简介
本文档介绍对指示“IP信誉过滤”停止的邮件的报告的常见查询。
先决条件
要求
Cisco 建议您了解以下主题:
使用的组件
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
IP信誉过滤是垃圾邮件防护的第一层,它根据发件人IP信誉服务确定的发件人可信度来控制通过邮件网关的邮件。本文讨论如何解决与IP信誉过滤有关的问题。
问题
通过导航到Monitor > Incoming Mail访问ESA/CES设备中的报告时,某些邮件似乎被“IP信誉过滤”阻止。 在某些情况下,尝试的邮件总数与IP信誉过滤阻止的邮件总数相符,这令人担心其准确性。此外,可能很难找到被阻止的特定邮件。
一个常见问题是无法生成被IP信誉过滤阻止的电子邮件列表,从而导致合法电子邮件是否被错误过滤的混乱。
解决方案
IP信誉过滤功能类似于ESA设备中的发件人基本信誉得分(SBRS),使用可比计算方法。
了解IP信誉过滤
发件人IP信誉过滤是垃圾邮件防护的第一层,它允许根据发件人IP信誉服务确定的发件人可信度来控制通过邮件网关的邮件。IP信誉服务使用来自Talos关联网络的全局数据,根据投诉率、邮件量统计信息以及来自公开阻止列表和开放代理列表的数据,向邮件发件人分配IP信誉得分(IPRS)。IP信誉得分有助于区分合法发件人和垃圾邮件来源。您可以确定阻止来自信誉得分低的发件人的邮件的阈值。Talos智能(Talos Intelligence)提供最新邮件和基于Web的威胁的全局概述,按国家/地区显示当前邮件流量,并允许您根据IP地址、URI或域查找信誉得分。
本示例解释了IP信誉过滤的工作原理:
排名靠前的发件人
传入邮件详细信息
IP XXXX.XXXX.XXXX.XXXX已发送234封电子邮件,所有这些邮件似乎都被IP信誉过滤阻止。但是,对设备中的邮件跟踪和mail_logs的分析显示,来自此IP的邮件已成功传送,没有证据显示IP信誉过滤会阻止邮件。
适用于IP信誉过滤的条件
IP信誉过滤根据特定参数计算,如参考屏幕截图所示。在某些情况下,电子邮件可以与第三个条件保持一致,即每个连接的邮件数量的保守乘数。拒绝日志仅在电子邮件满足前两个条件时才可见。但是,设备可以基于此乘数显示预计数量的邮件。
报告可以反映大约数量的连接,其中一些连接实际上无法到达设备。例如,已建立简单邮件传输协议(SMTP)连接,但稍后由于网络问题而被丢弃。第三个条件考虑此类情况,提供连接通过还是未通过IP信誉检查的估计分析。这并不一定表示列出的所有邮件都被IP信誉过滤阻止。
验证阻止的电子邮件
要确定邮件是否被实际阻止,请执行以下操作:
- 检查阻止列表发件人组:被IP信誉过滤阻止的邮件归入阻止列表发件人组。
- 使用邮件跟踪:导航到高级选项,输入要搜索的IP地址,然后选择仅搜索拒绝的连接。
在邮件跟踪中搜索拒绝的连接
- 查看邮件日志:可以在mail_logs中标识被阻止列表发件人组阻止的邮件。
- 延迟的HAT拒绝:IP过滤在SMTP连接级别实施,ESA上的Delayed Host Access Table(HAT)Reject功能可用于了解原因。
相关信息