تكوين سمعة مجال المرسل ل ESA

المقدمة

يصف هذا المستند تكوين "سمعة مجال المرسل (SDR)" لجهاز أمان البريد الإلكتروني (ESA).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• مفاهيم ESA 
• تكوين ESA

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى AsyncOS ل ESA 12.0 والإصدارات الأحدث.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

1. تم تطوير حقوق السحب الخاصة كمورد إضافي من أجل تحسين الكشف عن البريد العشوائي.

2. تلتقط SDR قيم رأس متعددة، وتحميلها إلى خوادم Talos Threat Intelligence حيث يتم دمج تفاصيل إضافية لتحديد الحكم على كل رسالة على مقياس متدرج استنادا إلى صيغة مشتقة من Talos.acron.

3. قيم الرأس المضمنة في القرار هي:

• ظرف من
• من
• الرد على
• التحقق من DMARK و DKIM و SPF (في حالة التهيئة)
• يتم إرسال From (جزء الاسم) بشكل إختياري من الرأسين 'From' و'Reply-To'
• IP الخاص بالمرسل
• اسم العرض في الرأسين 'من' و'الرد على'

5. يتم إجراء فحص SDR على كافة الرسائل الواردة.

6. يتم إجراء فحص SDR مباشرة بعد قبول البروتوكول البسيط لنقل رسائل البريد (SMTP) لرسالة ما.

7. لا يمكن إتخاذ أي إجراء دون تنفيذ "عامل تصفية الرسائل" أو "عامل تصفية المحتوى".

8. يتم إجراء SDR في عامل تصفية الرسائل أو عامل تصفية المحتوى الذي تم تكوينه.

9. تتضمن المكونات المكونة ما يلي:

• تمكين خدمة سمعة المجال
• قوائم إستثناء المجال (إختياري)
  • قائمة إستثناء المجال (عمومي)
  • قائمة إستثناءات المجال (محدد لعامل تصفية الرسالة/المحتوى)
• عامل تصفية الرسائل أو عامل تصفية المحتوى

التكوين

تمكين WebUI لخدمة سمعة المجال

يمكن تمكين SDR من واجهات WebUI أو CLI.

WebUI:

1. انتقل إلى خدمات أمان البريد > سمعة المجال > تمكين.

2. انقر فوق المربع التالي لتمكين تصفية سمعة مجال المرسل.

3. أختر هذا المربع يتضمن سمات إضافية: (إختياري) إذا كنت ترغب في تضمين قيمة الرأس الاختيارية في البيانات المحددة لتحسين الفعالية. انقر ؟ للتعلم. 

4. أختر مهلة استعلام سمعة مجال المرسل هذا. انقر ؟ للتعلم.

5. أختر مطابقة قائمة إستثناءات المجال استنادا إلى المجال في المغلف من - ممكن.

6. انقر فوق إرسال > التزام كما هو موضح في الصورة.

خدمة المرسل (سمعة المجال)

سمعة المجال />خدمات الأمان > سمعة المجال

قائمة إستثناءات المجال

1. يمكن لقائمة إستثناءات المجال تجاوز فحص سمعة Sender Domain Scanning لتدفق البريد الوارد.

2. يمكن تطبيق قائمة إستثناءات المجال في مواقع مختلفة للتأثير على تدفق البريد.

3. يمكن تطبيق التطبيق العمومي على كافة رسائل البريد التي تم مسحها ضوئيا.

4. يمكن أن يؤثر التطبيق الأكثر تفصيلا داخل عوامل تصفية المحتوى/الرسائل على عامل (عوامل) التصفية التي تم تكوينها فقط.

5. توفر قائمة إستثناءات المجال خيارين لتوفير خيار بسيط فضلا عن خيار أكثر أمانا.

6. يصف هذا المستند الخيارات لتخطي SDR بنجاح لرسالة تستخدم قائمة إستثناءات المجال.

7. شرح متطلبات قائمة إستثناءات المجال

إنشاء قائمة عناوين

1. انتقل إلى سياسات البريد > قائمة العناوين > إضافة قائمة العناوين > الاسم > الوصف > نوع القائمة: المجالات فقط
2. قم بإضافة كل اسم مجال باستخدام الفاصلة.
3. انقر فوق إرسال وتنفيذ التغييرات كما هو موضح في الصورة.

قائمة العناوين المطلوب تطبيقها على قائمة إستثناءات المجال

تطبيق قائمة العناوين على قائمة إستثناءات المجال العمومي ل SDR

1. انتقل إلى خدمات الأمان > سمعة المجال > قائمة إستثناءات المجال > تحرير الإعدادات > قائمة إستثناءات المجال (حدد قائمتك).
2. انقر فوق إرسال وتنفيذ التغييرات كما هو موضح في الصورة.

إختيار قائمة عناوين من القائمة المنسدلة

تطبيق قائمة العناوين على عوامل تصفية المحتوى/الرسائل

عوامل تصفية المحتوى الواردة:

1. انتقل إلى الشرط > سمعة URL > خيار موجز ويب التهديد.

2. سمعة مجال الشرط.

تسمح قائمة إستثناءات المجال لكل إجراء نهج.

عوامل تصفية الرسائل:

سيتم تضمين تطبيق قائمة إستثناءات المجال داخل عوامل تصفية الرسائل كخيار داخل شرط. 

1. سمعة SDR (['سيئ'، 'فقير'، 'ملوث'، 'ضعيف'، 'غير معروف'، 'حيادي'، 'جيد']، domain_exception_list)
2. SDR-age ("أيام"، <، 5، domain_exception_list)
3. SDR-unscanAble (domain_exception_list)

يمكن العثور على شرح ونماذج أكثر شمولا لتطبيق تصفية الرسائل باستخدام أدلة مستخدم ESA أسفل العناوين:

• قاعدة سمعة المجال ل ETF
• تصفية الرسائل استنادا إلى "سمعة مجال المرسل" التي تستخدم عامل تصفية الرسائل

إنشاء عامل تصفية محتوى لاتخاذ إجراء بشأن الحكم على SDR

1. لا يتم تمكين SDR إلا لتدفق البريد الوارد.
2. اسم شرط SDR: اسم المجال.
3. يمكن إنشاء شروط متعددة لتجميع نتائج مختلفة.
4. يحتوي شرط سمعة المجال على تحققين مختلفين يحتويان على خيارات متعددة لكل منهما:

• سمعة مجال المرسل
  • الحكم على سمعة مجال المرسل
  • عمر مجال المرسل
  • يتعذر مسح سمعة مجال المرسل
• موجز ويب التهديد الخارجي
  • السماح باستخدام قوائم محتوى "موجز ويب للتهديد" الذي تم تنزيله بالمسح الضوئي مقابل نفس رؤوس المجالات التي تم تجميعها ل SDR.

ملاحظة: يمكن أن تتغير هذه الخيارات الموجودة في حالة سمعة المجال بصريا بناء على الخيارات المختلفة لكل تحديد.

5. الخيار النهائي ضمن شرط سمعة المجال هو قائمة إستثناءات المجال.

6. تضيف وظيفة قائمة إستثناءات المجال المقترنة بقائمة العناوين المزيد من التحكم إلى تطبيق الإجراء من خلال تطبيق القائمة على مستوى نهج البريد الأكثر تفصيلا لمعالجة الرسائل.

7. انتقل إلى نهج البريد > عوامل تصفية المحتوى الواردة > إضافة عامل تصفية > إضافة شرط > سمعة المجال.

8. الشرط 1: الحكم على سمعة مجال المرسل.

• فظيع، فقير، ملطخ، ضعيف، غير معروف، محايد، جيد
• يحتوي على علامات مثلثة منزلقة لاختيار النطاق الذي تريد مطابقته.
• الفظيعة والفقيرة هي القيم الموصى بها لاتخاذ إجراء.
• يمكن أن يكون للرسائل التي تتطابق مع الإصدارات السيئة والفقيرة فئة إضافية، أو قيمة مثل البريد العشوائي أو البرامج الضارة التي يمكن عرضها ضمن تعقب الرسائل.
  
  

شريط شرائح نطاق قابل لضبط إصدار أحكام حقوق السحب الخاصة.عرض كامل لشريط شرائح الأحكام في حقوق السحب الخاصة.

9 - الشرط 2: عمر مجال المرسل.

• يمكن ربط العمر الافتراضي للمجال بمزيد من المخاطر أو موثوقية ثابتة منذ فترة طويلة.
• يمكن أن يكون احتمال وجود مجال يقل عمره عن 10 أيام أكثر خطورة.

عمر مجال المرسل. القيم المنخفضة تشير إلى المزيد من المخاطر.

10. الشرط 3: لا يمكن مسح سمعة مجال المرسل.

• توفير خيار للمسؤولين لاتخاذ إجراء في حالة تعذر الحصول على قرار.

لا يمكن مسح SDR

11 - الشرط 4: موجز التهديدات الخارجية

• يمكن أيضا مسح الرؤوس المتضمنة في مسح SDR باستخدام محتوى STIX/TAXII مخصص تم تنزيله.
• تتم تغطية موجز ويب التهديدات الخارجية بشكل أكثر تفصيلا هنا موجز ويب التهديدات الخارجية
  
  

يمكن إستخدام موجز ويب التهديد الخارجي لمسح نفس الرؤوس المستخدمة ل SDR.

أدلة مستخدم جهاز أمان البريد الإلكتروني

12 - الشرط 5: إستخدام قائمة إستثناءات المجال.

• يضيف إستخدام قائمة إستثناءات المجال ضمن عامل تصفية المحتوى المزيد من التحكم من القائمة العمومية.

تسمح قائمة إستثناءات المجال لكل إجراء نهج.

13 - ويمكن أن يتراوح العمل مقترنا بهذه الشروط من الحد الأدنى إلى الحد الأقصى ويتوقف ذلك على النتائج المرجوة من المسؤول.

14 - وترد قائمة ببعض الإجراءات الأكثر شيوعا:

• عزل/نسخ إلى عزل
• قطرة
• إضافة إخلاء المسؤولية أو التحذير إلى موضوع الرسالة أو نصها.
• قم بإنشاء "إدخال سجل" لإنشاء كلمة أو عبارة أو قيمة معينة لسجلات تعقب الرسائل.

تكوين SDR من خلال إستخدام عوامل تصفية الرسائل

1. تعد أدلة مستخدم ESA مصدرا ممتازا لصياغة عامل تصفية الرسائل والتعريفات والأمثلة.
2. ابحث عن هذا العنوان في دليل المستخدم للحصول على محتوى إضافي لعوامل تصفية الرسائل بخلاف المعلومات المتوفرة هنا.

• تصفية الرسائل استنادا إلى سمعة مجال المرسل مع عامل تصفية الرسائل

3. ترتبط هذه الشروط بعامل تصفية رسائل SDR:

• إذا كانت سمعة حقوق السحب الخاصة ([ سيئ]، 'ضعيف'] >>> فإن جميع القيم المتعلقة بهذا تتضمن: فظيعة، فقيرة، ملطخة، ضعيفة، غير معروفة، محايدة، جيدة
• إذا كانت SDR-REPUTATION (['awful'، 'poor']، "<domain_exception_list>") >> فهذا يتضمن إستخدام قائمة إستثناءات المجال
• إذا كان سن SDR (<unit'>، <'operator'> <'value true'>>> راجع دليل المستخدم لتعريف "operator".
  
  • إذا (SDR-age ("غير معروف"، ") >>> الوحدة = غير معروف. يتم إستبدال القيم المتبقية ب ""
  • مثال: إذا كان (سن SDR ("أشهر"، <، 1، "). >> الوحدة = أيام، أشهر، سنوات. عامل التشغيل = < (أقل من). القيمة الفعلية = 1
• إذا كان SDR غير قابل للمسح الضوئي (<'domain_exception_list'>>> كما هو موضح، إذا كانت الرسالة ينتج عنها لا يمكن المسح الضوئي. يتضمن هذا النموذج حالة قائمة إستثناءات المجال أيضا.
• إذا لم تقم هذه العينة (SDR-unscanAble (") >> بتضمين قائمة الاستثناءات. يتم إستبدال القيمة ب (")

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

بمجرد تمكين خدمة SDR، يبدأ MAIL_LOG وتتبع الرسائل في عرض إدخالات السجل ل SDR:

1. يحتوي mail_log على نتيجة بيانات SDR التي تم تجميعها.
2. يتم تحديد النتيجة في وقت مبكر من تدفق البريد، قبل تحديد نهج البريد.
3. تحدث الإجراءات التي تم إتخاذها عند تنفيذ إجراءات تصفية الرسالة وتصفية المحتوى.

xxx.com> mail_logs sample including SDR verdict
Tue Dec 3 15:22:44 2019 Info: New SMTP ICID 5539460 interface Data 1 (10.10.10.170) address 55.1.x.y reverse dns host xxx1.xxx.com verified yes
Tue Dec 3 15:22:44 2019 Info: ICID 5539460 ACCEPT SG Production_INBOUND match xxx1.xxx.com SBRS 2.5 country United States
Tue Dec 3 15:22:44 2019 Info: ICID 5539460 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES128-GCM-SHA256
Tue Dec 3 15:22:44 2019 Info: Start MID 3291517 ICID 5539460
Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 From: <customer@xxx.com>
Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 RID 0 To: <owner@xxx.com>
Tue Dec 3 15:22:44 2019 Info: MID 3291517 IncomingRelay(PROD_TO_BETA): Header Received found, IP 172.20.245.245 being used, SBRS -1.9 country United States
Tue Dec 3 15:22:44 2019 Info: MID 3291517 Message-ID '<mail>'
Tue Dec 3 15:22:44 2019 Info: MID 3291517 Subject "You\\'ve Been Nominated for inclusion with Who\\'s Who"
Tue Dec 3 15:22:44 2019 Info: MID 3291517 SDR: Domains for which SDR is requested: reverse DNS host: Not Present, helo: xxx1.xxx.com, env-from: xxx.com, header-from: xxx.com, reply-to: Not Present
Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : owner@xxx.com, owner=xxx.com@xxx.com. Youngest Domain Age: unknown for domain: owner@xxx.com
Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Tracker Header : 5Zrl76622ZDGPsS6cByUUXq7LTXXS3/wonoZb5cGe2AbRQKxXE5Fag5SfJuNyzii3UPRVoCasmgBq9G0UrsLt7i/omQxDae82pU/wJbLOD8akDJ7eq7cLFChOcPm0utOmSv9sFJ4K/K1dL4uNiB13e/pXHjGDAmZrKwo7A13/7HTMCZz8PaMgKl7AFKvwVuZc1oVn5OGQr95d0L5x6/ipHZi6/2oKPxMcovolx580SiJ29lJFv7qLjJ8jOlGZCEQOVBnzRHJ7X8wJrZKhGMiLgy
Tue Dec 3 15:22:46 2019 Info: MID 3291517 ready 10011 bytes from <owner@xxx.com>
Tue Dec 3 15:22:46 2019 Info: MID 3291517 Custom Log Entry: MF_URL_Category_all HIT
Tue Dec 3 15:22:46 2019 Info: MID 3291517 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim verdict using engine: CASE spam positive
Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: CASE spam positive
Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim AV verdict using Sophos CLEAN
Tue Dec 3 15:22:47 2019 Info: MID 3291517 antivirus negative
Tue Dec 3 15:22:47 2019 Info: MID 3291517 AMP file reputation verdict : SKIPPED (no attachment in message)
Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: GRAYMAIL negative
Tue Dec 3 15:22:47 2019 Info: MID 3291517 Custom Log Entry: SDR_Verdict_matched_Awful_Poor
Tue Dec 3 15:22:47 2019 Info: Start MID 3291519 ICID 0

4. أوامر GREP البسيطة من أجل التحقق من تواتر، أو وجود، أحكام محددة.

• >> سجلات GREP "سمعة المرسل: سيئة" mail_log
• >> سجلات GREP "سمعة المرسل: سيئة" mail_log

5. علاوة على ذلك، يمكن الحصول على تفاصيل سجل البريد باستخدام الأمر CLI Findevent بالاقتران مع القيمة المتوسطة.

xxx.com> grep "SDR: Domain Reputation.*Poor" mail_logs
Tue Dec 3 11:07:01 2019 Info: MID 3265844 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : xxx.com Youngest Domain Age: 21 days for domain: customer@xxx.net
Tue Dec 3 12:57:28 2019 Info: MID 3277401 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : xxxs.com@xxx.com, Youngest Domain Age: 6 months 29 days for domain: xxxs.com@xxx.com


xxx.com> grep "SDR: Domain Reputation.*Awful" mail_logs
Tue Dec 3 10:24:08 2019 Info: MID 3261075 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : owner@xxxxxx.us Youngest Domain Age: unknown for domain: owner@xxx.ca
Tue Dec 3 15:18:27 2019 Info: MID 3291182 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : example.com@xxx.info, xxx@.info. Youngest Domain Age: 1 day for domain: example.com@xxx.info

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

1. لا توجد أي وحدات ذاكرة SDR: السجلات الموجودة داخل MAIL_LOG أو تعقب الرسائل:

• يمكن أن تكون سجلات SDR موجودة دائما للرسائل التي تمر عبر نهج ACCEPT لتدفق البريد.
• تأكد من تمكين الخدمة كما هو موضح في الخطوات الأولية لهذا الدليل.

2. انتهت مهلة حقوق السحب الخاصة:

• تحقق من فتح خادم Cisco السحابي ل SDR وتوفره للاستخدام.
• v2.sds.cisco.com
• يمكن إجراء إختبار عام جدا باستخدام Telnet من واجهة سطر الأوامر.
• إذا ظهر الشعار، فيمكنه تأكيد إمكانية الوصول الأساسية.
  • CLI > Telnet v2.sds.cisco.com 443 (يمكن أن يتحقق هذا من نقطة في الوقت فقط.)
• تحقق من السجلات من الخدمات الأخرى لتحديد ما إذا كانت هناك حالات فشل اتصال محتملة يتم الخروج منها إلى الخدمات المستندة إلى الإنترنت.
• واجهة سطر الأوامر (CLI) > DisplayAlerts للتحقق من وجود علامات إضافية على حالات فشل الاتصال.
• قبل 13.5 AsyncOS، تستخدم كل من SDR و URL التصفية v2.sds.cisco.com.
  • يمكن أن يوفر التحقق من أمر واجهة سطر الأوامر (CLI) لتصفية URL > WebSecurityDiagnostics بعض التحقق من الصحة إذا كان مسار الشبكة يحتوي على زمن وصول.
• تحقق من إعداد مهلة سمعة مجال المرسل، وحدد ما إذا كان يمكن زيادة القيمة من 1 إلى 10 ثوان. انتقل إلى خدمات الأمان > Domain Reputation > Edit (تحرير) > Sender Domain Reputation Query Timeout:2
• الإعداد الافتراضي هو 2 ثانية والحد الأقصى للإعداد هو 10 ثوان.

معلومات ذات صلة

• أدلة مستخدم ESA
• ملاحظات إصدار ESA
• أدلة CLI المرجعية ل ESA
• الدعم التقني والمستندات - Cisco Systems