Absenderdomänenreputation für ESA konfigurieren

Aktualisiert:1. Juni 2023
Dokument-ID:216192

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die SDR-Konfiguration (Sender Domain Reputation) für die E-Mail Security Appliance (ESA) beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • ESA-Konzepte 
    • ESA-Konfiguration

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf AsyncOS für ESA 12.0 und höher.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    1. SDR wurde als zusätzliche Ressource entwickelt, um die Spam-Erkennung zu verbessern.

    2. SDR erfasst mehrere Header-Werte und lädt sie auf Talos Threat Intelligence Server hoch, wo zusätzliche Details kombiniert werden, um ein Urteil für jede Nachricht auf einer graduierten Skala basierend auf einer von Talos.acron abgeleiteten Formel zu bestimmen.

    3. Die in der Entscheidung enthaltenen Header-Werte sind:

    • Umschlag von
    • Von
    • Antwort an
    • Überprüfung von dmarc, dkim und spf (falls konfiguriert)
    • Von (Namensteil) wird optional aus den Headern "Von" und "Antworten an" übermittelt.
    • Absender-IP
    • Anzeigename in den Headern "Von" und "Antworten an"

    5. Die SDR-Suche wird für alle eingehenden Nachrichten durchgeführt.

    6. Der SDR-Scan erfolgt unmittelbar nach der Annahme einer Nachricht durch das Simple Mail Transfer Protocol (SMTP).

    7. Ohne die Implementierung eines Nachrichten- oder Content-Filters kann keine Aktion ausgeführt werden.

    8. Die SDR-Aktion wird in einem konfigurierten Nachrichtenfilter oder Content-Filter ausgeführt.

    9. Zu den konfigurierten Komponenten gehören:

    • Domänenreputations-Dienst aktivieren
    • Domänenausnahmelisten (optional)
      • Domänenausnahmeliste (global)
      • Domänenausnahmeliste (spezifisch für Nachricht/Content-Filter)
    • Nachrichtenfilter oder Content-Filter

    Konfigurieren

    Domänenreputationsdienst-WebUI aktivieren

    SDR kann entweder über die WebUI oder die CLI-Schnittstellen aktiviert werden.

    WebUI:

    1. Navigieren Sie zu Mail Security Services > Domain Reputation > Enable.

    2. Klicken Sie auf das Feld neben Sender Domain Reputation Filtering aktivieren.

    3. Aktivieren Sie dieses Kontrollkästchen Zusätzliche Attribute einbeziehen: (Optional), wenn Sie den optionalen Header-Wert in die überprüften Daten einbeziehen möchten, um die Effizienz zu verbessern. Klicken Sie ?, um mehr zu erfahren. 

    4. Aktivieren Sie dieses Kontrollkästchen Timeout für Absenderdomänenreputationsabfrage. Klicken Sie ?, um mehr zu erfahren.

    5. Wählen Sie Domänenausnahmeliste basierend auf Domäne in Umschlag von - Aktiviert zuordnen.

    6. Klicken Sie auf Senden > Übernehmen, wie in der Abbildung dargestellt.

    Sender (Domain Reputation) ServiceAbsender-Dienst (Domänenreputation)

    Security Services - Domain Reputation Domain Reputation" />Sicherheitsdienste > Domain Reputation

    Domänenausnahmeliste

    1. Die Domänenausnahmeliste kann die Absender-Domänenreputations-Suche für den eingehenden E-Mail-Fluss umgehen.

    2. Die Domänenausnahmeliste kann an verschiedenen Standorten angewendet werden, um den E-Mail-Verkehr zu beeinflussen.

    3. Die Anwendung Global kann auf alle gescannten E-Mails angewendet werden.

    4. Die detailliertere Anwendung in Content-/Nachrichtenfiltern kann sich nur auf einen oder mehrere konfigurierte Filter auswirken.

    5. Die Domänenausnahmeliste bietet zwei Optionen, um sowohl eine einfache als auch eine sicherere Option bereitzustellen.

    6. In diesem Dokument werden die Optionen beschrieben, mit denen SDR für eine Nachricht, die die Domänenausnahmeliste verwendet, erfolgreich umgangen werden kann.

    7. Anforderungen an Domänenausnahmelisten

    Erstellen einer Adressliste

    1. Navigieren Sie zu Mail-Policys > Adressliste > Adressliste hinzufügen > Name > Beschreibung > Listentyp: Nur Domänen
    2. Fügen Sie jeden Domänennamen mit der Verwendung des Kommas getrennt hinzu.
    3. Klicken Sie auf Senden und Änderungen bestätigen, wie im Bild dargestellt.

    Address List to be Applied to the Domain Exception ListAdressliste, die auf die Domänenausnahmeliste angewendet werden soll

    Adressliste auf die globale SDR-Domänenausnahmeliste anwenden

    1. Navigieren Sie zu Security Services > Domain Reputation > Domain Exception List > Edit Settings > Domain Exception List (wählen Sie Ihre Liste aus).
    2. Klicken Sie auf Senden und Änderungen bestätigen, wie im Bild dargestellt.

    Choose an Address List from the DropdownWählen Sie aus dem Dropdown-Menü eine Adressliste aus.

    Adressliste auf Content-/Nachrichtenfilter anwenden

    Filter für eingehende Inhalte:

    1. Navigieren Sie zu Bedingung > URL-Reputation > Option für Bedrohungs-Feeds.

    2. Reputation der Bedingungsdomäne

    Domain Exception List Allows per Policy ActionDie Domänenausnahmeliste lässt Aktionen pro Richtlinie zu.

    Nachrichtenfilter:

    Die Domänenausnahmelistenanwendung in Nachrichtenfiltern wäre als Option in einer Bedingung enthalten. 

    note-icon

    Hinweis: Diese Beispiele enthalten die domain_exception_list als Teil der gesamten Bedingung.

    1. sdr-reputation (['furchtbar', 'arm', 'befleckt', 'schwach', 'unbekannt', 'neutral', 'gut'], domain_exception_list)
    2. sdr-age ("days", <, 5, domain_exception_list)
    3. sdr-unscannable (domain_exception_list)

    Eine ausführlichere Erläuterung und Beispiele der Anwendung für Nachrichtenfilter finden Sie in den ESA-Benutzerhandbüchern unter den Überschriften:

    • Domänenreputations-Regel für ETF
    • Filtern von Nachrichten auf Basis der Absenderdomänenreputation, die den Nachrichtenfilter verwendet

    Erstellen eines Content-Filters zum Ausführen von Maßnahmen für das SDR-Verdict

    1. SDR ist nur für den eingehenden Mail-Fluss aktiviert.
    2. Name der SDR-Bedingung: Domain Reputation
    3. Sie können mehrere Bedingungen erstellen, um verschiedene Ergebnisse zu kombinieren.
    4. Die Domänenreputationsbedingung enthält 2 verschiedene Prüfungen, die jeweils mehrere Optionen enthalten:
    • Absenderdomänenreputation
      • Reputations-Verdict der Absenderdomäne
      • Alter der Absenderdomäne
      • Absenderdomänenreputation nicht durchsuchbar
    • Feeds zu externen Bedrohungen
      • Ermöglicht die Verwendung der heruntergeladenen Inhaltslisten der Bedrohungs-Feeds, um nach denselben Domänen-Headern zu suchen, die für SDR gesammelt wurden.

    Hinweis: Diese Optionen in der Domänenreputationsbedingung können sich visuell ändern, je nachdem, welche Optionen für die jeweilige Auswahl verfügbar sind.

    5. Die letzte Option in der Domänenreputationsbedingung ist die Domänenausnahmeliste.

    6. Die Funktion Domain Exception List (Domänenausnahmeliste), die einer Adressliste zugeordnet ist, erweitert die Kontrolle über die Anwendung der Aktion, indem die Liste auf die detailliertere Mail Policy Level der Nachrichtenverarbeitung angewendet wird.

    7. Navigieren Sie zu Mail Policy > Incoming Content Filters > Add Filter > Add Condition > Domain Reputation.

    8. Bedingung 1: Absender-Domänenreputations-Verdict.

    • Scheußlich, arm, gehackt, schwach, unbekannt, neutral, gut
    • Enthält gleitende dreieckige Markierungen, um den Bereich auszuwählen, den Sie anpassen möchten.
    • Die Werte Schrecklich und Schlecht sind die empfohlenen Werte, um Maßnahmen zu ergreifen.
    • Die Nachrichten, die mit "Schrecklich" und "Schlecht" übereinstimmen, können eine zusätzliche Kategorie, einen zusätzlichen Wert, wie z. B. Spam oder Malicious, aufweisen, die in der Nachrichtenverfolgung angezeigt werden kann.

    SDR Verdict Adjustable Range Slide BarSDR-Verdict-Schieberegler mit einstellbarem Bereich.Full View of the SDR Verdict Slide BarVollständige Ansicht der SDR-Verdict-Folienleiste.

    9. Zustand 2: Alter der Absenderdomäne.

    • Das Alter der Domäne kann mit einem höheren Risiko oder einer seit langem bestehenden Zuverlässigkeit in Verbindung gebracht werden.
    • Die Möglichkeit einer Domain mit einem Alter von weniger als 10 Tagen kann riskanter sein.

    Sender Domain AgeAbsenderdomänenalter. Niedrigere Werte bedeuten mehr Risiko.

    10. Bedingung 3: Absender-Domänenreputation kann nicht gescannt werden.

    • Bieten Sie Administratoren die Möglichkeit, Maßnahmen zu ergreifen, wenn kein Urteil eingeholt werden kann.

    SDR UnscannableSZR nicht scanbar

    11. Zustand 4: Externe Bedrohungs-Feeds

    • Die in SDR-Scanning enthaltenen Header können auch mit individuell heruntergeladenen STIX/TAXII-Inhalten gescannt werden.
    • Die Feeds zu externen Bedrohungen werden hier detaillierter behandelt: Feeds zu externen Bedrohungen

    External Threat FeedsExterne Bedrohungs-Feeds können verwendet werden, um dieselben Header zu durchsuchen, die auch für SDR verwendet werden.

    Email Security Appliance - Benutzerhandbücher

    12. Bedingung 5: Ausnahmeliste der Domäne verwenden.

    • Die Verwendung der Domänenausnahmeliste innerhalb des Inhaltsfilters bietet mehr Kontrolle als die globale Liste.

    Domain Exception List Allows per Policy ActionDie Domänenausnahmeliste lässt Aktionen pro Richtlinie zu.

    13. Die Aktion in Verbindung mit diesen Bedingungen kann von minimal bis extrem reichen und es hängt von den gewünschten Ergebnissen des Administrators.

    14. Einige der beliebtesten Aktionen sind aufgeführt:

    • Quarantäne/In Quarantäne kopieren
    • Verwerfen
    • Fügen Sie dem Betreff oder Text der Nachricht einen Haftungsausschluss oder eine Warnung hinzu.
    • Erstellen Sie einen Protokolleintrag, um ein bestimmtes Wort, einen bestimmten Satz oder einen bestimmten Wert für die Nachrichtenverfolgungsprotokolle zu generieren.

    Konfigurieren von SDR mithilfe von Nachrichtenfiltern

    1. Die ESA-Benutzerhandbücher eignen sich hervorragend für Syntax, Definitionen und Beispiele von Nachrichtenfiltern.
    2. Suchen Sie im Benutzerhandbuch nach dieser Überschrift, um weitere Inhalte für Nachrichtenfilter zu erhalten, die über die hier bereitgestellten Informationen hinausgehen.
    • Filtern von Nachrichten basierend auf der Reputation der Absenderdomäne mit Nachrichtenfilter

    3. Diese Bedingungen sind mit dem SDR-Nachrichtenfilter verknüpft:

    • if sdr-reputation (['awful', 'poor'] >>> all values for this include: Awful, Poor, Tainted, Weak, Unknown, Neutral, Good
    • if sdr-reputation (['awful', 'poor'], "<domain_exception_list>") >>> Dies beinhaltet die Verwendung einer Domänenausnahmeliste
    • if sdr-age (<"unit">, <"operator"> <"actual value">) >> Verweisen Sie auf das Benutzerhandbuch für die Definition des "operators".
      • if (sdr-age ("unknown", "") >> unit = unknown. Die übrigen Werte werden durch "" ersetzt.
      • Beispiel: if (sdr-age ("months", <, 1, ""). >>> unit = Tage, Monate, Jahre. Operator = < (kleiner als). Istwert = 1
    • if sdr-unscannable (<'domain_exception_list'>) >> Wie dargestellt, wenn die Meldung zu unscannable führt. In diesem Beispiel wird auch die Bedingung der Domänenausnahmeliste berücksichtigt.
    • if (sdr-unscannable ("") >>> In diesem Beispiel ist die Ausnahmeliste nicht enthalten. Der Wert wird ersetzt durch ("")

    Überprüfung

    Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Sobald der SDR-Dienst aktiviert wurde, zeigen mail_logs und die Nachrichtenverfolgung die SDR:-Protokolleinträge an.

    1. mail_logs enthält die Bewertung der gesammelten SDR-Daten.
    2. Die Bewertung wird früh im E-Mail-Fluss bestimmt, bevor die E-Mail-Richtlinie bestimmt wird.
    3. Die für das Urteil getroffenen Maßnahmen werden zum Zeitpunkt des Nachrichtenfilters und der Inhaltsfilteraktionen ausgeführt.
    xxx.com> mail_logs sample including SDR verdict
    Tue Dec 3 15:22:44 2019 Info: New SMTP ICID 5539460 interface Data 1 (10.10.10.170) address 55.1.x.y reverse dns host xxx1.xxx.com verified yes
    Tue Dec 3 15:22:44 2019 Info: ICID 5539460 ACCEPT SG Production_INBOUND match xxx1.xxx.com SBRS 2.5 country United States
    Tue Dec 3 15:22:44 2019 Info: ICID 5539460 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES128-GCM-SHA256
    Tue Dec 3 15:22:44 2019 Info: Start MID 3291517 ICID 5539460
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 From: <customer@xxx.com>
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 RID 0 To: <owner@xxx.com>
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 IncomingRelay(PROD_TO_BETA): Header Received found, IP 172.20.245.245 being used, SBRS -1.9 country United States
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 Message-ID '<mail>'
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 Subject "You\\'ve Been Nominated for inclusion with Who\\'s Who"
    Tue Dec 3 15:22:44 2019 Info: MID 3291517 SDR: Domains for which SDR is requested: reverse DNS host: Not Present, helo: xxx1.xxx.com, env-from: xxx.com, header-from: xxx.com, reply-to: Not Present
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : owner@xxx.com, owner=xxx.com@xxx.com. Youngest Domain Age: unknown for domain: owner@xxx.com
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Tracker Header : 5Zrl76622ZDGPsS6cByUUXq7LTXXS3/wonoZb5cGe2AbRQKxXE5Fag5SfJuNyzii3UPRVoCasmgBq9G0UrsLt7i/omQxDae82pU/wJbLOD8akDJ7eq7cLFChOcPm0utOmSv9sFJ4K/K1dL4uNiB13e/pXHjGDAmZrKwo7A13/7HTMCZz8PaMgKl7AFKvwVuZc1oVn5OGQr95d0L5x6/ipHZi6/2oKPxMcovolx580SiJ29lJFv7qLjJ8jOlGZCEQOVBnzRHJ7X8wJrZKhGMiLgy
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 ready 10011 bytes from <owner@xxx.com>
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 Custom Log Entry: MF_URL_Category_all HIT
    Tue Dec 3 15:22:46 2019 Info: MID 3291517 matched all recipients for per-recipient policy DEFAULT in the inbound table
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim verdict using engine: CASE spam positive
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: CASE spam positive
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim AV verdict using Sophos CLEAN
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 antivirus negative
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 AMP file reputation verdict : SKIPPED (no attachment in message)
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: GRAYMAIL negative
    Tue Dec 3 15:22:47 2019 Info: MID 3291517 Custom Log Entry: SDR_Verdict_matched_Awful_Poor
    Tue Dec 3 15:22:47 2019 Info: Start MID 3291519 ICID 0

    4. Einfache grep-Befehle, um die Häufigkeit oder das Vorhandensein bestimmter Urteile zu überprüfen.

    • >> grep "Absender Reputation: Awful" mail_logs
    • >> grep "Absenderreputation: Schlecht" mail_logs

    5. Außerdem können mithilfe des CLI-Befehls findevent in Verbindung mit dem MID-Wert E-Mail-Protokolldetails abgerufen werden.

    xxx.com> grep "SDR: Domain Reputation.*Poor" mail_logs
    Tue Dec 3 11:07:01 2019 Info: MID 3265844 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : xxx.com Youngest Domain Age: 21 days for domain: customer@xxx.net
    Tue Dec 3 12:57:28 2019 Info: MID 3277401 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : xxxs.com@xxx.com, Youngest Domain Age: 6 months 29 days for domain: xxxs.com@xxx.com


    xxx.com> grep "SDR: Domain Reputation.*Awful" mail_logs
    Tue Dec 3 10:24:08 2019 Info: MID 3261075 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : owner@xxxxxx.us Youngest Domain Age: unknown for domain: owner@xxx.ca
    Tue Dec 3 15:18:27 2019 Info: MID 3291182 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : example.com@xxx.info, xxx@.info. Youngest Domain Age: 1 day for domain: example.com@xxx.info

    Fehlerbehebung

    In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

    1. Kein SDR: Protokolle in mail_logs oder Message Tracking vorhanden:
    • SDR-Protokolle können immer für Nachrichten vorhanden sein, die eine ACCEPT Mail Flow Policy durchlaufen.
    • Stellen Sie sicher, dass der Service wie in den ersten Schritten dieses Leitfadens beschrieben aktiviert wurde.

    2. SDR-Zeitüberschreitung:

    • Stellen Sie sicher, dass der Cisco Cloud-Server für SDR offen und verfügbar ist.
    • v2.sds.cisco.com
    • Ein sehr allgemeiner Test kann mithilfe des Telnet aus der CLI durchgeführt werden.
    • Wenn ein Banner angezeigt wird, kann die grundlegende Verfügbarkeit bestätigt werden.
      • CLI > telnet v2.sds.cisco.com 443 (dies kann nur einen bestimmten Zeitpunkt überprüfen.)
    • Überprüfen Sie die Protokolle anderer Dienste, um festzustellen, ob bei der Kommunikation mit internetbasierten Diensten Fehler auftreten können.
    • CLI > zeigt Warnmeldungen an, um nach weiteren Anzeichen für Kommunikationsfehler zu suchen.
    • Vor 13.5 AsyncOS verwenden SDR und URL-Filterung beide v2.sds.cisco.com.
      • Eine Überprüfung des CLI-Befehls für die URL-Filterung > websecuritydiagnostics kann eine Validierung ermöglichen, wenn der Netzwerkpfad Latenz enthält.
    • Überprüfen Sie die Einstellung für das Reputations-Timeout der Absenderdomäne, und stellen Sie fest, ob der Wert um 1-10 Sekunden erhöht werden kann. Navigieren Sie zu Security Services > Domain Reputation > Edit > Sender Domain Reputation Query Timeout:2.
    • Der Standardwert ist 2 Sekunden und die maximale Einstellung ist 10 Sekunden.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    3.0
    01-Jun-2023
    PII entfernt. Aktualisiert SEO, Alt Text, maschinelle Übersetzung, Stilanforderungen, Gerunds und Formatierung.
    2.0
    21-Oct-2021
    Korrigierte Beispiele - enthielten Live-Kundendaten.
    1.0
    04-Nov-2020
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Chris Arellano
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.