Configurazione della reputazione del dominio mittente per ESA

Introduzione

In questo documento viene descritta la configurazione della reputazione del dominio mittente (SDR) per Email Security Appliance (ESA).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Concetti relativi al SEC 
• Configurazione ESA

Componenti usati

Le informazioni fornite in questo documento si basano su AsyncOS per ESA 12.0 e versioni successive.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

1. L'SDR è stato sviluppato come risorsa aggiuntiva per migliorare il rilevamento della posta indesiderata.

2. SDR acquisisce più valori di intestazione, li carica nei Talos Threat Intelligence Server dove vengono combinati ulteriori dettagli per determinare un verdetto per ogni messaggio su una scala graduata basata su una formula derivata da Talos.acron.

3. I valori di intestazione inclusi nella decisione sono:

• Busta - Da
• Da
• Rispondi a
• verifica di dmarc, dkim e spf (se configurata)
• Da (parte del nome) è facoltativamente inviato dalle intestazioni 'Da' e 'Rispondi a'
• IP mittente
• Nome visualizzato nelle intestazioni 'Da' e 'Rispondi a'

5. SDR Scan viene eseguito su tutti i messaggi in ingresso.

6. L'analisi SDR viene eseguita subito dopo l'accettazione di un messaggio da parte del protocollo SMTP (Simple Mail Transfer Protocol).

7. Non è possibile eseguire alcuna azione senza implementare un filtro messaggi o un filtro contenuti.

8. L'azione SDR viene eseguita in un filtro messaggi o in un filtro contenuti configurato.

9. I componenti configurati includono:

• Abilita Domain Reputation Service
• Elenchi di eccezioni di dominio (facoltativo)
  • Elenco eccezioni dominio (globale)
  • Elenco eccezioni dominio (specifico per il filtro messaggi/contenuti)
• Filtro messaggi o Filtro contenuti

Configurazione

Abilita WebUI servizio reputazione dominio

SDR può essere abilitato sia dall'interfaccia WebUI sia dall'interfaccia CLI.

Interfaccia Web:

1. Passare a Servizi di sicurezza della posta > Reputazione dominio > Abilita.

2. Fare clic sulla casella accanto a Abilita filtro reputazione dominio mittente.

3. Scegliere questa casella Includi attributi aggiuntivi: (facoltativo) se si desidera includere il valore dell'intestazione facoltativa nei dati controllati per una maggiore efficacia. Fare clic su ? per ulteriori informazioni. 

4. Scegliere questa casella di controllo Timeout query reputazione dominio mittente. Fare clic su ? per ulteriori informazioni.

5. Scegliere Corrispondenza elenco eccezioni dominio in base al dominio nella busta Da - Abilitato.

6. Fare clic su Sottometti > Conferma come mostrato nell'immagine.

Servizio mittente (reputazione dominio)

Reputazione dominio" />Servizi di sicurezza > Reputazione dominio

Elenco eccezioni dominio

1. L'elenco delle eccezioni del dominio può ignorare l'analisi della reputazione del dominio del mittente per rilevare il flusso di posta in ingresso.

2. L'elenco delle eccezioni del dominio può essere applicato in posizioni diverse per influire sul flusso di posta.

3. L'applicazione Globale può essere applicata a tutti i messaggi scansionati.

4. L'applicazione più dettagliata dei filtri contenuti/messaggi può influire solo sui filtri configurati.

5. L'elenco delle eccezioni dei domini offre due opzioni per fornire un'opzione semplice e una più sicura.

6. In questo documento vengono descritte le opzioni per ignorare correttamente l'SDR per un messaggio che utilizza l'elenco delle eccezioni del dominio.

7. Spiegazione dei requisiti dell'elenco delle eccezioni dei domini

Creazione di un elenco indirizzi

1. Selezionare Mail Policies > Address List > Add Address List > Name > Description > List Type: Domains Only (Policy di posta > Elenco indirizzi > Nome > Descrizione > Tipo di elenco: Solo domini)
2. Aggiungere ogni nome di dominio utilizzando la virgola come separatore.
3. Fare clic su Submit (Invia) e su Commit delle modifiche, come mostrato nell'immagine.

Elenco indirizzi da applicare all'elenco eccezioni del dominio

Applica l'elenco indirizzi all'elenco eccezioni del dominio globale SDR

1. Passare a Servizi di sicurezza > Reputazione dominio > Elenco eccezioni dominio > Modifica impostazioni > Elenco eccezioni dominio (selezionare l'elenco).
2. Fare clic su Submit (Invia) e su Commit delle modifiche, come mostrato nell'immagine.

Selezionare un elenco di indirizzi dall'elenco a discesa

Applicazione dell'elenco indirizzi ai filtri contenuti/messaggi

Filtri contenuti in arrivo:

1. Passare a Condizione > Reputazione URL > Opzione feed minacce.

2. Reputazione dominio condizione.

L'elenco delle eccezioni di dominio consente per azione di criterio.

Filtri messaggi:

L'applicazione Elenco eccezioni dominio all'interno dei filtri messaggi viene inclusa come opzione in una condizione. 

1. sdr-reputation (['awful', 'poor', 'contaminato', 'weak', 'known', 'neutral', 'good'], domain_exception_list)
2. sdr-age ("giorni", <, 5, domain_exception_list)
3. sdr-unscannable (elenco_eccezioni_dominio)

Una spiegazione più esauriente ed esempi dell'applicazione del filtro Message sono reperibili nelle Guide per l'utente ESA sotto i titoli:

• Regola di reputazione del dominio per ETF
• Filtro dei messaggi in base alla reputazione del dominio del mittente che utilizza il filtro messaggi

Creazione di un filtro contenuti per intervenire sul verdetto dell'SDR

1. SDR è abilitato solo per il flusso della posta in arrivo.
2. Nome della condizione SDR: reputazione del dominio.
3. È possibile creare più condizioni per combinare risultati diversi.
4. La condizione relativa alla reputazione del dominio contiene due diversi controlli contenenti più opzioni per ciascuno di essi:

• Reputazione dominio mittente
  • Verdetto reputazione dominio mittente
  • Età dominio mittente
  • Reputazione dominio mittente non analizzabile
• Feed di minacce esterne
  • Consente di utilizzare gli elenchi di contenuti scaricati dei feed di minacce per eseguire la scansione in base alle stesse intestazioni di dominio raccolte per SDR.

Nota: queste opzioni all'interno della condizione di reputazione del dominio possono variare visivamente in base alle diverse opzioni per ogni selezione.

5. L'opzione finale nella condizione della reputazione del dominio è l'elenco delle eccezioni del dominio.

6. La funzione Elenco eccezioni dominio associata a un elenco indirizzi aggiunge un maggiore controllo all'applicazione dell'azione, applicando l'elenco al livello più dettagliato dei criteri di posta per l'elaborazione dei messaggi.

7. Selezionare Mail Policy > Incoming Content Filters > Add Filter > Add Condition > Domain Reputation (Policy di posta > Filtri contenuti in arrivo > Aggiungi filtro > Aggiungi condizione > Reputazione dominio).

8. Condizione 1: Verdetto sulla reputazione del dominio mittente.

• Terribile, Povero, Contaminato, Debole, Sconosciuto, Neutro, Buono
• Contiene marcatori triangolari scorrevoli per scegliere l'intervallo da abbinare.
• Awful e Poor sono i valori consigliati per l'azione da eseguire.
• I messaggi che corrispondono a Awful e Poor possono avere una categoria aggiuntiva, ad esempio Spam o Malicious visualizzabile in Message Tracking.
  
  

Barra scorrevole intervallo regolabile verdetto SDR.Visualizzazione completa della barra di scorrimento del verdetto SDR.

9. Condizione 2: Età del dominio del mittente.

• L'età del Dominio può essere associata a rischi maggiori o a un'affidabilità consolidata.
• La possibilità di un dominio con meno di 10 giorni di età può essere più rischiosa.

Età dominio mittente. Valori bassi suggeriscono maggiori rischi.

10. Condizione 3: impossibile analizzare la reputazione del dominio mittente.

• Consentire agli amministratori di intervenire se non è possibile ottenere un verdetto.

SDR non scansionabile

11. Condizione 4: alimentazione da minacce esterne

• Le intestazioni incluse in SDR Scanning possono anche essere scansionate con il contenuto STIX/TAXII scaricato in modo personalizzato.
• I dati sulle minacce esterne sono illustrati in dettaglio qui Dati sulle minacce esterne
  
  

I feed delle minacce esterne possono essere utilizzati per analizzare le stesse intestazioni utilizzate per l'SDR.

Guide per l'utente di Email Security Appliance

12. Condizione 5: utilizzare l'elenco delle eccezioni del dominio.

• L'utilizzo dell'elenco eccezioni di dominio all'interno del filtro contenuto aggiunge un maggiore controllo rispetto all'elenco globale.

L'elenco delle eccezioni di dominio consente per azione di criterio.

13. L'azione combinata con queste condizioni può variare da minima a estrema e dipende dai risultati desiderati dall'amministratore.

14. Sono elencate alcune delle azioni più popolari:

• Quarantena/Copia in quarantena
• Drop
• Aggiungere una dichiarazione di non responsabilità o un avviso all'oggetto o al corpo del messaggio.
• Creare una voce di log per generare una parola, una frase o un valore specifico nei log di verifica messaggi.

Configurazione dell'SDR tramite i filtri messaggi

1. Le Guide per l'utente ESA rappresentano una fonte eccellente per la sintassi, le definizioni e gli esempi del filtro messaggi.
2. Oltre alle informazioni fornite qui, cercare nella Guida per l'utente ulteriori contenuti per i filtri messaggi.

• Filtro dei messaggi in base alla reputazione del dominio del mittente con filtro messaggi

3. Queste condizioni sono associate al filtro messaggi SDR:

• if sdr-reputation (['awful', 'poor'] >>> tutti i valori per questo includono: Awful, Poor, Tainted, Weak, Unknown, Neutral, Good
• if sdr-reputation (['awful', 'poor'], "<domain_exception_list>") >> È incluso l'utilizzo di un elenco di eccezioni di dominio
• if sdr-age (<‘unit'>, <‘operator’> <‘actual value’>) >> Consultare il Manuale dell'utente per la definizione di "operatore".
  
  • if (sdr-age ("known", "")) >>> unit = known. I valori rimanenti sono sostituiti con ""
  • esempio: if (sdr-age ("mesi", <, 1, ""). >>> unit = giorni, mesi, anni. Operatore = < (minore di). Valore effettivo = 1
• se sdr-unscannable (<'domain_exception_list'>) >> Come viene visualizzato, se il messaggio risulta unscannable. In questo esempio viene inclusa anche la condizione dell'elenco eccezioni del dominio.
• if (sdr-unscannable ("") >>> In questo esempio non viene incluso l'elenco delle eccezioni. Il valore viene sostituito con ("")

Verifica

Per verificare che la configurazione funzioni correttamente, consultare questa sezione.

Una volta abilitato il servizio SDR, i log di posta e il Message Tracking iniziano a mostrare le voci di log SDR:.

1. mail_logs contiene il punteggio dei dati SDR raccolti.
2. Il punteggio viene determinato nelle prime fasi del flusso di posta, prima di determinare i criteri di posta.
3. Le azioni eseguite sul verdetto si verificano al momento delle operazioni filtro messaggi e filtro contenuti.

xxx.com> mail_logs sample including SDR verdict
Tue Dec 3 15:22:44 2019 Info: New SMTP ICID 5539460 interface Data 1 (10.10.10.170) address 55.1.x.y reverse dns host xxx1.xxx.com verified yes
Tue Dec 3 15:22:44 2019 Info: ICID 5539460 ACCEPT SG Production_INBOUND match xxx1.xxx.com SBRS 2.5 country United States
Tue Dec 3 15:22:44 2019 Info: ICID 5539460 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES128-GCM-SHA256
Tue Dec 3 15:22:44 2019 Info: Start MID 3291517 ICID 5539460
Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 From: <customer@xxx.com>
Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 RID 0 To: <owner@xxx.com>
Tue Dec 3 15:22:44 2019 Info: MID 3291517 IncomingRelay(PROD_TO_BETA): Header Received found, IP 172.20.245.245 being used, SBRS -1.9 country United States
Tue Dec 3 15:22:44 2019 Info: MID 3291517 Message-ID '<mail>'
Tue Dec 3 15:22:44 2019 Info: MID 3291517 Subject "You\\'ve Been Nominated for inclusion with Who\\'s Who"
Tue Dec 3 15:22:44 2019 Info: MID 3291517 SDR: Domains for which SDR is requested: reverse DNS host: Not Present, helo: xxx1.xxx.com, env-from: xxx.com, header-from: xxx.com, reply-to: Not Present
Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : owner@xxx.com, owner=xxx.com@xxx.com. Youngest Domain Age: unknown for domain: owner@xxx.com
Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Tracker Header : 5Zrl76622ZDGPsS6cByUUXq7LTXXS3/wonoZb5cGe2AbRQKxXE5Fag5SfJuNyzii3UPRVoCasmgBq9G0UrsLt7i/omQxDae82pU/wJbLOD8akDJ7eq7cLFChOcPm0utOmSv9sFJ4K/K1dL4uNiB13e/pXHjGDAmZrKwo7A13/7HTMCZz8PaMgKl7AFKvwVuZc1oVn5OGQr95d0L5x6/ipHZi6/2oKPxMcovolx580SiJ29lJFv7qLjJ8jOlGZCEQOVBnzRHJ7X8wJrZKhGMiLgy
Tue Dec 3 15:22:46 2019 Info: MID 3291517 ready 10011 bytes from <owner@xxx.com>
Tue Dec 3 15:22:46 2019 Info: MID 3291517 Custom Log Entry: MF_URL_Category_all HIT
Tue Dec 3 15:22:46 2019 Info: MID 3291517 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim verdict using engine: CASE spam positive
Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: CASE spam positive
Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim AV verdict using Sophos CLEAN
Tue Dec 3 15:22:47 2019 Info: MID 3291517 antivirus negative
Tue Dec 3 15:22:47 2019 Info: MID 3291517 AMP file reputation verdict : SKIPPED (no attachment in message)
Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: GRAYMAIL negative
Tue Dec 3 15:22:47 2019 Info: MID 3291517 Custom Log Entry: SDR_Verdict_matched_Awful_Poor
Tue Dec 3 15:22:47 2019 Info: Start MID 3291519 ICID 0

4. Semplici comandi grep per controllare la frequenza o l'esistenza di verdetti specifici.

• >> grep "Sender Reputation: Awful" log_di posta
• >> grep "Sender Reputation: Poor" log_posta

5. Inoltre, i dettagli del log di posta possono essere ottenuti usando il comando findevent della CLI insieme al valore MID.

xxx.com> grep "SDR: Domain Reputation.*Poor" mail_logs
Tue Dec 3 11:07:01 2019 Info: MID 3265844 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : xxx.com Youngest Domain Age: 21 days for domain: customer@xxx.net
Tue Dec 3 12:57:28 2019 Info: MID 3277401 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : xxxs.com@xxx.com, Youngest Domain Age: 6 months 29 days for domain: xxxs.com@xxx.com


xxx.com> grep "SDR: Domain Reputation.*Awful" mail_logs
Tue Dec 3 10:24:08 2019 Info: MID 3261075 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : owner@xxxxxx.us Youngest Domain Age: unknown for domain: owner@xxx.ca
Tue Dec 3 15:18:27 2019 Info: MID 3291182 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : example.com@xxx.info, xxx@.info. Youngest Domain Age: 1 day for domain: example.com@xxx.info

Risoluzione dei problemi

In questa sezione vengono fornite informazioni utili per risolvere i problemi di configurazione.

1. Nessun SDR: log presenti all'interno di mail_logs o Message Tracking:

• I registri SDR possono essere sempre presenti per i messaggi che passano attraverso un criterio di flusso di posta ACCEPT.
• Accertarsi che il Servizio sia stato attivato come indicato nelle fasi iniziali di questa guida.

2. Timeout SDR:

• Verificare che il server cloud Cisco per SDR sia aperto e disponibile per l'uso.
• v2.sds.cisco.com
• Un test molto generale può essere eseguito usando il telnet dalla CLI.
• Se viene visualizzato il banner, è possibile confermare la raggiungibilità di base.
  • CLI > telnet v2.sds.cisco.com 443 (questo può verificare solo un point in time).
• Controllare i registri di altri servizi per determinare se vi sono potenziali errori di comunicazione con i servizi basati su Internet.
• CLI > visualizza gli avvisi per verificare la presenza di ulteriori segnali di errore di comunicazione.
• Nelle versioni precedenti alla 13.5, AsyncOS, SDR e URL Filtering utilizzano entrambi il sito v2.sds.cisco.com.
  • Se il comando CLI del filtro URL > websecuritydiagnostics contiene una latenza, è possibile verificare se il percorso di rete contiene una latenza.
• Controllare l'impostazione di timeout della reputazione del dominio mittente e determinare se il valore può essere aumentato di 1-10 secondi. Passare a Servizi di sicurezza > Reputazione dominio > Modifica > Timeout query reputazione dominio mittente:2
• L'impostazione predefinita è 2 secondi e l'impostazione massima è 10 secondi.

Informazioni correlate

• Guide per l'utente ESA
• Note release ESA
• Guide di riferimento CLI ESA
• Documentazione e supporto tecnico – Cisco Systems