Inleiding
Dit document beschrijft hoe de SenderBase Reputation Score (SBRS) te begrijpen en te detecteren.
Wat betekent de SBRS-waarde van "geen" en hoe kun je deze scores detecteren?
De SBRS wordt toegewezen aan een IP-adres op basis van meer dan 50 verschillende factoren, zoals e-mailvolume, klachten van gebruikers en spamtrap-hits. De SBRS kan variëren van -10 tot +10 en geeft de kans weer dat e-mail van een verzendend IP-adres spam is. De zeer negatieve scores wijzen op afzenders die zeer waarschijnlijk spam zullen verzenden; de hoogst positieve scores wijzen afzenders aan die onwaarschijnlijk zijn om spam te verzenden.
Sommige IP-adressen hebben echter een SenderBase-score van "geen". Als de ESA niet in staat is om contact op te nemen met de SBRS-servers, krijgt het IP-adres dat de verbinding vormt een "zero"-score. SBRS-gegevens komen op een zeer geschikt moment en het apparaat slaat SBRS-scores niet langer dan ongeveer 30 minuten in de cache op. Als er een intermitterend verbindingsprobleem met de SBRS-servers was, is het mogelijk dat een eerder "gescoord" IP-adres wordt weergegeven als een "geen"-score.
Anders is de SenderBase score gebaseerd op objectieve gegevens die SenderBase over een IP-adres verzamelt. Het is mogelijk dat er niet voldoende geschiedenis en informatie voor een bepaald IP-adres is om het een accurate reputatie toe te kennen. Dit betekent dat het volume van de post die afkomstig is van het IP-adres voor de afgelopen 30 dagen zeer laag is, of dat er in die periode geen post is gezien. SenderBase bepaalde dat dit IP-adres een laag volume heeft, dat wordt berekend met een voorbeeld van het totale wereldwijde e-mailverkeer. Als er weinig volume is voor een bepaalde server/domein, wordt deze mogelijk niet weergegeven in de door SenderBase verzamelde monsters. Het volume is mogelijk niet hoog genoeg om statistisch significant te zijn. Er is geen exacte drempel voor wanneer het verkeer hoog genoeg is om een score te gaan verzamelen, maar het huidige e-mailverkeer wordt geschat op ongeveer tien miljard berichten per dag. Top verzendende hosts op een gegeven dag kunnen bijna tien miljoen berichten per dag versturen. Tegen deze achtergrond is het onwaarschijnlijk dat een server die een paar honderd e-mails per dag verstuurt zich zal registreren. Er zijn geen klachten over dit IP adres, en dit adres komt niet voor op een van de DNS-gebaseerde zwarte lijsten.
Opmerking: een score van "geen" komt niet overeen met een score van "0". Een score van 0.0 betekent dat SenderBase gelijke hoeveelheden positieve en negatieve informatie over deze afzender heeft verzameld en deze een neutrale reputatie heeft toegekend
Het is gemakkelijk om "geen" reputatie zenders aan een SENDERGROUP via de web GUI toe te voegen:
Ga naar Mail Policies > HAT Overzicht en kies een SENDERGROUP. Cisco raadt u aan naar "SUSPECTLIST" > Instellingen bewerken te gaan en het aanvinkvakje in te schakelen om de "geen" gescoorde afzenders aan de groep toe te voegen.
Opmerking: Cisco raadt u niet aan verbindingen van SBRS-"geen"-zenders te weigeren of te laten vallen. Als er een probleem is dat een verbinding met de zeer redundante farm van SBRS-servers voorkomt, wordt al uw inkomende e-mail security applicatie (ESA) uitgeschakeld. In de meeste gevallen kunt u beter een Accepteren of een THROTTLE mail flow policy gebruiken
Deze sendergroepen kunnen per afzender worden gewijzigd als u het IP-adres van de afzender toevoegt aan een afzendergroep in de Host Access Table (HAT). Als u een SenderBase reputatiescore van "none" in een berichtfilter wilt aanpassen, kunt u niet invoeren:
"if (reputation == "(?i)none""
Dit komt doordat de reputatie een numerieke waarde is, en niet kan worden vergeleken met een string. Een simpel negatief filter komt echter overeen met scores als "geen":
sbrs_none:
if not (reputation <= 10)
{
insert-header('X-SBRS-none', '$reputation');
}
Opmerking: het gedrag van SBRS-scorevergelijkingen is hetzelfde als SBRS-scores zijn uitgeschakeld bij een luisteraar of als ze daadwerkelijk ontbreken: in beide gevallen ontbreken de gegevens.
Feedback