Configurar a reputação do domínio do remetente para ESA

Atualizado:1 de junho de 2023
ID do documento:216192

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve a configuração SDR (Sender Domain Reputation) para o ESA (Email Security Appliance).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Conceitos do ESA 
    • configuração de ESA

    Componentes Utilizados

    As informações neste documento são baseadas no AsyncOS para ESA 12.0 e posterior.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    1. O SDR foi desenvolvido como um recurso adicional para melhorar a detecção de spam.

    2. O SDR captura vários valores de cabeçalho e os carrega nos Servidores de Inteligência de Ameaças do Talos, onde detalhes adicionais são combinados para determinar um veredito para cada mensagem em uma escala graduada com base em uma fórmula derivada pelo Talos.acron.

    3. Os valores do cabeçalho incluídos na decisão são:

    • Envelope de
    • De
    • Responder para
    • verificação de dmarc, dkim e spf (se configurado)
    • De (parte do nome) é enviado opcionalmente dos cabeçalhos 'De' e 'Responder Para'
    • IP do remetente
    • Nome para exibição nos cabeçalhos 'De' e 'Responder Para'

    5. A varredura SDR é executada em todas as mensagens de entrada.

    6. A varredura do SDR ocorre logo após a aceitação de uma mensagem pelo Simple Mail Transfer Protocol (SMTP).

    7. Nenhuma ação pode ser executada sem a implementação de um filtro de mensagens ou de um filtro de conteúdo.

    8. A ação do SDR ocorreria em um Filtro de Mensagem ou Filtro de Conteúdo configurado.

    9. Os componentes configurados incluem:

    • Habilitar serviço de reputação de domínio
    • Listas de exceção de domínio (opcional)
      • Lista de Exceções de Domínio (Global)
      • Lista de exceções de domínio (específico para filtro de mensagens/conteúdo)
    • Filtro de mensagens ou filtro de conteúdo

    Configurar

    Habilitar WebUI do Serviço de Reputação de Domínio

    O SDR pode ser ativado na interface WebUI ou nas interfaces CLI.

    IUweb:

    1. Navegue até Mail Security Services > Domain Reputation > Enable.

    2. Clique na caixa ao lado de Enable Sender Domain Reputation Filtering.

    3. Escolha esta caixa Incluir Atributos Adicionais: (Opcional) se quiser incluir o valor do cabeçalho opcional nos dados marcados para melhorar a eficácia. Clique em ? para saber mais. 

    4. Escolha esta caixa Tempo Limite da Consulta de Reputação de Domínio do Remetente. Clique em ? para saber mais.

    5. Escolha Corresponder lista de exceções de domínio com base no domínio no Envelope De - Ativado.

    6. Clique em Enviar > Confirmar conforme mostrado na imagem.

    Sender (Domain Reputation) ServiceServiço de remetente (reputação de domínio)

    Security Services - Domain Reputation Reputação de domínio" />Serviços de segurança > Reputação de domínio

    Lista de Exceções de Domínio

    1. A Lista de Exceções de Domínio pode ignorar a Verificação de Reputação de Domínio de Remetente para fluxo de email de entrada.

    2. A Lista de Exceções de Domínio pode ser aplicada em diferentes locais para afetar o fluxo de mensagens.

    3. O aplicativo Global pode ser aplicado a todas as mensagens verificadas.

    4. A aplicação mais detalhada nos filtros de conteúdo/mensagem pode afetar apenas um filtro(s) configurado(s).

    5. A Lista de Exceções de Domínio fornece duas opções para fornecer uma opção simples e uma mais segura.

    6. Este documento descreve as opções para ignorar com sucesso o SDR de uma mensagem que usa a Lista de Exceções de Domínio.

    7. Explicação dos Requisitos da Lista de Exceções de Domínio

    Criar uma lista de endereços

    1. Navegue até Políticas de e-mail > Lista de endereços > Adicionar lista de endereços > Nome > Descrição > Tipo de lista: Somente domínios
    2. Adicione cada nome de domínio com o uso do comando separado por vírgulas.
    3. Clique em Enviar e Confirmar alterações como mostrado na imagem.

    Address List to be Applied to the Domain Exception ListLista de Endereços a ser aplicada à Lista de Exceções de Domínio

    Aplicar a lista de endereços à lista de exceções de domínio global do SDR

    1. Navegue até Serviços de segurança > Reputação de domínio > Lista de exceções de domínio > Editar configurações > Lista de exceções de domínio (selecione sua lista).
    2. Clique em Enviar e Confirmar alterações como mostrado na imagem.

    Choose an Address List from the DropdownEscolha uma lista de endereços no menu suspenso

    Aplicar a lista de endereços aos filtros de conteúdo/mensagem

    Filtros de conteúdo de entrada:

    1. Navegue até Condição > Reputação de URL > Opção de Feeds de Ameaças.

    2. Condição Reputação de Domínio.

    Domain Exception List Allows per Policy ActionA Lista de Exceções de Domínio permite por ação de política.

    Filtros de mensagem:

    O aplicativo Lista de exceções de domínio nos filtros de mensagem seria incluído como uma opção em uma condição. 

    note-icon

    Observação: esses exemplos incluem domain_exception_list como uma parte da condição inteira.

    1. sdr-reputation (['horrível', 'pobre', 'contaminado', 'fraco', 'desconhecido', 'neutro', 'bom'], domain_exception_list)
    2. sdr-age ("days", <, 5, domain_exception_list)
    3. sdr-unscannable (domain_exception_list)

    Uma explicação mais abrangente e exemplos da aplicação do filtro de mensagens podem ser encontrados nos Guias do usuário do ESA sob os cabeçalhos:

    • Regra de reputação de domínio para ETF
    • Filtrando mensagens com base na reputação do domínio do remetente que usa o filtro de mensagens

    Criar um filtro de conteúdo para agir sobre o veredito do SDR

    1. O SDR está habilitado somente para o Fluxo de e-mail de entrada.
    2. O nome da condição SDR: reputação do domínio.
    3. Várias Condições podem ser criadas para combinar diferentes resultados.
    4. A condição de reputação do domínio contém duas verificações diferentes que contêm várias opções para cada uma:
    • Reputação de domínio de remetente
      • Veredito de reputação de domínio de remetente
      • Tempo de existência do domínio do remetente
      • Reputação de domínio de remetente não verificável
    • Feeds de ameaças externas
      • Permite a utilização das listas de conteúdo baixadas dos Feeds de Ameaças para verificação nos mesmos cabeçalhos de domínio coletados para SDR.

    Observação: essas opções na condição de reputação do domínio podem ser alteradas visualmente com base nas diferentes opções para cada seleção.

    5. A última opção dentro da Condição de reputação do domínio é a Lista de exceções de domínio.

    6. A função Lista de Exceções de Domínio associada a uma Lista de Endereços adiciona mais controle à aplicação da ação, aplicando a lista ao Nível mais detalhado de Política de E-mail do processamento de mensagens.

    7. Navegue até Política de e-mail > Filtros de conteúdo de entrada > Adicionar filtro > Adicionar condição > Reputação de domínio.

    8. Condição 1: Veredito de Reputação de Domínio do Remetente.

    • Terrível, Pobre, Taintado, Fraco, Desconhecido, Neutro, Bom
    • Contém marcadores triangulares deslizantes para escolher o intervalo que você deseja corresponder.
    • Os Terríveis e Pobres são os valores recomendados para agir.
    • As mensagens que corresponderem a Ruim e Ruim podem ter uma Categoria adicional, valor como Spam ou Mal-intencionado visível no Rastreamento de mensagem.

    SDR Verdict Adjustable Range Slide BarBarra deslizante de intervalo ajustável de veredito SDR.Full View of the SDR Verdict Slide BarVisualização completa da barra de slides de veredito do SDR.

    9. Condição 2: Tempo de existência do domínio do remetente.

    • A idade do domínio pode ser associada a mais risco ou confiabilidade estabelecida há muito tempo.
    • A possibilidade de um domínio com menos de 10 dias de idade pode ser mais arriscada.

    Sender Domain AgeTempo de existência do domínio do remetente. Valores mais baixos sugerem mais risco.

    10. Condição 3: Reputação de domínio do remetente não verificável.

    • Forneça uma opção para que os administradores executem uma ação se um veredito não puder ser obtido.

    SDR UnscannableSDR não verificável

    11. Condição 4: Feeds de ameaças externas

    • Os cabeçalhos incluídos na verificação SDR também podem ser verificados com conteúdo STIX/TAXII personalizado baixado.
    • Os feeds de ameaças externas são abordados com mais detalhes aqui Feeds de ameaças externas

    External Threat FeedsFeeds de ameaças externas podem ser usados para verificar os mesmos cabeçalhos usados para SDR.

    Guias do usuário do Email Security Appliance

    12. Condição 5: Usar Lista de Exceções de Domínio.

    • O uso da Lista de exceções de domínio no Filtro de conteúdo adiciona mais controle do que a Lista global.

    Domain Exception List Allows per Policy ActionA Lista de Exceções de Domínio permite por ação de política.

    13. A ação combinada com essas condições pode variar de mínima a extrema e depende dos resultados desejados do administrador.

    14. Algumas das ações mais populares são listadas:

    • Quarentena/Copiar para quarentena
    • Soltar
    • Adicionar aviso ou aviso ao assunto ou corpo da mensagem.
    • Crie uma Entrada de Log para gerar uma palavra, frase ou valor específico para os logs de controle de mensagens.

    Configurar o SDR através do uso de filtros de mensagens

    1. Os Guias de usuário do ESA são uma excelente fonte para a sintaxe, definições e exemplos do filtro de mensagens.
    2. Procure este cabeçalho no Guia do usuário para obter conteúdo adicional para Filtros de mensagem além das informações fornecidas aqui.
    • Filtrando mensagens com base na reputação do domínio do remetente com filtro de mensagens

    3. Estas condições estão associadas ao Filtro de Mensagens do SDR:

    • if sdr-reputation (['horror', 'pobre'] >>> todos os valores para isso incluem: Awful, Poor, Tainted, Weak, Unknown, Neutral, Good
    • if sdr-reputation (['horror', 'pobre'], "<domain_exception_list>") >>>> Isso inclui o uso de uma lista de exceções de domínio
    • Se for sdr-age (<‘unit'>, <‘operator'> <‘atual value’>) >>>> Consulte o Guia do usuário para obter a definição de "operator".
      • if (sdr-age ("unknown", "")) >>> unit = unknown. Os valores restantes são substituídos pelo ""
      • exemplo: if (sdr-age ("meses", <, 1, "")). >>> unidade = dias, meses, anos. Operador = < (menor que). Valor Real = 1
    • se sdr-unscannable (<'domain_exception_list'>) >>> Como apresentado, se a mensagem resultar em unscannable. Este exemplo também inclui a condição da lista de exceções de domínio.
    • if (sdr-unscannable ("") >>> Este exemplo não inclui a lista de exceções. O valor é substituído por ("")

    Verificar

    Use esta seção para confirmar se a sua configuração funciona corretamente.

    Depois que o serviço SDR tiver sido ativado, mail_logs e o Rastreamento de mensagens começarão a mostrar as entradas de log SDR:.

    1. mail_logs contém a pontuação dos dados SDR coletados.
    2. A pontuação é determinada no início do fluxo de e-mail, antes da determinação da Política de e-mail.
    3. As ações executadas sobre o veredito ocorrem no momento das ações de filtro de mensagem e filtro de conteúdo.
    xxx.com> mail_logs sample including SDR verdict
    Tue Dec 3 15:22:44 2019 Info: New SMTP ICID 5539460 interface Data 1 (10.10.10.170) address 55.1.x.y reverse dns host xxx1.xxx.com verified yes
    Tue Dec 3 15:22:44 2019 Info: ICID 5539460 ACCEPT SG Production_INBOUND match xxx1.xxx.com SBRS 2.5 country United States
    Tue Dec 3 15:22:44 2019 Info: ICID 5539460 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES128-GCM-SHA256
    Tue Dec 3 15:22:44 2019 Info: Start MID 3291517 ICID 5539460
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 From: <customer@xxx.com>
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 RID 0 To: <owner@xxx.com>
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 IncomingRelay(PROD_TO_BETA): Header Received found, IP 172.20.245.245 being used, SBRS -1.9 country United States
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 Message-ID '<mail>'
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 Subject "You\\'ve Been Nominated for inclusion with Who\\'s Who"
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 SDR: Domains for which SDR is requested: reverse DNS host: Not Present, helo: xxx1.xxx.com, env-from: xxx.com, header-from: xxx.com, reply-to: Not Present
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : owner@xxx.com, owner=xxx.com@xxx.com. Youngest Domain Age: unknown for domain: owner@xxx.com
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Tracker Header : 5Zrl76622ZDGPsS6cByUUXq7LTXXS3/wonoZb5cGe2AbRQKxXE5Fag5SfJuNyzii3UPRVoCasmgBq9G0UrsLt7i/omQxDae82pU/wJbLOD8akDJ7eq7cLFChOcPm0utOmSv9sFJ4K/K1dL4uNiB13e/pXHjGDAmZrKwo7A13/7HTMCZz8PaMgKl7AFKvwVuZc1oVn5OGQr95d0L5x6/ipHZi6/2oKPxMcovolx580SiJ29lJFv7qLjJ8jOlGZCEQOVBnzRHJ7X8wJrZKhGMiLgy
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 ready 10011 bytes from <owner@xxx.com>
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 Custom Log Entry: MF_URL_Category_all HIT
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 matched all recipients for per-recipient policy DEFAULT in the inbound table
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim verdict using engine: CASE spam positive
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: CASE spam positive
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim AV verdict using Sophos CLEAN
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 antivirus negative
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 AMP file reputation verdict : SKIPPED (no attachment in message)
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: GRAYMAIL negative
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 Custom Log Entry: SDR_Verdict_matched_Awful_Poor
    Tue Dec 3 15:22:47 2019 Info: Start MID 3291519 ICID 0

    4. Comandos grep simples para verificar a frequência ou a existência de vereditos específicos.

    • >> grep "Reputação do remetente: Awful" mail_logs
    • >> grep "Reputação do remetente: Ruim" mail_logs

    5. Além disso, os detalhes do registro de mensagens podem ser obtidos com o uso do comando CLI findevent em conjunto com o valor MID.

    xxx.com> grep "SDR: Domain Reputation.*Poor" mail_logs
    Tue Dec 3 11:07:01 2019 Info: MID 3265844 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : xxx.com Youngest Domain Age: 21 days for domain: customer@xxx.net
    Tue Dec 3 12:57:28 2019 Info: MID 3277401 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : xxxs.com@xxx.com, Youngest Domain Age: 6 months 29 days for domain: xxxs.com@xxx.com


    xxx.com> grep "SDR: Domain Reputation.*Awful" mail_logs
    Tue Dec 3 10:24:08 2019 Info: MID 3261075 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : owner@xxxxxx.us Youngest Domain Age: unknown for domain: owner@xxx.ca
    Tue Dec 3 15:18:27 2019 Info: MID 3291182 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : example.com@xxx.info, xxx@.info. Youngest Domain Age: 1 day for domain: example.com@xxx.info

    Troubleshooting

    Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

    1. Nenhum SDR: logs presentes em mail_logs ou Rastreamento de mensagem:
    • Os logs do SDR sempre podem estar presentes para mensagens que passam por uma Política de Fluxo de E-mail ACEITO.
    • Verifique se o Serviço foi ativado conforme apresentado nas etapas iniciais deste guia.

    2. SDR Expirado:

    • Verifique se o servidor em nuvem da Cisco para SDR está aberto e disponível para uso.
    • v2.sds.cisco.com
    • Um teste muito geral pode ser realizado com o uso do telnet a partir do CLI.
    • Se o banner for exibido, ele poderá confirmar a acessibilidade básica.
      • CLI > telnet v2.sds.cisco.com 443 (isso pode verificar apenas um point-in-time.)
    • Verifique os logs de outros serviços para determinar se há possíveis falhas de comunicação com os serviços baseados na Internet.
    • CLI > exibe alertas para verificar se há sinais adicionais de falhas de comunicação.
    • Antes da versão 13.5 do AsyncOS, o SDR e a filtragem de URL utilizavam v2.sds.cisco.com.
      • Uma verificação do comando CLI de filtragem de URL > websecuritydiagnostics pode fornecer alguma validação se o caminho de rede contiver latência.
    • Verifique a configuração Sender Domain Reputation Timeout e determine se o valor pode ser aumentado de 1 a 10 segundos. Navegue até Serviços de segurança > Reputação de domínio > Editar > Tempo limite de consulta de reputação de domínio de remetente:2
    • O padrão é 2 segundos e uma configuração máxima de 10 segundos.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    3.0
    01-Jun-2023
    PII removido. SEO, Texto Alt, Tradução Automática, Requisitos de Estilo, Gerunds e Formatação Atualizados.
    2.0
    21-Oct-2021
    Exemplos corrigidos — continham dados do cliente em tempo real.
    1.0
    04-Nov-2020
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Chris Arellano
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos