简介
本文档介绍邮件安全设备(ESA)的发件人域信誉(SDR)配置。
先决条件
要求
Cisco 建议您了解以下主题:
使用的组件
本文档中的信息基于AsyncOS for ESA 12.0及更高版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
1. SDR已开发为一种附加资源,以改进垃圾邮件检测。
2. SDR捕获多个报头值,将其上传到Talos威胁情报服务器,在该服务器中,将结合其他详细信息,根据Talos.acron派生的公式,按分级比例确定每封邮件的判定结果
3.决定中包含的标题值为:
- 信封发件人
- 发件人
- 回复
- dmarc、dkim和spf验证(如果已配置)
- 从(名称部分)(可选)从“From”和“Reply-To”信头提交
- 发件人IP
- 在“From”和“Reply-To”信头中显示名称
5.对所有入站邮件执行SDR扫描。
6. SDR扫描在简单邮件传输协议(SMTP)接受邮件后进行。
7.如果不实施邮件过滤器或内容过滤器,将不会采取任何操作。
8. SDR操作将在已配置的邮件过滤器或内容过滤器中进行。
9.配置的组件包括:
- 启用域信誉服务
- 域例外列表(可选)
- 域例外列表(全局)
- 域异常列表(邮件/内容过滤器特定)
- 邮件过滤器或内容过滤器
配置
启用域信誉服务WebUI
可以从WebUI或CLI界面启用SDR。
WebUI:
1.导航至“邮件安全服务”>“域信誉”>“启用”。
2.单击“启用发件人域信誉过滤”旁的框。
3.如果要将可选题头值包括在选定数据中,以提高效率,请选择此框“包括附加属性:(可选)”。单击?学习。
4.选择此框“发件人域信誉查询超时”。单击??学习。
5.选择“根据信封发件人中的域匹配域例外列表” — “启用”。
6.单击“提交”>“提交”,如图所示。
发件人(域信誉)服务
域信誉" />安全服务>域信誉
域异常列表
1.域例外列表将绕过入站邮件流的发件人域信誉扫描。
2.域例外列表可应用于不同位置,以影响邮件流。
3.全局应用程序将应用于扫描的所有邮件。
4.内容/邮件过滤器中更详细的应用将仅影响已配置的过滤器。
5.域例外列表提供2个选项,既提供简单的选项,也提供更安全的选项。
6.本文档介绍使用域例外列表成功绕过邮件的SDR的选项。
7.说明的域例外列表要求
创建地址列表
- 导航至邮件策略>地址列表>添加地址列表>名称>说明>列表类型:仅域
- 使用逗号分隔添加每个域名。
- 单击提交和提交更改,如图所示。
要应用到域例外列表的地址列表
将地址列表应用于SDR全局域例外列表
- 导航至安全服务>域信誉>域例外列表>编辑设置>域例外列表(选择列表)。
- 单击提交和提交更改,如图所示。
从下拉列表中选择地址列表
将地址列表应用于内容/邮件过滤器
传入内容过滤器:
1.导航至Condition > URL Reputation > Threat Feeds Option。
2.条件域信誉。
域例外列表允许每个策略操作。
邮件过滤器:
邮件过滤器中的域例外列表应用将作为条件中的选项包括在内。请注意,这些示例包括domain_exception_list作为整个条件的一部分。
- sdr-reputation(['drady', 'poor', 'sofed', 'weak', 'unknown', 'neutral', 'good'], domain_exception_list)
- sdr-age("days", <, 5, domain_exception_list)
- sdr-unscannable(domain_exception_list)
有关邮件过滤器应用程序的更全面的说明和示例,请参阅标题下的ESA用户指南:
- ETF的域信誉规则
- 使用邮件过滤器根据发件人域信誉过滤邮件
创建内容过滤器以对SDR裁决采取操作
- SDR仅对传入邮件流启用。
- SDR条件名称:域信誉。
- 可以创建多个条件以组合不同的结果。
- 域信誉条件包含2个不同的检查,每个检查包含多个选项:
- 发件人域信誉
- 发件人域信誉判定
- 发件人域年限
- 发件人域信誉不可扫描
- 外部威胁源
- 允许利用威胁源下载的内容列表扫描为SDR收集的相同域报头。
注意:域信誉条件中的这些选项将根据每个选择的不同选项进行可视化更改。
5.域信誉条件中的最后一个选项是域例外列表。
6.与地址列表关联的域例外列表功能通过将列表应用于邮件处理的更详细的邮件策略级别,为操作的应用添加了更多控制。
7.导航至“邮件策略”>“传入内容过滤器”>“添加过滤器”>“添加条件”>“域信誉”。
8.条件1:发件人域信誉判定。
- 糟糕,贫穷,受污染,软弱,未知,中立,好
- 包含滑动三角标记以选择要匹配的范围。
- “糟糕”和“差”是建议采取措施的值。
- 匹配“糟糕”和“差”的邮件将具有附加的“类别”值,如“垃圾邮件”或“邮件跟踪”中的“恶意可视”。

SDR判定幻灯片栏的完整视图。SDR判定可调范围滑动条。
9.条件2:发件人域年限。
- 域的时代可能与更多风险或长期可靠性相关。
- 年龄不足10天的域名可能风险更大。
发件人域年限。价值越低意味着风险越大。
十、条件三:发件人域信誉不可扫描。
SDR不可扫描
十一、条件四:外部威胁源
- SDR扫描中包含的报头也可以使用自定义下载的STIX/TAXII内容进行扫描。
- 外部威胁源在此处更详细地介绍外部威胁源
外部威胁源可用于扫描SDR所用的相同报头。
邮件安全设备用户指南
十二、条件五:使用域例外列表。
- 在内容过滤器中使用域例外列表比全局列表添加的控制更多。
域例外列表允许每个策略操作。
13.与这些条件结合的行动范围可能从最小到最大,这取决于管理员的预期结果。
14.列出了一些更受欢迎的行动:
- 隔离/复制到隔离区
- 丢弃
- 将免责声明或警告添加到邮件的主题或正文。
- 创建日志条目以生成邮件跟踪日志的特定单词、短语或值。
通过使用邮件过滤器配置SDR
- ESA用户指南是消息过滤器语法、定义和示例的绝佳来源。
- 在《用户指南》中搜索此标题,了解邮件过滤器的其他内容,以及此处提供的信息。
3.这些条件与SDR邮件过滤器关联:
- if sdr-reputation(['drady', 'poor'] >>>此的所有值包括:糟糕,贫穷,受污染,软弱,未知,中立,好
- if sdr-reputation(['ready', 'poor'], "<domain_exception_list>")>>>这包括使用域例外列表
- if sdr-age(<'unit'>, <'operator'> <'actual value'>)>>>参考《用户指南》中有关"operator"定义的信息。
- if(sdr-age("unknown", ""))>>> unit = unknown。剩余值替换为“”
- 示例:if(sdr-age("months", <, 1, ""))。>>>单位=天、月、年。运算符= <(小于)。 实际值= 1
- if sdr-unscannable(<'domain_exception_list'>)>>>如所示,如果消息导致无法扫描。此示例还包括域例外列表条件。
- if(sdr-unscannable(""))>>>此示例不包括例外列表。值替换为("")
验证
使用本部分可确认配置能否正常运行。
启用SDR服务后,mail_logs和邮件跟踪开始显示SDR:日志条目。
- mail_logs包含收集的SDR数据的分数。
- 在确定邮件策略之前,在邮件流中提前确定分数。
- 在邮件过滤器和内容过滤器操作执行时,会对判定执行操作。
beta.ironport.com> mail_logs sample including SDR verdict
Tue Dec 3 15:22:44 2019 Info: New SMTP ICID 5539460 interface Data 1 (10.10.10.170) address 55.1.x.y reverse dns host mail1.theoffice.com verified yes
Tue Dec 3 15:22:44 2019 Info: ICID 5539460 ACCEPT SG Production_INBOUND match mail1.theoffice.com SBRS 2.5 country United States
Tue Dec 3 15:22:44 2019 Info: ICID 5539460 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES128-GCM-SHA256
Tue Dec 3 15:22:44 2019 Info: Start MID 3291517 ICID 5539460
Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 From: <jim.halpern@theoffice.com>
Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 RID 0 To: <michael.scott@topnotchpros.com>
Tue Dec 3 15:22:44 2019 Info: MID 3291517 IncomingRelay(PROD_TO_BETA): Header Received found, IP 193.245.245.245 being used, SBRS -1.9 country United States
Tue Dec 3 15:22:44 2019 Info: MID 3291517 Message-ID '<0.0.0.3.1D5AA16A07FD5A4.71058@mail.topnotchpros.com>'
Tue Dec 3 15:22:44 2019 Info: MID 3291517 Subject "You\\'ve Been Nominated for inclusion with Who\\'s Who"
Tue Dec 3 15:22:44 2019 Info: MID 3291517 SDR: Domains for which SDR is requested: reverse DNS host: Not Present, helo: mail1.theoffice.com, env-from: topnotchpros.com, header-from: topnotchpros.com, reply-to: Not Present
Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : michael.scott@topnotchpros.com, michael.scott-michael.scott=topnotchpros.com@topnotchpros.com. Youngest Domain Age: unknown for domain: michael.scott@topnotchpros.com
Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Tracker Header : 5Zrl76622ZDGPsS6cByUUXq7LTXXS3/wonoZb5cGe2AbRQKxXE5Fag5SfJuNyzii3UPRVoCasmgBq9G0UrsLt7i/omQxDae82pU/wJbLOD8akDJ7eq7cLFChOcPm0utOmSv9sFJ4K/K1dL4uNiB13e/pXHjGDAmZrKwo7A13/7HTMCZz8PaMgKl7AFKvwVuZc1oVn5OGQr95d0L5x6/ipHZi6/2oKPxMcovolx580SiJ29lJFv7qLjJ8jOlGZCEQOVBnzRHJ7X8wJrZKhGMiLgy
Tue Dec 3 15:22:46 2019 Info: MID 3291517 ready 10011 bytes from <michael.scott@topnotchpros.com>
Tue Dec 3 15:22:46 2019 Info: MID 3291517 Custom Log Entry: MF_URL_Category_all HIT
Tue Dec 3 15:22:46 2019 Info: MID 3291517 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim verdict using engine: CASE spam positive
Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: CASE spam positive
Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim AV verdict using Sophos CLEAN
Tue Dec 3 15:22:47 2019 Info: MID 3291517 antivirus negative
Tue Dec 3 15:22:47 2019 Info: MID 3291517 AMP file reputation verdict : SKIPPED (no attachment in message)
Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: GRAYMAIL negative
Tue Dec 3 15:22:47 2019 Info: MID 3291517 Custom Log Entry: SDR_Verdict_matched_Awful_Poor
Tue Dec 3 15:22:47 2019 Info: Start MID 3291519 ICID 0
4.简单的grep命令,用于检查特定判定的频率或是否存在。
- >> grep "发件人信誉:糟糕”mail_logs
- >> grep "发件人信誉:较差”mail_log
5.此外,使用CLI findevent命令和MID值可以获取邮件日志详细信息。
beta.ironport.com> grep "SDR: Domain Reputation.*Poor" mail_logs
Tue Dec 3 11:07:01 2019 Info: MID 3265844 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : client-192-10-10-120.spamhouse.com. Youngest Domain Age: 21 days for domain: chris@hedidit.net
Tue Dec 3 12:55:47 2019 Info: MID 3277299 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : curious.finds-joe.smith=.com@hedidit.com, curious.finds@hedidit.com. Youngest Domain Age: 6 months 29 days for domain: curious.finds-kay.ivie=ivieinc.com@hedidit.com
Tue Dec 3 12:57:28 2019 Info: MID 3277401 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : curious_finds_holiday_guide-smith=home.com@hedidit.com, curious_finds_holiday_guide@secretsanta.com. Youngest Domain Age: 6 months 29 days for domain: curious_finds_holiday_guide-marjorie=home.com@hedidit.com
beta.ironport.com> grep "SDR: Domain Reputation.*Awful" mail_logs
Tue Dec 3 10:24:08 2019 Info: MID 3261075 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : easycanvasprintscomad@canvasgiftesdf.us. Youngest Domain Age: unknown for domain: nomadsanta@northpole.ca
Tue Dec 3 15:22:23 2019 Info: MID 3291483 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : chris.mann@topnotchpros.com, chris_mann.=example.com@topnotchpros.com. Youngest Domain Age: unknown for domain: chris_man@topnotchpros.com
Tue Dec 3 15:18:27 2019 Info: MID 3291182 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : oil.planet.pure=example.com@there.info, oil.planet.pure@there.info. Youngest Domain Age: 1 day for domain: oil.planet.pure=example.com@there.info
故障排除
本部分提供的信息可用于对配置进行故障排除。
- 无SDR:mail_logs或邮件跟踪中存在的日志:
- 对于通过ACCEPT邮件流策略的邮件,SDR日志始终存在。
- 确保服务已启用,如本指南的初始步骤所示。
2. SDR超时:
- 验证SDR的思科云服务器是否已打开且可供使用。
- v2.sds.cisco.com
- 使用CLI中的telnet可以执行非常一般的测试。
- 如果出现该标语,它将确认基本的可达性。
- CLI > telnet v2.sds.cisco.com 443(这将仅验证时间点。)
- 检查来自其他服务的日志,确定是否存在可能的基于互联网的服务通信故障。
- CLI > displayalerts,以检查通信失败的其他迹象。
- 在13.5 AsyncOS之前,SDR和URL过滤都使用v2.sds.cisco.com。
- 如果网络路径包含延迟,检查URL Filtering CLI命令> websecuritydiagnostics可能会提供一些验证。
- 检查发件人域信誉超时设置,并确定值是否应增加1-10秒。导航至安全服务>域信誉>编辑>发件人域信誉查询超时:2
- 默认值为2秒,最大设置为10秒。
相关信息