes que enviam a destinatários inválidos também pode diminuir o spam.
- Se a aceitação LDAP já estiver ativada, certifique-se de que a Proteção de Coleta de Diretórios (DHAP) também esteja configurada para cada ouvinte de entrada com o máximo de tentativas inválidas entre 5 e 10 por IP.
- Ativar dicionários de conteúdo:
O ESA vem com dois dicionários de conteúdo: profanity.txt e sexual_content.txt. Embora o uso desses dicionários possa gerar falsos positivos, alguns clientes descobriram que filtrar seu fluxo de e-mail por palavras inapropriadas pode reduzir o risco de a "pessoa errada" receber o "e-mail errado". Estes filtros só podem ser aplicados às "rodas sensíveis", permitindo-as a um grupo de utilizadores numa política de correio específica.
- Relate mensagens mal classificadas ao Cisco TAC.
- Para evitar um grande número de falsos positivos, o SBRS deve ser desabilitado para verificação de saída. Isso ocorre porque o SBRS observa a reputação dos IPs de entrada e, em uma rede interna, a maioria desses IPs é dinâmica. Siga as etapas na próxima seção.
Habilitar SBNP
- Certifique-se de que os e-mails de entrada e saída estejam em ouvintes separados.
- Desative as pesquisas SenderBase para emails de saída por abaixo. Para fazer isso na GUI, vá para Rede > Ouvintes, selecione qualquer ouvintes de saída, escolha "Avançado" e desmarque a caixa ao lado de "Usar perfil IP SenderBase".
A SenderBase Network Participação (SBNP) pode aumentar significativamente a eficácia dos filtros de reputação, antisspam e filtros de detecção de vírus. O SBNP também não tem impacto notável no desempenho se habilitado ao usar o Anti-Spam e é altamente seguro.
Note: O volume de spam recebido pela sua organização mudará com o tempo. É possível que mais spam esteja passando pelos ESAs simplesmente devido ao fato de você estar recebendo mais spam do que no passado. Você pode rastrear esse comportamento ao longo do tempo, observando a página Visão geral do e-mail de entrada e adicionando os itens de linha "interrompidos por filtragem de reputação" e "mensagens de spam detectadas".
Razão de SBRS
A grande preocupação com os False Positives é que e-mails importantes podem se perder. Neste contexto, a prática de colocar em quarentena ou descartar o e-mail positivo de SPAM é problemática. Se um e-mail legítimo for enviado para uma Quarentena ou uma pasta de spam, será necessária uma pesquisa proativa para entrar e "notar" que o ham foi classificado incorretamente como spam.
Em contrapartida, os emails de lista de bloqueio e de taxa limitada são bloqueados de forma que o remetente seja notificado imediatamente. Se esse remetente NÃO for um remetente de spam, provavelmente encontrará outra maneira de entrar em contato com você. Na verdade, como uma política geral, bloquear por padrão e depois aceitar parceiros confiáveis sob solicitação, é uma posição melhor para algumas empresas.
A limitação, se definida corretamente, raramente deve afetar os parceiros, mas proporcionará proteção contra domínios infectados com vírus. A limitação também será desligada para os spammers. Estamos cientes de uma técnica de spammer para comprar um grande número de IPs, gerar um e-mail "bom" suficiente para obter uma pontuação SBRS decente e começar a enviar spam. Um intervalo maior da lista de suspeitos deve capturá-los, limitar os danos causados e, eventualmente, fazer com que eles parem de enviar spam ao seu domínio.