소개
이 문서에서는 SBRS(SenderBase Reputation Score)를 이해하고 탐지하는 방법에 대해 설명합니다.
"none"의 SBRS 값은 무엇을 의미하며, 이러한 점수를 탐지하려면 어떻게 해야 합니까?
SBRS는 이메일 볼륨, 사용자 불만, 스팸 트랩 적중과 같은 50개 이상의 서로 다른 요소를 기반으로 IP 주소에 할당됩니다. SBRS의 범위는 -10에서 +10까지이며 전송 IP 주소의 메일이 스팸일 가능성을 반영합니다. 음수 점수가 높으면 스팸을 전송할 가능성이 높은 발신자를 나타내고, 양수 점수가 높으면 스팸을 전송할 가능성이 낮은 발신자를 나타냅니다.
그러나 일부 IP 주소의 SenderBase 점수는 "none"입니다. ESA가 SBRS 서버에 연결할 수 없는 경우 연결 IP 주소는 "none" 점수를 받습니다. SBRS 데이터는 매우 적시이며 어플라이언스는 약 30분 이상 SBRS 점수를 캐시하지 않습니다. SBRS 서버에 간헐적인 연결 문제가 있는 경우 이전에 "점수화된" IP 주소가 "없음" 점수로 나타날 수 있습니다.
그렇지 않으면 SenderBase 점수는 SenderBase가 IP 주소에 대해 수집하는 객관적인 데이터를 기반으로 합니다. 정확한 평판을 할당하기 위해 지정된 IP 주소에 대한 기록 및 정보가 충분하지 않을 수 있습니다. 이는 최근 30일 동안 IP 주소에서 오는 메일의 양이 매우 적거나 해당 기간에 메일이 표시되지 않았음을 의미합니다. SenderBase는 이 IP 주소의 볼륨이 작음을 확인했으며, 이는 전 세계 총 이메일 트래픽의 샘플로 계산됩니다. 지정된 서버/도메인에 대한 볼륨이 낮은 경우 SenderBase에서 수집한 샘플에 볼륨이 나타나지 않을 수 있습니다. 부피의 수준은 통계적으로 유의할 만큼 높지 않을 수 있다. 트래픽이 높은 경우 점수를 누적하기 시작할 수 있을 만큼 정확한 임계값은 없지만, 현재 이메일 트래픽은 하루에 약 100억 개의 메시지로 추정됩니다. 지정된 날짜에 상위 전송 호스트가 매일 1천만 개에 가까운 메시지를 전송할 수 있습니다. 이러한 상황에서 하루에 수백 통의 이메일을 보내는 서버는 등록하지 않을 가능성이 높습니다. 이 IP 주소에 대한 불만 사항이 없으며 이 주소는 DNS 기반 블랙리스트에 나타나지 않습니다.
참고: "none"의 점수는 "0"의 점수와 같지 않습니다. 점수가 0.0이면 SenderBase에서 이 발신자에 대해 양의 정보와 음의 정보를 동등하게 수집했으며, 중립적인 평판을 할당했음을 의미합니다
웹 GUI를 통해 "none" 평판 발신자를 SENDERGROUP에 쉽게 추가할 수 있습니다.
Mail Policies(메일 정책) > HAT Overview(HAT 개요)로 이동하여 SENDERGROUP(발신자 그룹)을 선택합니다. "SUSPECTLIST" > Edit Settings(설정 수정)로 이동하여 "none(없음)" 점수를 받은 발신자를 그룹에 추가하는 것이 좋습니다.
참고: Cisco는 SBRS "none" 발신자의 연결을 거부하거나 삭제하는 것을 권장하지 않습니다. 고도로 이중화된 SBRS 서버 팜에 연결할 수 없는 문제가 발생하면 Cisco ESA(Email Security Appliance)에서 모든 인바운드 메일을 삭제합니다. 대부분의 경우 대신 ACCEPT 또는 THROTTLE 메일 흐름 정책을 사용해야 합니다
발신자의 IP 주소를 HAT(Host Access Table)의 발신자 그룹에 추가할 경우 이러한 발신자 그룹은 발신자별로 변경될 수 있습니다. 메시지 필터에서 SenderBase Reputation Score를 "none"과 일치시키려면 다음을 입력할 수 없습니다.
"if (reputation == "(?i)none""
평판은 숫자 값이므로 문자열과 비교할 수 없기 때문입니다. 그러나 간단한 음수 필터는 "none" 점수와 일치합니다.
sbrs_none:
if not (reputation <= 10)
{
insert-header('X-SBRS-none', '$reputation');
}
주: SBRS 점수 비교의 동작은 리스너에서 SBRS 점수가 비활성화되거나 실제로 누락된 경우 동일합니다. 두 경우 모두 데이터가 누락됩니다.