Configurar reputação de domínio do remetente para ESA

Opções de download

  • PDF     (434.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (405.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (430.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:21 de Outubro de 2021
ID do documento:216192

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve a configuração do SDR (Reputação de domínio do remetente) para o ESA (Email Security Appliance).

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Conceitos de ESA 
    • configuração de ESA

    Componentes Utilizados

    As informações neste documento são baseadas no AsyncOS para ESA 12.0 e posterior.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    1. O SDR foi desenvolvido como um recurso adicional para melhorar a detecção de spam.

    2. O SDR captura vários valores de cabeçalho, os carrega para o Talos Threat Intelligence Servers onde detalhes adicionais são combinados para determinar um veredito para cada mensagem em uma escala graduada com base em uma fórmula derivada do Talos.acron

    3. Os valores do cabeçalho incluídos na decisão são:

    • Envelope de
    • De
    • Responder para
    • verificação de dmarc, dkim e spf (se configurada)
    • De (porção de nome) é opcionalmente enviada dos cabeçalhos 'De' e 'Responder para'
    • IP do remetente
    • Exibir nome nos cabeçalhos 'De' e 'Responder a'

    5. A verificação SDR é executada em todas as mensagens de entrada.

    6. A verificação do SDR ocorre logo após a aceitação de uma mensagem pelo Simple Mail Transfer Protocol (SMTP).

    7. Nenhuma ação será executada sem a implementação de um filtro de mensagem ou filtro de conteúdo.

    8. A ação SDR ocorreria em um filtro de mensagem ou filtro de conteúdo configurado.

    9. Os componentes configurados incluem:

    • Ativar Serviço de Reputação de Domínio
    • Listas de exceções de domínio (opcional)
      • Lista de exceções de domínio (global)
      • Lista de exceções de domínio (específico para filtro de mensagem/conteúdo)
    • Filtro de mensagem ou filtro de conteúdo

    Configurar

    Ativar WebUI do Serviço de Reputação de Domínio

    O SDR pode ser ativado na WebUI ou nas interfaces CLI.

    WebUI:

    1. Navegue para Serviços de segurança de e-mail > Reputação de domínio > Habilitar.

    2. Clique na caixa ao lado de Habilitar filtragem de reputação de domínio de remetente.

    3. Selecione esta caixa Incluir Atributos Adicionais: (Opcional) se quiser incluir o valor opcional do cabeçalho nos dados marcados para obter maior eficácia. Clique em ? para aprender. 

    4.Selecione esta caixa Tempo Limite de Consulta de Reputação de Domínio do Remetente. Clique em ? para aprender.

    5. Selecione Corresponder Lista de Exceções de Domínio com base em Domínio no Envelope De - Habilitado.

    6. Clique em Submit > Commit conforme mostrado na imagem.

    Screen Shot 2018-10-26 at 10.10.55 AMServiço de remetente (reputação de domínio)

    Screen Shot 2019-01-21 at 12.03.26 PM Domain Reputation" />Serviços de segurança > Domain Reputation

    Lista de exceções de domínio

    1. A lista de exceções de domínio ignorará a verificação de reputação de domínio do remetente para o fluxo de correio de entrada.

    2. A Lista de exceções de domínio pode ser aplicada em locais diferentes para afetar o fluxo de mensagens.

    3. O aplicativo Global será aplicado a todos os e-mails verificados.

    4. O aplicativo mais detalhado nos filtros de conteúdo/mensagem afetará somente um(s) filtro(s) configurado(s).

    5. A Lista de exceções de domínio fornece 2 opções para fornecer uma opção simples e mais segura.

    6. Este documento descreve as opções para ignorar com êxito o SDR de uma mensagem usando a Lista de exceções de domínio.

    7. Explicação dos requisitos da lista de exceções de domínio

    Criar uma lista de endereços

    1. Navegue até Políticas de e-mail > Lista de endereços > Adicionar lista de endereços > Nome > Descrição > Tipo de lista: Somente domínios
    2. Adicione cada nome de domínio com o uso de separado por vírgulas.
    3. Clique em Enviar e Confirmar alterações conforme mostrado na imagem.

    Screen Shot 2018-10-26 at 9.54.06 AMLista de endereços a ser aplicada à lista de exceções de domínio

    Aplique a lista de endereços à lista de exceções de domínio global do SDR

    1. Navegue até Serviços de segurança > Reputação de domínio > Lista de exceções de domínio > Editar configurações > Lista de exceções de domínio (selecione sua lista).
    2. Clique em Enviar e Confirmar alterações conforme mostrado na imagem.

    Screen Shot 2018-10-26 at 10.21.10 AMEscolha uma lista de endereços no menu suspenso

    Aplicar a lista de endereços aos filtros de conteúdo/mensagem

    Filtros de conteúdo de entrada:

    1. Navegue até Condition > URL Reputation > Threat Feeds Option.

    2. Reputação do domínio de condição.

    Screen Shot 2018-10-31 at 9.42.47 AMA lista de exceções de domínio permite por ação de política.

    Filtros de mensagem:

    O aplicativo Lista de exceções de domínio nos filtros de mensagem seria incluído como uma opção em uma condição. Observe que essas amostras incluem o domain_exception_list como parte de toda a condição.

    1. sdr-reputation (['terrível', 'pobre', 'contaminado', 'fraco', 'desconhecido', 'neutro', 'bom'], domain_exception_list)
    2. sdr-age ("days", <, 5, domain_exception_list)
    3. sdr-unscannable (domain_exception_list)

    Uma explicação e exemplos mais abrangentes do aplicativo de filtro de mensagens podem ser encontrados com os Guias do Usuário ESA nos títulos:

    • Regra de reputação de domínio para ETF
    • Filtrando mensagens com base no Reputação do domínio do remetente usando o filtro de mensagens

    Crie um filtro de conteúdo para agir no veredito do SDR

    1. O SDR só está ativado para o fluxo de e-mail de entrada.
    2. O nome da condição SDR: Reputação do domínio.
    3. Várias condições podem ser criadas para combinar resultados diferentes.
    4. A condição de reputação de domínio contém 2 verificações diferentes que contêm várias opções para cada:
    • Reputação do domínio do remetente
      • Veredito de reputação do domínio do remetente
      • Tempo de existência do domínio do remetente
      • Reputação de domínio do remetente não verificável
    • Feeds externos de ameaças
      • Permite a utilização das listas de conteúdo baixadas dos feeds de ameaças para verificar os mesmos cabeçalhos de domínio coletados para o SDR.

    Note: Essas opções na Condição de reputação do domínio serão alteradas visualmente com base nas diferentes opções para cada seleção.

    5. A opção final na Condição de reputação de domínio é a Lista de exceções de domínio.

    6. A função Lista de exceções de domínio associada a uma Lista de endereços adiciona mais controle ao aplicativo da ação aplicando a lista ao nível mais detalhado de processamento de mensagens de política de email.

    7. Navegue até Política de e-mail > Filtros de conteúdo de entrada > Adicionar filtro > Adicionar condição > Reputação de domínio.

    8. Condição 1: Veredito de reputação do domínio do remetente.

    • Terrível, Pobre, Tinado, Fraco, Desconhecido, Neutro, Bom
    • Contém marcadores triangulares deslizantes para escolher o intervalo que você gostaria de corresponder.
    • Os péssimos e pobres são os valores recomendados para agir.
    • As mensagens correspondentes a Awful e Poor terão uma Categoria adicional, como Spam ou Mal-Intencionado visualizável no Rastreamento de Mensagens.

    Screen Shot 2018-10-31 at 9.41.38 AMScreen Shot 2018-10-31 at 9.41.50 AMVisão completa da barra de slides do veredito do SDR.Barra deslizante do intervalo ajustável do veredito do SDR.

    9. Condição 2: Tempo de existência do domínio do remetente.

    • A era do domínio pode ser associada a mais riscos ou confiabilidade estabelecida por muito tempo.
    • A possibilidade de um domínio com menos de 10 dias de idade pode ser mais arriscada.

    Screen Shot 2018-10-31 at 9.42.17 AMTempo de existência do domínio do remetente. Valores mais baixos sugerem mais risco.

    10. Condição 3: Reputação do domínio do remetente não verificada.

    • Forneça uma opção para os administradores agirem se não for possível obter um veredito.

    Screen Shot 2018-10-31 at 9.42.27 AMSDR não verificável

    11. Condição 4: Feeds externos de ameaças

    • Os cabeçalhos incluídos na Varredura do SDR também podem ser digitalizados usando conteúdo STIX/TAXII baixado personalizado.
    • Os feeds de ameaças externas são abordados com mais detalhes aqui Feeds de ameaças externas

    Screen Shot 2018-10-31 at 9.42.34 AMFeeds de ameaças externas podem ser usados para verificar os mesmos cabeçalhos usados para SDR.

    Guias do usuário do Email Security Appliance

    12. Condição 5: Usar lista de exceções de domínio.

    • O uso da Lista de exceções de domínio no Filtro de conteúdo adiciona mais controle do que a Lista global.

    Screen Shot 2018-10-31 at 9.42.47 AMA lista de exceções de domínio permite por ação de política.

    13. A ação combinada a essas condições pode variar de mínima a extrema e depende dos resultados desejados do administrador.

    14. Algumas das ações mais populares estão listadas:

    • Quarentena/Cópia para quarentena
    • Largar
    • Adicionar aviso de isenção de responsabilidade ao assunto ou corpo da mensagem.
    • Crie uma entrada de log para gerar uma palavra, frase ou valor específico para os logs de rastreamento de mensagem.

    Configurar o SDR por meio do uso de filtros de mensagens

    1. Os Guias do Usuário ESA são uma fonte excelente para sintaxe, definições e exemplos de Filtro de Mensagens.
    2. Procure este título no Guia do usuário para obter conteúdo adicional para Filtros de mensagens além das informações fornecidas aqui.
    • Filtrando mensagens com base no Reputação do domínio do remetente usando o filtro de mensagens

    3. Essas condições estão associadas ao filtro de mensagem SDR:

    • se sdr-identity (['terrível', 'pobre'] >>> todos os valores para isso incluem: Terrível, Pobre, Tinado, Fraco, Desconhecido, Neutro, Bom
    • if sdr-reputation (['terrível', 'pobre'], "<domain_exception_list>") >>> Isso inclui o uso de uma Lista de Exceções de Domínio
    • if sdr-age (<‘unit'>, <‘operator'> <‘real value’>) >>> Consulte o Guia do usuário para obter a definição de "operador".
      • if (sdr-age ("desconhecido", "") >>> unit = desconhecido. Os valores restantes são substituídos por ""
      • exemplo: if (sdr-age ("meses", <, 1, "")). >>> unidade = dias, meses, anos. Operador = < (menor que). Valor real = 1
    • if sdr-unscannable (<'domain_exception_list'>) >>> Conforme apresentado, se a mensagem resultar em não verificável. Este exemplo inclui também a condição da lista de exceções de domínio.
    • if (sdr-unscannable ("") >>> Este exemplo não inclui a lista de exceções. O valor é substituído por ("")

    Verificar

    Use esta seção para confirmar se a sua configuração funciona corretamente.

    Depois que o Serviço SDR tiver sido ativado, o mail_logs e o Rastreamento de mensagem começarão a mostrar o SDR: entradas de log.

    1. mail_logs contém a pontuação dos dados SDR coletados.
    2. A pontuação é determinada no início do fluxo de e-mail, antes de determinar a Política de e-mail.
    3. As ações tomadas no veredito ocorrem no momento das ações de filtro de mensagens e filtro de conteúdo.
    beta.ironport.com> mail_logs sample including SDR verdict
    Tue Dec 3 15:22:44 2019 Info: New SMTP ICID 5539460 interface Data 1 (10.10.10.170) address 55.1.x.y reverse dns host mail1.theoffice.com verified yes
    Tue Dec 3 15:22:44 2019 Info: ICID 5539460 ACCEPT SG Production_INBOUND match mail1.theoffice.com SBRS 2.5 country United States
    Tue Dec 3 15:22:44 2019 Info: ICID 5539460 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES128-GCM-SHA256
    Tue Dec 3 15:22:44 2019 Info: Start MID 3291517 ICID 5539460
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 From: <jim.halpern@theoffice.com>
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 RID 0 To: <michael.scott@topnotchpros.com>
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 IncomingRelay(PROD_TO_BETA): Header Received found, IP 193.245.245.245 being used, SBRS -1.9 country United States
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 Message-ID '<0.0.0.3.1D5AA16A07FD5A4.71058@mail.topnotchpros.com>'
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 Subject "You\\'ve Been Nominated for inclusion with Who\\'s Who"
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 SDR: Domains for which SDR is requested: reverse DNS host: Not Present, helo: mail1.theoffice.com, env-from: topnotchpros.com, header-from: topnotchpros.com, reply-to: Not Present
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : michael.scott@topnotchpros.com, michael.scott-michael.scott=topnotchpros.com@topnotchpros.com. Youngest Domain Age: unknown for domain: michael.scott@topnotchpros.com
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Tracker Header : 5Zrl76622ZDGPsS6cByUUXq7LTXXS3/wonoZb5cGe2AbRQKxXE5Fag5SfJuNyzii3UPRVoCasmgBq9G0UrsLt7i/omQxDae82pU/wJbLOD8akDJ7eq7cLFChOcPm0utOmSv9sFJ4K/K1dL4uNiB13e/pXHjGDAmZrKwo7A13/7HTMCZz8PaMgKl7AFKvwVuZc1oVn5OGQr95d0L5x6/ipHZi6/2oKPxMcovolx580SiJ29lJFv7qLjJ8jOlGZCEQOVBnzRHJ7X8wJrZKhGMiLgy
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 ready 10011 bytes from <michael.scott@topnotchpros.com>
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 Custom Log Entry: MF_URL_Category_all HIT
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 matched all recipients for per-recipient policy DEFAULT in the inbound table
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim verdict using engine: CASE spam positive
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: CASE spam positive
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim AV verdict using Sophos CLEAN
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 antivirus negative
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 AMP file reputation verdict : SKIPPED (no attachment in message)
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: GRAYMAIL negative
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 Custom Log Entry: SDR_Verdict_matched_Awful_Poor
    Tue Dec 3 15:22:47 2019 Info: Start MID 3291519 ICID 0

    4. Comandos grep simples para verificar a frequência ou a existência de veredictos específicos.

    • >> grep "Reputação do remetente: Terrível" mail_logs
    • >> grep "Reputação do remetente: Pobre" mail_logs

    5. Além disso, os detalhes do registro de correio podem ser obtidos com o uso do comando CLI findevent em conjunto com o valor MID.

    beta.ironport.com> grep "SDR: Domain Reputation.*Poor" mail_logs
    Tue Dec 3 11:07:01 2019 Info: MID 3265844 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : client-192-10-10-120.spamhouse.com. Youngest Domain Age: 21 days for domain: chris@hedidit.net
    Tue Dec 3 12:55:47 2019 Info: MID 3277299 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : curious.finds-joe.smith=.com@hedidit.com, curious.finds@hedidit.com. Youngest Domain Age: 6 months 29 days for domain: curious.finds-kay.ivie=ivieinc.com@hedidit.com
    Tue Dec 3 12:57:28 2019 Info: MID 3277401 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : curious_finds_holiday_guide-smith=home.com@hedidit.com, curious_finds_holiday_guide@secretsanta.com. Youngest Domain Age: 6 months 29 days for domain: curious_finds_holiday_guide-marjorie=home.com@hedidit.com


    beta.ironport.com> grep "SDR: Domain Reputation.*Awful" mail_logs
    Tue Dec 3 10:24:08 2019 Info: MID 3261075 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : easycanvasprintscomad@canvasgiftesdf.us. Youngest Domain Age: unknown for domain: nomadsanta@northpole.ca
    Tue Dec 3 15:22:23 2019 Info: MID 3291483 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : chris.mann@topnotchpros.com, chris_mann.=example.com@topnotchpros.com. Youngest Domain Age: unknown for domain: chris_man@topnotchpros.com
    Tue Dec 3 15:18:27 2019 Info: MID 3291182 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : oil.planet.pure=example.com@there.info, oil.planet.pure@there.info. Youngest Domain Age: 1 day for domain: oil.planet.pure=example.com@there.info

    Troubleshoot

    Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

    1. Sem SDR: logs presentes em mail_logs ou Rastreamento de mensagem:
    • Os registros SDR sempre estarão presentes para mensagens que passem por uma política de fluxo de e-mail do ACCEPT.
    • Verifique se o Serviço foi ativado conforme apresentado nas etapas iniciais deste guia.

    2. Tempo limite do SDR:

    • Verifique se o servidor de nuvem da Cisco para SDR está aberto e disponível para uso.
    • v2.sds.cisco.com
    • Um teste muito geral pode ser realizado com o uso do telnet da CLI.
    • Se o banner for exibido, ele confirmará a acessibilidade básica.
      • CLI > telnet v2.sds.cisco.com 443 (isso verificará apenas um point-in-time.)
    • Verifique os registros de outros serviços para determinar se há possíveis falhas de comunicação em serviços baseados na Internet.
    • CLI > exibe alertas para verificar se há sinais adicionais de falhas de comunicação.
    • Antes do AsyncOS 13.5, o SDR e a filtragem de URL utilizam v2.sds.cisco.com.
      • Uma verificação do comando URL Filtering CLI > websecuritydiagnostics pode fornecer alguma validação se o caminho da rede contiver latência.
    • Verifique a configuração de tempo limite de reputação de domínio do remetente e determine se o valor deve ser aumentado de 1 a 10 segundos. Navegue até Serviços de segurança > Reputação do domínio > Editar > Tempo limite de consulta do reputação do domínio do remetente:2
    • O padrão é 2 segundos e uma configuração máxima de 10 segundos.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    21-Oct-2021
    Exemplos corrigidos — continham dados reais do cliente.
    1.0
    04-Nov-2020
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Chris Arellano
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos