Quais são as práticas recomendadas para usar o SenderBase?
Contents
Introduction
Este documento descreve as práticas recomendadas para usar SenderBase.
Quais são as práticas recomendadas para usar o SenderBase?
O SenderBase Reputation Service (SBRS) fornece uma maneira precisa e flexível para que você rejeite ou controle sistemas suspeitos de transmitir spam com base no endereço IP de conexão do host remoto. O SBRS retorna uma pontuação com base na probabilidade de que uma mensagem de uma determinada origem seja spam, variando de -10 (certo ser spam) a +10 (certo não ser spam). Embora o SBRS possa ser usado como uma solução antisspam independente, ele é mais eficaz quando combinado com um scanner antisspam baseado em conteúdo.
As pontuações SenderBase podem ser usadas na HAT (Host Access Table, tabela de acesso de host) em um ouvinte SMTP para mapear conexões SMTP recebidas para diferentes grupos de remetente. Cada grupo de remetente associou a ele uma política que afeta a maneira como o e-mail de entrada é tratado. As coisas mais comuns a se fazer com as pontuações do SenderBase são rejeitar o correio por completo ou limitar o remetente de spam suspeito.
Você pode usar as pontuações SBRS no HAT para rejeitar ou limitar o e-mail. Você também pode criar filtros de mensagens para especificar "limites" para pontuações SBRS para agir sobre as mensagens processadas pelo sistema. O diagrama abaixo fornece um esboço geral de como as pontuações SBRS podem ser usadas para bloquear ou acelerar remetentes suspeitos:
- As afiliadas SenderBase enviam dados globais em tempo real.
- O envio de MTA abre a conexão com o dispositivo.
- O aplicativo verifica os dados globais para o endereço IP de conexão.
- O serviço de reputação SenderBase calcula a probabilidade de esta mensagem ser spam e atribui uma pontuação de reputação SenderBase.
- O aplicativo retorna a resposta (rejeitando e-mail ou limitando remetente) com base na Pontuação de reputação SenderBase.
A forma como você usa as pontuações do SBRS dependerá do quanto você deseja ser agressivo no e-mail de pré-filtragem. O Email Security Appliance (ESA) oferece três estratégias diferentes para implementar o SenderBase:
- Conservador: Uma abordagem conservadora é bloquear mensagens com uma pontuação de reputação SenderBase inferior a -7.0, limitação entre -7.0 e -2.0, aplicar a política padrão entre -2.0 e +6.0 e aplicar a política confiável para mensagens com uma pontuação superior a +6.0. O uso dessa abordagem garante uma taxa de falsos positivos próxima de zero, além de alcançar um melhor desempenho do sistema.
- Moderate: Uma abordagem moderada é bloquear mensagens com uma pontuação de reputação SenderBase inferior a -4.0, um limite entre -4.0 e 0, aplicar a política padrão entre 0 e +6.0 e aplicar a política confiável para mensagens com uma pontuação superior a +6.0. O uso dessa abordagem garante uma taxa de falsos positivos muito pequena e, ao mesmo tempo, alcança um melhor desempenho do sistema (pois mais e-mails são despejados do processamento do Anti-Spam).
- Agressivo: Uma abordagem agressiva é bloquear mensagens com uma pontuação de reputação SenderBase inferior a -1.0, limitação entre -1.0 e 0, aplicar a política padrão entre 0 e +4.0 e aplicar a política confiável para mensagens com uma pontuação superior a +4.0. Usando essa abordagem, você pode gerar alguns falsos positivos; no entanto, essa abordagem maximiza o desempenho do sistema, pois elimina o máximo de e-mails do processamento do Anti-Spam.
A tabela abaixo resume essas três políticas:
| Abordagem | Características | Lista de permissão | Lista de bloqueio | Lista suspeita | Desconhecido |
| Intervalo de pontuação de reputação da base do remetente: | |||||
| Conservador | Falso-positivo próximo a zero, melhor desempenho | 7 a 10 | -10 a -4 | -4 a -2 | -2 a 7 |
| Moderado (Padrão) | Muito poucos falsos positivos, alto desempenho | As pontuações de reputação da base do remetente não são usadas. | -10 a -3 | -3 a -1 | -1 a +10 |
| Agressivo | Alguns falsos positivos, desempenho máximo Esta opção descarta o correio mais afastado do processamento Anti-Spam. |
4 a 10 | -10 a -2 | -2 a -1 | -1 a 4 |
| Todas as abordagens | Política de fluxo de e-mail: | ||||
| Confiável | Bloqueado | Limitado | Aceito | ||
Implementando limitação ou bloqueio SenderBase
A melhor maneira de usar as pontuações SenderBase significa seguir uma metodologia simples, com duas partes. Primeiro, você decide sobre sua política (por exemplo, você pode começar com a política "conservadora" acima) e mapear essa política para grupos de remetentes. Em seguida, você mapeia esses grupos de remetente para a política desejada. O ESA já criou uma matriz de Grupos de remetentes e Políticas de fluxo de e-mail que pode servir como modelo para a implementação do SBRS.
Para implementar o controle SenderBase com base na política padrão, você editará os quatro grupos de remetentes (Lista de permissão, Lista de bloqueio, Lista de suspeita e Lista de desconhecimento) em Políticas de e-mail > Visão geral da Tabela de acesso de host (HAT). Comece clicando no grupo de remetentes "Lista de permissão". Em seguida, usando o menu suspenso na guia Remetentes, clique em "Adicionar remetente" com "Pontuação de reputação SenderBase (SBRS)" selecionada. Isso adicionará uma linha SBRS à lista de remetentes. Preencha o intervalo de pontuação SBRS (nesse caso, 6.0 a 10.0) e clique no botão Enviar.
A política para o grupo de remetentes da lista de permissão é "Confiável". Por predefinição, esta política irá ignorar o processamento antisspam, o que aumentará o desempenho do sistema. Como é altamente improvável que os remetentes com pontuações SBRS muito altas enviem spam, essa etapa sozinha aumentará o throughput. Edite os três grupos de remetentes restantes para adicionar pontuações SBRS, de acordo com a tabela abaixo:
| Grupo de remetente | Intervalo de pontuação | Resultado |
|---|---|---|
| Lista de permissão | 6 a 10 | Remetentes em boas condições não serão verificados |
| Desconhecido | -2 a +6 | Remetentes com pouca informação serão digitalizados normalmente |
| Lista suspeita | -7 a -2 | Remetentes com má reputação serão fortemente limitados para reduzir a quantidade de spam que podem enviar |
| Lista de bloqueio | -10 a -7 | O e-mail de spammers conhecidos será rejeitado no tempo SMTP com uma resposta 5xx |
Quando terminar de adicionar intervalos de pontuação, não se esqueça de clicar em "Confirmar alterações". Ao adicionar regras de pontuação SBRS a grupos de remetentes existentes, coloque-os na parte inferior da lista de remetentes em qualquer grupo. A ordem é importante ao definir grupos de remetente no HAT de um ouvinte, pois os grupos são avaliados de cima para baixo e, dentro de cada grupo, cada regra é avaliada individualmente, de cima para baixo. Em um HAT, a primeira regra correspondente a um remetente será usada para selecionar uma diretiva. Se uma conexão de entrada de um domínio de envio tiver uma pontuação SBRS definida e corresponder ao intervalo em uma regra no HAT do ouvinte, a política de fluxo de e-mail será aplicada, mesmo que outras regras mais abaixo na lista de grupos de remetente também possam corresponder.
Se sua política para colocar remetentes em grupos de remetentes exigir que todas as regras não SBRS sejam avaliadas antes que as pontuações SBRS sejam consideradas, você poderá simplesmente adicionar quatro novos grupos de remetentes no final da lista de grupos de remetentes existentes especificamente para a correspondência de políticas SBRS com suas políticas relevantes.
Informações Relacionadas
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)