SenderBase 网络参与概述
SenderBase 是一项邮件信誉服务,旨在帮助邮件管理员调查发件人,识别合法的邮件来源并阻止垃圾邮件。
参与 SenderBase 网络的客户允许思科收集有关其组织的邮件流量汇总统计数据,从而提高该服务对所有用户的实用性。参与是自愿的。思科仅收集有关邮件属性的摘要数据以及思科设备如何处理不同类型邮件的信息。例如,思科不会收集邮件正文或邮件主题。个人身份信息和可识别组织的信息将予以保密。
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
本章包含以下部分:
SenderBase 是一项邮件信誉服务,旨在帮助邮件管理员调查发件人,识别合法的邮件来源并阻止垃圾邮件。
参与 SenderBase 网络的客户允许思科收集有关其组织的邮件流量汇总统计数据,从而提高该服务对所有用户的实用性。参与是自愿的。思科仅收集有关邮件属性的摘要数据以及思科设备如何处理不同类型邮件的信息。例如,思科不会收集邮件正文或邮件主题。个人身份信息和可识别组织的信息将予以保密。
步骤 1 |
依次转到安全服务 (Security Services) > SenderBase。 |
步骤 2 |
单击编辑全局设置 (Edit Global Settings)。 |
步骤 3 |
标记复选框,以启用与 SenderBase 信息服务共享统计数据。 选中此复选框,将以全局方式为设备启用该功能。启用后,使用情景自适应扫描引擎 (CASE) 收集和报告数据(无论是否启用思科反垃圾邮件扫描)。在 CLI 中,使用 senderbaseconfig 命令可以配置相同的设置 |
步骤 4 |
(可选)启用与 SenderBase 信息服务共享统计数据的代理服务器。 如果定义了代理服务器来检索规则更新,还可以在提供的其他字段中配置连接到代理服务器时通过验证的用户名、密码和特定端口。要编辑这些设置,请参阅配置服务器设置以下载升级和更新。可以在 CLI 中使用 senderbaseconfig 命令配置相同的设置。 |
思科了解您的隐私至关重要,因此我们在设计和运行服务时,时刻谨记要保护您的隐私。如果您注册 SenderBase 网络参与,思科将收集有关您组织邮件流量的汇总统计数据,但不会收集或使用任何个人身份信息。思科收集的任何可识别您的用户或组织的信息,都将被视为机密信息。
参与 SenderBase 网络对我们有帮助,也对您有帮助。要阻止垃圾邮件、病毒和目录搜集攻击等基于邮件的威胁影响您的组织,与我们共享数据就非常重要。例如,在以下情况下,您的参与尤其重要:
数据是有关邮件属性及思科设备处理不同类型邮件的方式的汇总信息。我们不收集邮件的完整正文。同样,提供给思科的可识别您的用户或组织的信息将被视为机密信息。(请参阅以下思科采取哪些措施来确保我共享的数据安全?)。
下表介绍了“人性化”格式的日志条目示例。
项目 |
示例数据 |
---|---|
MGA 标识符 |
MGA 10012 |
时间戳 |
从 2005 年 7 月 1 日 8 AM 到 8:05 AM 的数据 |
软件版本号 |
MGA 4.7.0 版本 |
规则集版本号 |
反垃圾邮件规则集 102 |
防病毒更新间隔 |
每 10 分钟更新一次 |
隔离区大小 |
500 MB |
隔离区邮件计数 |
隔离区中当前有 50 封邮件 |
病毒得分阈值 |
发送要在威胁级别 3 或更高级别隔离的邮件 |
进入隔离区的邮件的病毒评估得分总和 |
120 |
进入隔离区的邮件计数 |
30(产生平均得分 4) |
最大隔离时间 |
12 小时 |
按进入和退出隔离区的原因统计的爆发隔离区邮件数量(与防病毒结果关联) |
50 封邮件由于 .exe 规则进入隔离区 30 封邮件由于手动放行离开隔离区,并且 30 封全部具有病毒特征 |
按离开隔离区后采取的操作细分的爆发隔离区邮件计数 |
10 封邮件在离开隔离区后删除了附件 |
邮件保留在隔离区中的总时间 |
20 小时 |
项目 |
示例数据 |
---|---|
设备内各个阶段的邮件计数 |
通过防病毒引擎检测:100 通过反垃圾邮件引擎检测:80 |
反垃圾邮件和防病毒得分总和以及判定结果 |
2,000(检测到的所有邮件的反垃圾邮件得分总和) |
符合不同反垃圾邮件和防病毒规则组合条件的邮件数量 |
100 封邮件命中规则 A 和 B 50 封邮件仅命中规则 A |
连接数 |
20 个 SMTP 连接 |
收件人总数和无效收件人数量 |
收件人总计 50 名 10 名无效收件人 |
散列文件名:(a) |
在名为 <one-way-hash>.zip 的存档附件内找到一个 <one-way-hash>.pif 文件 |
混淆文件名:(b) |
在 aaaaaaa.zip 文件内找到一个 aaaaaaa0.aaa.pif 文件。 |
URL 主机名 (c) |
在发往 www.domain.com 的邮件中找到一个链接 |
混淆 URL 路径 (d) |
在发往主机名 www.domain.com 的邮件内找到一个链接,其中包含路径 aaa000aa/aa00aaa。 |
按垃圾邮件和病毒扫描结果统计的邮件数 |
10 封具有垃圾邮件特征 10 封无垃圾邮件特征 5 封具有可疑垃圾邮件特征 4 封具有病毒特征 16 封无病毒特征 5 封不可扫描病毒 |
按不同反垃圾邮件和防病毒判定结果统计的邮件数 |
500 封垃圾邮件,300 封 ham |
按大小范围统计的邮件数 |
125 封在 30K-35K 范围内 |
不同扩展名类型的计数 |
300 个“.exe”附件 |
附件类型、实际文件类型和容器类型的关联统计信息 |
100 个附件具有“.doc”扩展名,但实际上是“.exe” 50 个附件的“.exe”扩展名在 zip 内 |
扩展名和实际文件类型与附件大小的关联统计信息 |
30 个附件为“.exe”,大小在 50-55K 范围内 |
上传到文件信誉服务(AMP 云)的附加文件数 |
1110 个文件上传到文件信誉服务 |
上传到文件信誉服务(AMP 云)的文件的判定结果 |
发现 10 个文件为恶意性质 发现 100 个文件为正常文件 1000 个文件属于信誉服务未知文件 |
上传到文件信誉服务(AMP 云)的文件的信誉得分 |
50 个文件的信誉得分为 37 50 个文件的信誉得分为 57 1 个文件的信誉得分为 61 9 个文件的信誉得分为 99 |
上传到文件信誉服务(AMP 云)的文件的名称 |
example.pdf testfile.doc |
文件信誉服务(AMP 云)检测到的恶意软件威胁的名称 |
Trojan-Test |
邮件标识符 |
内部邮件标识符 - 10010 |
收件人计数 |
邮件中的收件人数量 - 15 |
被拒绝的收件人计数 |
已找到的无效和被拒绝的收件人数量 - 5 |
防病毒判定 |
从防病毒引擎收到的判定。 |
AMP 判定 |
如果“高级恶意软件防护”引擎的判定是确定的恶意软件。 |
大量邮件 |
如果与信头匹配的邮件重复邮件过滤器规则。 |
内部 Ironport 反垃圾邮件数据 |
Ironport 反垃圾邮件分数和邮件标识符(如果邮件由 Ironport 反垃圾邮件引擎扫描)。 |
(a) 文件名将以单向散列 (MD5) 编码。
(b) 文件名将以混淆形式发送,其中所有小写 ASCII 字母 ([a-z]) 将替换为“a”,所有大写 ASCII 字母 ([A-Z]) 将替换为“A”,任何多字节 UTF-8 字符将替换为“x”(为其他字符集保密),所有 ASCII 数字 ([0‑-9]) 将替换为“0”,保留所有其他单字节字符(空格、标点符号等)。例如,文件名 Britney1.txt.pif 将显示为 Aaaaaaa0.aaa.pif。
(c) URL 主机名指向提供内容的网络服务器,与 IP 地址相似。无机密信息,例如用户名和密码。
(d) 主机名之后的 URL 信息将混淆处理,以确保不会透露用户的任何个人信息。
从 AsyncOS 8.5 for Email 及更高版本起,如果 IronPort 反垃圾邮件或智能多次扫描功能密钥处于活动状态,并启用了 SenderBase 网络参与,则 AsyncOS 将执行以下操作以提高产品的效率:
收集有关邮件中特定信头重复的信息,对收集的信息加密,并将加密的信息作为信头添加到各个邮件中。
您可以将这些处理的邮件送交思科进行分析。每封邮件由人工分析师审核,并用于增强产品的效果。有关将邮件提交给思科进行分析的说明,请参阅向思科报告分类错误的邮件。
如果您同意参与 SenderBase 网络:
思科认为,这对大多数用户的性能影响非常之小。我们在邮件传送过程中记录已存在的数据。然后,在设备中汇总客户数据,并将它们批量发送到 SenderBase(通常每 5 分钟一批)。预计通过 HTTPS 传输的数据总大小不足典型公司邮件流量带宽的 1%。
启用后,使用情景自适应扫描引擎 (CASE) 收集和报告数据(无论是否启用思科反垃圾邮件扫描)。
注 |
如果您选择参与 SenderBase 网络,系统将针对每封邮件执行“正文扫描”。无论过滤器或应用于邮件的其他操作是否将触发正文扫描,都会执行此操作。有关正文扫描的详细信息,请参阅正文扫描规则。 |
如果您还有其他问题,请与思科客户支持部门联系。请参阅思科支持社区。
如果客户希望采取更多操作来帮助思科提供优质安全服务,可使用命令来共享其他数据。这种更高级别的数据共享还将在邮件中提供纯文本形式的附件文件名,以及 URL 的主机名。如果您有兴趣了解此功能,请告诉您的系统工程师或联系思科客户支持部门。