取消
显示结果 
搜索替代 
您的意思是: 
cancel
4240
查看次数
30
有帮助
3
评论
zhenswan
Cisco Employee
Cisco Employee
Cisco Email Security Appliance (ESA) Anti-Spam Efficacy Checklist
Cisco电子邮件安全设备(ESA)垃圾邮件检查

内容
基本设置
开启SBNP
SBRS的基本原理

提示:下面的步骤和建议是减少通过ESA的垃圾邮件数量的“最佳实践”。
请注意,每个客户都是不同的,其中一些建议可能会增加被归类为垃圾邮件的合法电子邮件数量(false-positives)。

基本设置

1.确保反垃圾邮件的开启:

a.检查确保所有MX记录(包括较低优先级)MX记录通过ESAs传递邮件。
b.确保您的设备有一个有效的反垃圾邮件特性密钥。
c.确保对所有适当的传入邮件策略启用了反垃圾邮件。

2.确认您正在接收反垃圾邮件规则更新。
检查确认最近2个小时内更新的安全服务更新的时间戳是来自于过去2个小时。

3.确保信息被反垃圾邮件扫描:
a.查看以下标题的垃圾邮件示例:x-iron端口反垃圾邮件结果
b.如果丢失这个功能:
1)检查以确保没有任何白名单条目或过滤器导致垃圾邮件绕过垃圾邮件扫描(见下文)。
2)检查以确保消息不会绕过扫描,因为它们超出了最大消息扫描的大小(默认为262144字节)。
减少这种设置并不能极大地提高性能,并可能导致错过的垃圾邮件。
在评估过程中,确保IPAS设置与正在测试的其他产品相同,也很重要。
3)检查每一个HAT条目,并确认所有入站邮件流策略的“spam_check=on”。
只要默认情况下有“spam_check=on”,并且没有任何邮件流策略显式关闭它,
那么这就被正确配置了。特别注意TRUSTED/WHITELIST设置。
通常情况下,客户会在不经意间添加一个发送者到他们的白名单中,
即转发垃圾邮件——例如,通过添加ISP或合作伙伴的域,
将垃圾邮件和合法的电子邮件转发给WHITELIST发送者组。
4)快速检查一下消息过滤器,以确保没有任何过滤器是“skip-spamcheck”。
如果有,请确保他们正在做他们应该做的事情
(记住,匹配一个rcpt可以匹配30多个收件人的消息)。
5)找到最近的垃圾邮件示例(时间、日期、rcpt等),
并参考邮件日志,看看发生了什么。确认反垃圾邮件的结果是negative。

4.确保你对垃圾邮件积极的信息采取了行动。检查Inbound Mail Policies,以了解如何处理反垃圾邮件。
确保垃圾邮件的正面和可疑消息在默认策略中被删除或隔离,
并且所有其他策略都使用默认行为或故意覆盖默认值。

5.如果false-positives比漏判的垃圾邮件更令人担忧,那就应用更合理的垃圾邮件阈值:
a.如果false-positives在“确定”的阈值上不是一个问题,那么将命中的垃圾邮件阈值降低到80(默认为90)。
b.如果false-positives是“可疑”阈值,那么将可疑的垃圾邮件阈值减少到40(默认为50)。
c.如果您的大多数垃圾邮件投诉都来自于接收方的一个子集,那么您可以为这些用户创建一个单独的邮件策略,以减少垃圾邮件阈值,以便针对这些接收方更积极地进行过滤。
1)要重视这些值的变化,也不应在没有任何确凿数据的情况下制定,以确定这些改变的后果将是什么。
2)另外,不要为了避免 False Positives.而调整其他方向的值。
3)请确定之后将False Positives和False Negatives提交给TAC

6.优化您的SBRS设置和HAT策略:
a.大多数组织都很乐意将SBRS-10-3.0加入黑名单Blacklist,而SBRS-3.0到1.0则是他们的SUSPECTLIST。更注重的客户可以将SBRS-10-2.0列入黑名单Blacklist,并将-2.0到-0.6加入到SUSPECTLIST。
b.在一些cases里,发送者还没有获得SenderBase声誉评分,发送者可能是垃圾邮件发送者。
您可以将SBRS“none”直接添加到发送方组,后者获得“Throttled(节流)”策略,例如您的SUSPECT发送者组。
c.将“Throttled(节流)”策略的最大接收者数更改为5。
d.创建不止一个“Throttled(节流)”策略来强制每个小时限制不同的接收方——例如,速率限制发送方,
每小时SBRS在-2和-1之间有5个接收方,发送方SBRS为-1到0有20个接收方。

7.为“Throttled(节流)”的邮件流策略启用Sender Verification(发送者验证):
a.客户可能会选择将不存在或不正确配置的DNS的发送者添加到SUSPECTLIST 发送者组。
1)连接主机PTR记录在DNS中不存在。
2)由于临时DNS故障,连接主机PTR记录查找失败。
3)连接主机反向DNS查询(PTR)与转发DNS查找(A)不匹配。
b.由于错误配置的DNS存在false-positives的风险,所以客户可能想要设置一个单独的Mailflow策略,
返回一个自定义的4 xx响应 , 表明消息被拒绝的原因。
c.查看Online Help(在线帮助)或AsyncOS用户指南,了解关于发送方验证的更多信息。

8.启用LDAP accept和DHAP(目录收集攻击保护):
a.许多垃圾邮件发送者发送电子邮件到大量无效的地址,因此Blocking发送给无效收件人的发送者也可以减少垃圾邮件。
b.如果已经打开LDAP accept,那么请确保每个入站侦听器都配置了目录收获保护(DHAP),每个入站侦听器的最大无效尝试是5到10个。

9.开启 contentdictionaries :
你的ESA有两本内容字典:profanity.txt和sexual_content.txt 。
虽然使用这些字典可能会产生false positives,但一些客户发现,过滤邮件流中不恰当的词可能会降低“错误的人”收到“错误邮件”的风险。
这些过滤器可能只适用于“squeaky wheels”,因为它可以为一组用户提供特定的邮件策略。

10.向Cisco TAC报告mis-classified 的消息 。

11.为了防止大量的false positives,应该禁用SBRS进行出站扫描。这是因为SBRS关注传入ip的声誉,而在内部网络中,大多数ip是动态的。
按照下一节中的步骤进行操作。

开启SBNP

1.确保入站和出站邮件位于单独的监听器上。
2.在以下情况下禁用发送邮件的SenderBase查找。要从GUI完成这个任务,请点击“Network > Listeners”,选择outbound listeners,
选择“Advanced”并取消勾选“Use SenderBase IP profiling”的复选框。

SenderBase Network Participation(SBNP)可以显著提高声誉过滤器、反垃圾邮件和病毒爆发过滤器的有效性。如果启用了反垃圾邮件并且高度安全,SBNP也没有明显的性能影响。
请注意,您的组织收到的垃圾邮件数量将随时间而改变。有可能更多的垃圾邮件通过ESAs,这是因为你收到的垃圾邮件比过去更多。
您可以通过查看the Incoming Mail Overview page来查看这种行为,并添加“stoppedby reputation filtering”和“spam messages detected”选项。

SBRS 基本原理

False Positives 的最大问题是,重要的电子邮件可能会丢失。在这种情况下,隔离或删除垃圾邮件的做法是有问题的。
如果一个合法的电子邮件被发送到隔离或垃圾邮件文件夹,它需要主动的搜索进入,并“注意”那个Ham(合法邮件)被错误地归类为垃圾邮件。
与此相反,blacklist (黑名单)和速率受限的电子邮件以这样一种方式被阻止,发送方会立即收到通知。如果这个发送者不是垃圾邮件发送者,他们很可能会找到另一种方式与你联系。
实际上,作为一项整体策略,在默认情况下阻塞,然后在请求中接受可信任的合作伙伴,对于一些企业来说是一个更好的做法。
Throttling(节流),如果正确设置的话,应该很少会影响到信任用户,但是会提供保护,免受病毒感染。Throttling(节流)也会限制垃圾邮件者。
我们意识到垃圾邮件的发送者可以购买大量的IP,生成足够的“好”邮件来获得一个像样的SBRS分数,然后开始发送垃圾邮件。一个更大的嫌疑人列表范围能抓住这些IP,限制他们所做的行为,并最终导致他们停止向你的领域发送垃圾邮件。

评论
Yanli Sun
Community Manager
Community Manager
感谢楼主分享 :handshake
xiaocqu
Spotlight
Spotlight
感谢楼主,来顶一下
Yuan Li
Spotlight
Spotlight
感谢楼主分享
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接