Einleitung
In diesem Dokument wird beschrieben, wie die SenderBase-Reputationsbewertung (SBRS) erkannt und verstanden wird.
Was bedeutet der SBRS-Wert "none", und wie können diese Bewertungen erkannt werden?
Der SBRS wird anhand von über 50 verschiedenen Faktoren, wie E-Mail-Volumen, Benutzerbeschwerden und Spamtraps, einer IP-Adresse zugewiesen. Der SBRS kann zwischen -10 und +10 liegen und spiegelt die Wahrscheinlichkeit wider, dass E-Mails von einer sendenden IP-Adresse Spam sind. Sehr negative Bewertungen weisen auf Absender hin, die sehr wahrscheinlich Spam versenden; sehr positive Bewertungen weisen auf Absender hin, die wahrscheinlich kein Spam versenden werden.
Einige IP-Adressen haben jedoch die SenderBase-Bewertung "none". Wenn die ESA keine Verbindung zu den SBRS-Servern herstellen kann, erhält die verbindende IP-Adresse die Bewertung "none" (Keine). Die SBRS-Daten sind sehr zeitnah, und die Appliance speichert die SBRS-Bewertungen nicht länger als ca. 30 Minuten. Tritt ein vorübergehendes Verbindungsproblem mit den SBRS-Servern auf, wird möglicherweise eine zuvor bewertete IP-Adresse als "none" (keine) bewertet.
Andernfalls basiert die SenderBase-Bewertung auf objektiven Daten, die SenderBase über eine IP-Adresse sammelt. Es ist möglich, dass es nicht genügend Historie und Informationen für eine bestimmte IP-Adresse gibt, um ihr eine genaue Reputation zuzuweisen. Das bedeutet, dass das Volumen der E-Mails, die in den letzten 30 Tagen von der IP-Adresse stammen, sehr gering ist, oder dass in diesem Zeitraum keine E-Mails empfangen wurden. SenderBase hat ermittelt, dass diese IP-Adresse ein geringes Volumen hat, das anhand einer Stichprobe des weltweiten E-Mail-Verkehrs berechnet wird. Wenn für einen bestimmten Server/eine bestimmte Domäne nur ein geringes Volumen vorhanden ist, wird es möglicherweise nicht in den von SenderBase gesammelten Beispielen angezeigt. Die Lautstärke ist möglicherweise nicht hoch genug, um statistisch signifikant zu sein. Es gibt keinen genauen Schwellenwert, ab dem der Datenverkehr hoch genug ist, um eine Punktzahl zu erreichen, aber der aktuelle E-Mail-Verkehr wird auf etwa zehn Milliarden Nachrichten pro Tag geschätzt. Die am häufigsten sendenden Hosts an einem bestimmten Tag senden möglicherweise fast zehn Millionen Nachrichten pro Tag. Vor diesem Hintergrund ist es unwahrscheinlich, dass sich ein Server, der täglich ein paar hundert E-Mails versendet, registrieren lässt. Es gibt keine Beschwerden über diese IP-Adresse, und diese Adresse wird in keiner der DNS-basierten Blacklists angezeigt.
Hinweis: Eine Punktzahl von "none" entspricht nicht einer Punktzahl von "0". Eine Punktzahl von 0,0 bedeutet, dass SenderBase ebenso viele positive wie negative Informationen über diesen Absender gesammelt und ihm eine neutrale Reputation zugewiesen hat.
Über die Web-GUI können Sie einer SENDERGROUP auf einfache Weise Absender hinzufügen, die keine Reputation haben:
Gehen Sie zu Mail Policies > HAT Overview und wählen Sie eine SENDERGROUP aus. Cisco empfiehlt, dass Sie zu "SUSPECTLIST" > "Edit Settings" (Einstellungen bearbeiten) gehen und das Kontrollkästchen aktivieren, um der Gruppe die mit "none" bewerteten Absender hinzuzufügen.
Hinweis: Cisco empfiehlt nicht, Verbindungen von "none"-Absendern des SBRS abzulehnen oder zu verwerfen. Wenn ein Problem auftritt, das eine Verbindung zu der hochredundanten Farm der SBRS-Server verhindert, verwirft Ihre Cisco E-Mail Security Appliance (ESA) alle eingehenden E-Mails. In den meisten Fällen sollten Sie stattdessen eine ACCEPT- oder THROTTLE-Mail Flow-Richtlinie verwenden.
Diese Absendergruppen können absenderabhängig geändert werden, wenn Sie die IP-Adresse des Absenders einer Absendergruppe in der Host Access Table (HAT) hinzufügen. Wenn Sie die SenderBase-Reputationsbewertung "none" in einem Nachrichtenfilter zuordnen möchten, können Sie Folgendes nicht eingeben:
"if (reputation == "(?i)none""
Dies liegt daran, dass die Reputation ein numerischer Wert ist und nicht mit einer Zeichenfolge verglichen werden kann. Ein einfacher negativer Filter entspricht jedoch den Ergebnissen "Keine":
sbrs_none:
if not (reputation <= 10)
{
insert-header('X-SBRS-none', '$reputation');
}
Hinweis: Das Verhalten der SBRS-Bewertungsvergleiche ist dasselbe, wenn die SBRS-Bewertungen auf einem Listener deaktiviert sind oder tatsächlich fehlen: In beiden Fällen fehlen die Daten.
Feedback