Introducción
Este documento describe cómo entender y detectar SenderBase Reputation Score (SBRS).
¿Qué significa el valor SBRS de "ninguno" y cómo puede detectar estas puntuaciones?
El SBRS se asigna a una dirección IP en función de más de 50 factores diferentes, como el volumen de correo electrónico, las quejas de los usuarios y los resultados de las trampas de spam. El SBRS puede oscilar entre -10 y +10, y refleja la probabilidad de que el correo de una dirección IP de envío sea spam. Las puntuaciones muy negativas indican remitentes que son muy propensos a enviar spam; las puntuaciones muy positivas indican remitentes que es poco probable que envíen spam.
Sin embargo, algunas direcciones IP tienen una puntuación de SenderBase de "ninguno". Si el ESA no puede comunicarse con los servidores SBRS, la dirección IP de conexión recibe una puntuación de "ninguno". Los datos de SBRS son muy oportunos y el dispositivo no almacena en caché las puntuaciones de SBRS más allá de aproximadamente 30 minutos. Si hubo un problema de conexión intermitente a los servidores SBRS, es posible que una dirección IP previamente "puntuada" aparezca como una puntuación "ninguna".
De lo contrario, la puntuación de SenderBase se basa en los datos objetivos que SenderBase recopila acerca de una dirección IP. Es posible que no haya suficiente historial e información para que una dirección IP determinada le asigne una reputación precisa. Esto significa que el volumen de correo que proviene de la dirección IP durante los últimos 30 días es muy bajo, o no se ha visto ningún correo en ese período de tiempo. SenderBase determinó que esta dirección IP tiene un volumen bajo, que se calcula con una muestra del tráfico de correo electrónico mundial total. Si hay un volumen bajo para un servidor o dominio determinado, es posible que no aparezca en los ejemplos recopilados por SenderBase. Es posible que el nivel de volumen no sea lo suficientemente alto como para ser estadísticamente significativo. No existe un umbral exacto para cuando el tráfico es lo suficientemente alto como para empezar a acumular una puntuación, pero el tráfico de correo electrónico actual se estima en unos diez mil millones de mensajes al día. Los hosts que envían más mensajes en un día determinado pueden enviar cerca de diez millones de mensajes cada día. En este contexto, es poco probable que se registre un servidor que envíe unos cientos de correos electrónicos al día. No hay quejas sobre esta dirección IP y esta dirección no aparece en ninguna de las listas negras basadas en DNS.
Nota: Una puntuación de "ninguno" no equivale a una puntuación de "0". Una puntuación de 0,0 significa que SenderBase ha recopilado cantidades iguales de información positiva y negativa sobre este remitente y le ha asignado una reputación neutral
Es fácil agregar remitentes de reputación "ninguno" a un SENDERGROUP a través de la GUI web:
Vaya a Políticas de Correo > Descripción General de HAT y elija un SENDERGROUP. Cisco recomienda que vaya a "SUSPECTLIST" > Edit Settings y marque la casilla para agregar los remitentes puntuados "none" al grupo.
Nota: Cisco no recomienda rechazar o descartar conexiones de remitentes "ninguno" SBRS. Si se produjera un problema que impidiera la conexión a la granja de servidores SBRS altamente redundante, el dispositivo de seguridad Cisco Email Security Appliance (ESA) descartaría todo el correo entrante. En la mayoría de los casos, debe utilizar una política de flujo de correo ACCEPT o THROTTLE en su lugar
Estos grupos de remitentes se pueden cambiar por remitente si agrega la dirección IP del remitente a un grupo de remitentes de la Tabla de acceso de host (HAT). Si desea hacer coincidir una puntuación de reputación de SenderBase de "ninguno" en un filtro de mensajes, no puede introducir:
"if (reputation == "(?i)none""
Esto se debe a que la reputación es un valor numérico y no se puede comparar con una cadena. Sin embargo, un simple filtro negativo coincidirá con las puntuaciones "ninguno":
sbrs_none:
if not (reputation <= 10)
{
insert-header('X-SBRS-none', '$reputation');
}
Nota: El comportamiento de las comparaciones de puntuaciones SBRS es el mismo si las puntuaciones SBRS están desactivadas en un receptor o si realmente faltan: en ambos casos, faltan los datos.
Comentarios