Introduction
Ce document décrit comment comprendre et détecter le score de réputation SenderBase (SBRS).
Que signifie la valeur SBRS « none » (aucune) et comment pouvez-vous détecter ces scores ?
SBRS est attribué à une adresse IP en fonction de plus de 50 facteurs différents, tels que le volume d'e-mails, les plaintes des utilisateurs et les tentatives de détection de spamtrap. Le SBRS peut être compris entre -10 et +10 et reflète la probabilité que le courrier provenant d'une adresse IP d'envoi soit du spam. Les scores très négatifs indiquent que les expéditeurs sont très susceptibles d'envoyer du spam ; les scores très positifs indiquent que les expéditeurs sont peu susceptibles d'envoyer du spam.
Cependant, certaines adresses IP ont un score SenderBase de « none ». Si l'ESA n'est pas en mesure de contacter les serveurs SBRS, l'adresse IP de connexion reçoit la note « aucun ». Les données SBRS arrivent très rapidement et l'appliance ne met pas en cache les scores SBRS au-delà d'environ 30 minutes. En cas de problème de connexion intermittent aux serveurs SBRS, il est possible qu'une adresse IP précédemment « notée » apparaisse comme une note « aucune ».
Sinon, le score SenderBase est basé sur les données objectives collectées par SenderBase à propos d'une adresse IP. Il est possible qu'il n'y ait pas suffisamment d'historique et d'informations pour qu'une adresse IP donnée lui attribue une réputation précise. Cela signifie que le volume de messages provenant de l'adresse IP au cours des 30 derniers jours est très faible, ou qu'aucun message n'a été vu au cours de cette période. SenderBase a déterminé que ce volume d'adresses IP était faible, ce qui est calculé à partir d'un échantillon du trafic de messagerie mondial total. Si le volume est faible pour un serveur/domaine donné, il peut ne pas apparaître dans les échantillons collectés par SenderBase. Le volume peut ne pas être assez élevé pour être statistiquement significatif. Il n'existe pas de seuil précis pour le moment où le trafic est assez élevé pour commencer à accumuler un score, mais le trafic de messagerie actuel est estimé à environ dix milliards de messages par jour. Les principaux hôtes émetteurs d’un jour donné peuvent envoyer près de dix millions de messages par jour. Dans ce contexte, un serveur qui envoie quelques centaines d'e-mails par jour n'est pas susceptible de s'enregistrer. Il n'y a aucune plainte à propos de cette adresse IP et cette adresse n'apparaît sur aucune des listes noires basées sur DNS.
Remarque : un score de « aucun » n'équivaut pas à un score de « 0 ». Un score de 0,0 signifie que SenderBase a collecté autant d'informations positives que négatives sur cet expéditeur et lui a attribué une réputation neutre
Il est facile d'ajouter des expéditeurs de réputation « aucun » à un SENDERGROUP via l'interface utilisateur graphique Web :
Accédez à Politiques de messagerie > Vue d'ensemble de HAT et choisissez un SENDERGROUP. Cisco recommande que vous alliez à "SUSPECTLIST" > Modifier les paramètres et cochez la case pour ajouter les expéditeurs notés "aucun" au groupe.
Remarque : Cisco ne recommande pas de rejeter ou de supprimer les connexions des expéditeurs SBRS « aucun ». En cas de problème empêchant une connexion à la batterie de serveurs SBRS hautement redondants, votre appliance de sécurité de la messagerie Cisco (ESA) abandonnerait tous vos messages entrants. Dans la plupart des cas, vous devez utiliser une politique de flux de messagerie ACCEPT ou THROTTLE à la place
Ces groupes d'expéditeurs peuvent être modifiés par expéditeur si vous ajoutez l'adresse IP de l'expéditeur à un groupe d'expéditeurs dans la table d'accès aux hôtes (HAT). Si vous voulez faire correspondre un score de réputation SenderBase de « aucun » dans un filtre de message, vous ne pouvez pas entrer :
"if (reputation == "(?i)none""
En effet, la réputation est une valeur numérique qui ne peut pas être comparée à une chaîne. Cependant, un simple filtre négatif correspondra aux scores « aucun » :
sbrs_none:
if not (reputation <= 10)
{
insert-header('X-SBRS-none', '$reputation');
}
Remarque : le comportement des comparaisons de scores SBRS est identique si les scores SBRS sont désactivés sur un processus d'écoute ou s'ils sont réellement manquants : dans les deux cas, les données sont manquantes.
Commentaires