قائمة التحقق من فعالية مكافحة البريد الإلكتروني العشوائي من أجهزة أمان البريد الإلكتروني الإلكتروني Cisco (ESA)

المقدمة

الإجراءات والتوصيات التالية هي "أفضل الممارسات" للحد من كمية البريد العشوائي المتجه عبر الإيسا. لاحظ أن كل عميل مختلف وأن بعض هذه التوصيات قد تزيد من عدد رسائل البريد الإلكتروني الشرعية المصنفة على أنها بريد عشوائي (إيجابيات خاطئة).

الإعداد الأساسي

1. تأكد من تشغيل مكافحة البريد العشوائي:
   
   
   1. تحقق للتأكد من أن جميع سجلات MX (بما في ذلك ذات الأولوية الأدنى) الخاصة بك تقوم بإرسال البريد عبر ESA.
   2. تأكد من أن الأجهزة لديك تحتوي على مفتاح ميزة مكافحة البريد العشوائي صالح.
   3. تأكد من تمكين مكافحة البريد العشوائي لكافة نهج البريد الوارد المناسبة.
   
   
   
2. تحقق من تلقي تحديثات لقاعدة مكافحة البريد العشوائي. تحقق للتأكد من أن أحدث الطوابع الزمنية للتحديثات في Security Services > Anti-Spam من خلال الساعات 2 الأخيرة.
   
   
3. تأكد من فحص الرسائل بواسطة Anti-spam:
   
   
   1. تحقق من عينة من رسائل البريد العشوائي التي لم يتم الوصول إليها في الرأس التالي: X-IronPort-Anti-Spam-Result:
   2. إذا كان هذا الرأس مفقود:
      
      
      • تحقق للتأكد من عدم وجود أية إدخالات أو عوامل تصفية مسموح بها تتسبب في تجاوز البريد العشوائي لمسح البريد العشوائي (انظر أدناه).
      • تحقق للتأكد من عدم تجاوز الرسائل للمسح الضوئي لأنها تتجاوز الحد الأقصى لحجم فحص الرسائل (الافتراضي هو 262144 بايت). لا يؤدي تقليل هذا الإعداد إلى تحسين الأداء بدرجة كبيرة ويمكن أن يؤدي إلى عدم وجود بريد عشوائي. أثناء التقييم، من المهم أيضا التأكد من أن إعداد IPAS هو نفس إعداد أي منتجات أخرى يتم إختبارها.
      • انتقل إلى كل إدخال HAT وتأكد من أن "spam_check=on" لكافة نهج تدفق البريد الوارد. طالما أن الإعداد الافتراضي يتضمن "spam_check= on"، ولا يقوم أي من نهج تدفق البريد بإيقاف تشغيله بشكل صريح، فسيتم تكوين هذا بشكل صحيح. إيلاء اهتمام خاص لإعدادات Trusted/allowLIST. في كثير من الأحيان يقوم العملاء دون قصد بإضافة مرسل إلى قائمة السماح الخاصة بهم لإعادة توجيه البريد العشوائي - على سبيل المثال، عن طريق إضافة مجال أحد موفري خدمات الإنترنت (ISP) أو الشركاء الذين يقومون بإعادة توجيه البريد الإلكتروني غير الهام والشرعي إلى مجموعة مرسل AllowLIST.
        
        
      • قم بإجراء فحص سريع من خلال عوامل تصفية الرسائل للتأكد من عدم وجود أي عوامل تصفية "تخطي-spamcheck". إذا كانت هناك مساحة، فتأكد من أنهم يفعلون ما يجب عليهم (مع الأخذ في الاعتبار أن خيار مطابقة واحد يمكن مضاهاته في الرسائل التي تحتوي على أكثر من 30 مستلما).
        
        
      • ابحث عن مثال أحدث للبريد العشوائي (الوقت والتاريخ والنسخ وما إلى ذلك)، ثم ارجع إلى mail_log للاطلاع على ما حدث. تأكد من أن Anti-Spam أرجع حكما سلبيا.
   
   
   
4. تأكد من إتخاذ الإجراءات المطلوبة على الرسائل الإيجابية للبريد العشوائي. تحقق من نهج البريد الوارد لمعرفة كيفية التعامل مع أحكام مكافحة البريد العشوائي. تأكد من إسقاط رسائل البريد العشوائي الموجبة والرسائل المشبوهة أو وضعها في الحجر الصحي في النهج الافتراضي، وأن كافة السياسات الأخرى إما تستخدم السلوك الافتراضي أو تقوم بتجاوز الافتراضي عمدا.
   
   
5. تطبيق عتبات بريد عشوائي أكثر صرامة إذا كانت النتائج الإيجابية الخاطئة أقل إثارة للقلق من البريد العشوائي الذي لم يتم تفهمه:
   
   
   1. قم بتقليل عتبة البريد العشوائي الموجب إلى 80 (الافتراضي هو 90) إذا لم تكن الإيجابيات الخاطئة مصدر قلق عند عتبة "معينة".
      
      
   2. قم بتخفيض عتبة البريد العشوائي المشتبه فيه إلى 40 (القيمة الافتراضية هي 50) إذا لم تكن النتائج الإيجابية الخاطئة مصدر قلق عند عتبة "المشتبه به".
      
      
   3. إذا كانت معظم شكاوى البريد العشوائي الخاصة بك واردة من مجموعة فرعية من المستلمين، يمكنك إنشاء نهج بريد منفصل لهؤلاء المستخدمين بعتبات بريد عشوائي أقل لتصفية هؤلاء المستلمين بشكل أكثر قوة.
      
      
      • ولا ينبغي لنا أن نستخف بالتغيرات التي طرأت على هذه القيم، ولا ينبغي لنا أن ننشئها من دون بيانات دقيقة للتأكد من التأثيرات المترتبة على إعادة الاستخدام.
        
        
      • أيضا، لا تقم بالضرورة بضبط القيم في الإتجاه الآخر فقط لتجنب الإيجابيات الخاطئة.
      • يرجى التأكد من إرسال الإيجابيات الخاطئة والسلبيات الخاطئة إلى TAC.
   
   
   
6. تحسين إعدادات SBRS ونهج HAT:
   
   
   1. وتسر معظم المؤسسات بإضافة SBRS من -10 إلى -3.0 إلى قائمة الحظر الخاصة بها و SBRS من -3.0 إلى -1.0 إلى قائمة المشتبه بهم. يمكن للعملاء الأكثر قوة أن يقوموا بإدراج SBRS من -10 إلى -2.0 وإضافة من -2.0 إلى -0.6 إلى قائمة التشغيل المشكوك فيها.
      
      
   2. في بعض الحالات، يكون عدم حصول المرسل حتى الآن على "علامة سمعة SenderBase" دليلا على أن هذا المرسل قد يكون مرسل بريد إلكتروني غير هام. يمكنك إضافة SBRS "none" مباشرة إلى مجموعة المرسلين التي تحصل على نهج "Throttled"، على سبيل المثال إلى مجموعة المرسلين المشتبه بهم.
      
      
   3. قم بتغيير الحد الأقصى لعدد المستلمين في الساعة إلى 5 بالنسبة للنهج "المختنق".
      
      
   4. يمكنك النظر في إنشاء أكثر من نهج "مضغوط" واحد لفرض حدود مختلفة للمستلم في الساعة - على سبيل المثال، تحديد معدل المرسلين بواسطة SBRS بين -2 و -1 إلى 5 مستلمين في الساعة ومرسلين مع SBRSs بين -1 و 0 إلى 20 مستلما في الساعة.
   
   
   
7. تمكين التحقق من المرسل لنهج MailFlow "المخنوق": 
   
   
   1. قد يختار العملاء إضافة مرسلين لديهم DNS غير موجود أو تم تكوينها بشكل غير صحيح إلى مجموعة مرسلي قائمة المشكوك فيها.
      
      
      • اتصال سجل PTR المضيف غير موجود في DNS.
      • فشل توصيل البحث عن سجل PTR المضيف بسبب فشل DNS المؤقت.
        
        
      • لا يتطابق اتصال البحث العكسي عن DNS للمضيف (PTR) مع البحث عن DNS (A) لإعادة التوجيه.
      
      
      
   2. هناك بعض المخاطر الخاصة بظهور نتائج إيجابية خاطئة من المرسلين الذين لديهم DNS مكون بشكل غير صحيح، لذلك قد يرغب العملاء في إعداد نهج MailFlow منفصل يرجع إستجابة 4xx مخصصة تشير إلى سبب رفض الرسائل.
      
      
   3. راجع دليل المستخدم ل AsyncOS أو التعليمات عبر الإنترنت للحصول على مزيد من المعلومات حول التحقق من المرسل
   
   
   
8. تمكين حماية هجوم قبول وحصاد الدليل ل LDAP:
   
   
   1. يرسل العديد من مرسلي البريد الإلكتروني إلى عدد كبير من العناوين غير الصالحة، وبالتالي فإن منع المرسلين الذين يرسلون إلى مستلمين غير صحيحين يمكن أن يقلل البريد العشوائي أيضا.
      
      
   2. إذا كان قبول LDAP قيد التشغيل بالفعل، فتأكد من تكوين "حماية الدليل من الحصاد (DHAP)" أيضا لكل مصغي داخل مع الحد الأقصى للمحاولات غير الصالحة بين 5 و 10 لكل IP.
   
   
   
9. تمكين قواميس المحتوى:
   
   يأتي ESA الخاص بك مزودا بقاموسين للمحتوى: Profanity.txt و Sexual_content.txt. أثناء إستخدام هذه القواميس قد يؤدي إلى نتائج إيجابية خاطئة، وجد بعض العملاء أن تصفية تدفق البريد للكلمات غير المناسبة قد يقلل من خطر وصول "الشخص الخطأ" إلى "البريد الإلكتروني الخطأ". لا يمكن تطبيق هذه المرشحات إلا على "عجلات SQUEAKY" من خلال تمكينها لمجموعة من المستخدمين في نهج بريد محدد.
   
   
10. الإبلاغ عن الرسائل غير المصنفة إلى Cisco TAC.
    
    
11. لمنع عدد كبير من الإيجابيات الخاطئة، يجب تعطيل SBRS للمسح الضوئي الصادر. وذلك لأن SBRS تنظر إلى سمعة بروتوكولات الإنترنت الواردة، وفي الشبكة الداخلية، تكون معظم عناوين IP هذه ديناميكية. اتبع الخطوات الواردة في القسم التالي.

تمكين SBNP

1. تأكد من وجود البريد الوارد والصادر على مستمعين منفصلين.
   
   
2. تعطيل عمليات بحث SenderBase للبريد الإلكتروني الصادر لكل أدناه. للقيام بذلك من واجهة المستخدم الرسومية (GUI)، انتقل إلى الشبكة > المستمعين، وحدد أي مستمعين خارجيين، واختر "متقدم"، ثم قم بإلغاء تحديد المربع المجاور ل "إستخدام ميزة تعريف IP لقاعدة المرسل".
   
   يمكن لمشاركة شبكة SenderBase (SBNP) زيادة فعالية عوامل تصفية السمعة ومكافحة البريد العشوائي وعوامل تصفية تفشي الفيروسات بشكل ملحوظ. كما لا يكون ل SBNP تأثير ملحوظ على الأداء إذا تم تمكينه عند إستخدام Anti-Spam وهو آمن للغاية.

ملاحظة: سيتغير حجم البريد العشوائي الذي تتلقاه مؤسستك مع مرور الوقت. من المحتمل أن يكون وصول البريد العشوائي عبر ESA مرده ببساطة إلى حقيقة أنك تتلقى عددا أكبر من البريد العشوائي مقارنة بالماضي. يمكنك تعقب هذا السلوك مع مرور الوقت من خلال النظر في صفحة "نظرة عامة على البريد الوارد" وإضافة عناصر السطر "تم إيقافها بواسطة تصفية السمعة" و"رسائل البريد العشوائي التي تم اكتشافها".

الأساس المنطقي ل SBRS

إن القلق الأكبر بشأن الإيجابيات الخاطئة هو أن البريد الإلكتروني الهام يمكن أن يضيع. وفي هذا السياق، فإن ممارسة عزل البريد الإلكتروني الإيجابي غير الهام أو إسقاطه تمثل إشكالية. إذا تم إرسال بريد إلكتروني مشروع إلى مجلد "عزل" أو بريد عشوائي، فإنه يتطلب بحثا استباقيا للدخول و"إشعار" بأن هام قد تم تصنيفه بشكل غير عشوائي.

وعلى العكس من ذلك، يتم حظر رسائل البريد الإلكتروني ذات الحجب والسعر المحدود بطريقة يتم من خلالها إعلام المرسل على الفور. إذا لم يكن هذا المرسل مرسل بريد إلكتروني غير هام، فمن المحتمل أن يجد طريقة أخرى للاتصال بك. في الواقع، كسياسة عامة، يعتبر الحظر بشكل افتراضي ثم قبول الشركاء الموثوقين عند الطلب، وضعية أفضل لبعض الشركات.

وإذا تم الضبط على نحو صحيح، فإنه نادرا ما يؤثر على الشركاء، إن لم يكن ليؤثر عليهم على الإطلاق، ولكنه يوفر الحماية من المجالات التي تصاب بالفيروسات. كما أن التحكم في البيانات لن يؤدي إلى ظهور مرسلي البريد العشوائي. نحن على دراية بتقنية مرسل البريد العشوائي لشراء أعداد كبيرة من عناوين IP، وتوليد بريد إلكتروني "جيد" بما يكفي للحصول على نقاط SBRS لائقة ثم بدء تشغيل spamming. يجب أن يقوم نطاق أكبر من قوائم المشتبهين بالتعرف على هذه الأشياء والحد من الأضرار التي تلحق بها وقد يؤدي ذلك في نهاية المطاف إلى إيقاف إرسال البريد العشوائي إلى مجالك.