Configureer de Afzender Domain Reputation voor ESA

Inleiding

In dit document wordt de configuratie van Sender Domain Reputation (SDR) voor de e-mail security applicatie (ESA) beschreven.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• ESR-begrippen 
• ESR-configuratie

Gebruikte componenten

De informatie in dit document is gebaseerd op AsyncOS voor ESR 12.0 en hoger.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

1. SDR is ontwikkeld als een extra bron om de opsporing van spam te verbeteren.

2. SDR vangt meerdere headerwaarden, uploadt ze naar Talos Threat Intelligence Servers waar extra detail wordt gecombineerd om een oordeel te bepalen voor elk bericht op een gegradueerde schaal gebaseerd op een formule afgeleid door Talos.acron.

3. De in de beschikking opgenomen headerwaarden zijn:

• Omhulling van
• Van
• Antwoord op
• verificatie van dmarc, dkim en spf (indien geconfigureerd)
• Van (name gedeelte) wordt optioneel ingediend vanuit de kopregels 'Van' en 'Antwoord-Naar'
• Afzender IP
• Geef de naam weer in de kopregels 'Van' en 'Antwoord-Naar'

5. SDR-scan wordt uitgevoerd op alle inkomende berichten.

6. SDR-scan vindt plaats vlak na de aanvaarding van een bericht door Simple Mail Transfer Protocol (SMTP).

7. Er kan geen actie worden ondernomen zonder de implementatie van een Berichtenfilter of contentfilter.

8. SDR-actie zou plaatsvinden in een geconfigureerd Berichtenfilter of contentfilter.

9. Geconfigureerde onderdelen zijn onder meer:

• Domain Reputation Service inschakelen
• Domain Exception Lists (optioneel)
  • Domain Exception List (wereldwijd)
  • Domain Exception List (specifiek voor bericht/contentfilter)
• Berichtfilter of contentfilter

Configureren

Domain Reputation Service WebUI inschakelen

SDR kan worden ingeschakeld vanuit de WebUI- of CLI-interfaces.

Webex UI:

1. Ga naar Mail Security Services > Domain Reputation > Inschakelen.

2. Klik op het vak naast Filtering van reputatie van afzender inschakelen.

3. Kies dit vak Extra kenmerken opnemen: (optioneel) als u de optionele headerwaarde wilt toevoegen aan de aangevinkt gegevens voor een betere werkzaamheid. Klik ? om te leren. 

4. Kies dit vak Sender Domain Reputation Query Time-out. Klik ? om te leren.

5. Kies Uitzonderingslijst overeenkomend domein op basis van domein in Envelope From - Enabled.

6. Klik op Indienen > Vastleggen zoals in de afbeelding.

Afzender (domeinreputatie)-service

Domain Reputation" />Beveiligingsservices > Domain Reputation

Domain Exception List

1. De Domain Exception List kan Scanning Sender Domain Reputation Scanning voor inkomende mailflow omzeilen.

2. De Domain Exception List kan op verschillende locaties worden toegepast om de e-mailstroom te beïnvloeden.

3. De algemene toepassing kan van toepassing zijn op alle gescande e-mails.

4. De gedetailleerdere toepassing binnen inhoud/berichtfilters kan alleen van invloed zijn op een geconfigureerd filter(s).

5. De Domain Exception List biedt 2 opties om zowel een eenvoudige als een veiligere optie te bieden.

6. In dit document worden de opties beschreven om SDR te kunnen omzeilen voor een bericht dat gebruikmaakt van de Domain Exception List.

7. Uitleg over vereisten voor domeinuitzonderingslijsten

Een adreslijst maken

1. Navigeren naar mailbeleid > Adreslijst > Adreslijst toevoegen > Naam > Beschrijving > Lijsttype: Alleen domeinen
2. Voeg elke domeinnaam toe met behulp van de komma-gescheiden.
3. Klik op Veranderingen indienen en vastleggen zoals in de afbeelding.

Adreslijst die moet worden toegepast op de Domain Exception List

De adreslijst toepassen op de SDR Global Domain Exception List

1. Ga naar Security Services > Domain Reputation > Domain Exception List > Edit Settings > Domain Exception List (selecteer uw lijst).
2. Klik op Veranderingen indienen en vastleggen zoals in de afbeelding.

Kies een adreslijst in de vervolgkeuzelijst

De adreslijst toepassen op content-/berichtfilters

Inkomende contentfilters:

1. Navigeer naar Condition > URL Reputation > Threat Feeds Option.

2. Voorwaardelijke domeinreputatie.

Domain Exception List staat per beleidsactie toe.

Berichtfilters:

De toepassing Domain Exception List binnen berichtfilters zou als optie in een voorwaarde worden opgenomen. 

1. sdr-reputatie (['vreselijk', 'arm', 'besmet', 'zwak', 'onbekend', 'neutraal', 'goed'], domain_excep_list)
2. sdr-leeftijd ("days", <, 5, domain_clause_list)
3. sdr-unscannable (domain_exceptie_list)

Een uitgebreidere uitleg en voorbeelden van toepassing van het berichtenfilter zijn te vinden in de ESA-gebruikershandleidingen onder de kopjes:

• Domain Reputation Rule voor ETF
• Filterberichten op basis van Sender Domain Reputation die Berichtenfilter gebruikt

Maak een Content Filter om actie te ondernemen tegen het SDR-vonnis

1. SDR is alleen ingeschakeld voor inkomende e-mailstromen.
2. De SDR Condition Name: Domeinnaam.
3. Er kunnen meerdere voorwaarden worden gecreëerd om verschillende resultaten te combineren.
4. De Domain Reputation Condition bevat 2 verschillende controles die meerdere opties voor elk bevatten:

• Domain Reputation van afzender
  • Besluit reputatie afzender domein
  • Sender Domain Age
  • Domain Reputation van afzender niet scanbaar
• Externe bedreigingsinvoer
  • Maakt het gebruik van de Threat Feeds gedownloade inhoudslijsten mogelijk om te scannen tegen dezelfde domeinheaders verzameld voor SDR.

Opmerking: deze opties binnen de Domain Reputation Condition kunnen visueel wijzigen op basis van de verschillende opties voor elke selectie.

5. De laatste optie binnen de Domain Reputation Condition is de Domain Exception List.

6. De functie Domain Exception List die aan een adreslijst is gekoppeld, voegt meer controle toe aan de toepassing van de actie door de lijst toe te passen op het meer gedetailleerde Mail Policy Level van de berichtverwerking.

7. Navigeer naar mailbeleid > Inkomende contentfilters > Filter toevoegen > Voorwaarde toevoegen > Domain Reputation.

8. Voorwaarde 1: Verdict inzake de reputatie van het afzenderdomein.

• Vreselijk, arm, gekleurd, zwak, onbekend, neutraal, goed
• Bevat glijdende driehoekige markeringen om het bereik te kiezen dat u wilt aanpassen.
• De Awful en Poor zijn de aanbevolen waarden om actie te ondernemen.
• De berichten die Awful en Poor aanpassen kunnen een extra Categorie, waarde zoals Spam of Kwaadaardige viewable binnen het Volgen van het Bericht hebben.
  
  

SDR Verdict instelbare bereik schuifbalk.Volledige weergave van de SDR-verdict-schuifbalk.

9. Voorwaarde 2: Sender Domain Age.

• De leeftijd van het domein kan worden geassocieerd met meer risico of langdurige betrouwbaarheid.
• De mogelijkheid van een domein met een leeftijd van minder dan 10 dagen kan riskanter zijn.

Sender Domain Age. Lagere waarden duiden op meer risico.

10. Voorwaarde 3: De reputatie van het afzenderdomein is niet te scannen.

• Geef beheerders een optie om actie te ondernemen als er geen uitspraak kan worden verkregen.

SDR niet te scannen

11. Toestand 4: Externe gevareninvoer

• De headers die inbegrepen zijn in SDR Scanning kunnen ook gescand worden met op maat gedownloade STIX/TAXII content.
• De Externe Threat Feeds wordt hier meer in detail besproken Externe Threat Feeds
  
  

Externe Threat Feeds kan gebruikt worden om dezelfde headers te scannen die gebruikt worden voor SDR.

E-mail security applicatie Gebruikershandleidingen

12. Voorwaarde 5: Gebruik de Domain Exception List.

• Het gebruik van de Domain Exception List in het Content Filter voegt meer controle toe dan de Global List.

Domain Exception List staat per beleidsactie toe.

13. De actie in combinatie met deze voorwaarden kan variëren van minimaal tot extreem en hangt af van de gewenste resultaten van de beheerder.

14. Enkele van de meer populaire acties worden vermeld:

• Quarantaine/kopie naar quarantaine
• Afwijzing
• Voeg disclaimer of waarschuwing toe aan het onderwerp of de inhoud van het bericht.
• Maak een logboekingang om een specifiek woord, een specifieke uitdrukking, of een waarde aan de bericht het volgen logboeken te produceren.

SDR configureren met behulp van Berichtfilters

1. De ESA Gebruikershandleidingen zijn een uitstekende bron voor de syntaxis, definities en voorbeelden van het berichtenfilter.
2. Zoek naar deze rubriek in de Gebruikersgids voor extra inhoud voor Berichtfilters naast de hier verstrekte informatie.

• Filterberichten op basis van afzenderdomeinreputatie met berichtfilter

3. Deze voorwaarden zijn verbonden aan het SDR-berichtenfilter:

• als sdr-reputatie (['vreselijk', 'slecht'] >> alle waarden hiervoor zijn: vreselijk, arm, gepijnigd, zwak, onbekend, neutraal, goed
• als sdr-reputation (['awful', 'poor'], "<domain_excep_list>") >> Dit omvat het gebruik van een Domain Exception List
• als sdr-age (<"unit">, <"operator"> <"effective value">>>> De gebruikershandleiding voor de definitie van "operator" raadplegen.
  
  • als (sdr-leeftijd ("onbekend", "") >> eenheid = onbekend. De resterende waarden worden vervangen door de ""
  • Voorbeeld: indien (sdr-leeftijd ("maanden", <, 1, ""). >> eenheid = dagen, maanden, jaren. Exploitant = < (minder dan). Werkelijke waarde = 1
• als sdr-unscannable (<'domain_clause_list'>) >> Zoals gepresenteerd, als het bericht niet-scannbaar is. Deze steekproef omvat ook de voorwaarde van de de uitzonderingslijst van het domein.
• als (sdr-unscannable ("") >> Deze steekproef omvat niet de lijst van de Uitzondering. De waarde wordt vervangen door ("")

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

Zodra de SDR-service is ingeschakeld, beginnen mail_logs en Berichttracering de SDR: logvermeldingen te tonen.

1. mail_logs bevatten de score van de verzamelde SDR-gegevens.
2. De score wordt vroeg in de mailflow bepaald, voorafgaand aan het bepalen van het Mail Beleid.
3. De acties die op het vonnis zijn ondernomen, vinden plaats op het moment van de berichtfilter en de acties van het inhoudfilter.

xxx.com> mail_logs sample including SDR verdict
Tue Dec 3 15:22:44 2019 Info: New SMTP ICID 5539460 interface Data 1 (10.10.10.170) address 55.1.x.y reverse dns host xxx1.xxx.com verified yes
Tue Dec 3 15:22:44 2019 Info: ICID 5539460 ACCEPT SG Production_INBOUND match xxx1.xxx.com SBRS 2.5 country United States
Tue Dec 3 15:22:44 2019 Info: ICID 5539460 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES128-GCM-SHA256
Tue Dec 3 15:22:44 2019 Info: Start MID 3291517 ICID 5539460
Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 From: <customer@xxx.com>
Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 RID 0 To: <owner@xxx.com>
Tue Dec 3 15:22:44 2019 Info: MID 3291517 IncomingRelay(PROD_TO_BETA): Header Received found, IP 172.20.245.245 being used, SBRS -1.9 country United States
Tue Dec 3 15:22:44 2019 Info: MID 3291517 Message-ID '<mail>'
Tue Dec 3 15:22:44 2019 Info: MID 3291517 Subject "You\\'ve Been Nominated for inclusion with Who\\'s Who"
Tue Dec 3 15:22:44 2019 Info: MID 3291517 SDR: Domains for which SDR is requested: reverse DNS host: Not Present, helo: xxx1.xxx.com, env-from: xxx.com, header-from: xxx.com, reply-to: Not Present
Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : owner@xxx.com, owner=xxx.com@xxx.com. Youngest Domain Age: unknown for domain: owner@xxx.com
Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Tracker Header : 5Zrl76622ZDGPsS6cByUUXq7LTXXS3/wonoZb5cGe2AbRQKxXE5Fag5SfJuNyzii3UPRVoCasmgBq9G0UrsLt7i/omQxDae82pU/wJbLOD8akDJ7eq7cLFChOcPm0utOmSv9sFJ4K/K1dL4uNiB13e/pXHjGDAmZrKwo7A13/7HTMCZz8PaMgKl7AFKvwVuZc1oVn5OGQr95d0L5x6/ipHZi6/2oKPxMcovolx580SiJ29lJFv7qLjJ8jOlGZCEQOVBnzRHJ7X8wJrZKhGMiLgy
Tue Dec 3 15:22:46 2019 Info: MID 3291517 ready 10011 bytes from <owner@xxx.com>
Tue Dec 3 15:22:46 2019 Info: MID 3291517 Custom Log Entry: MF_URL_Category_all HIT
Tue Dec 3 15:22:46 2019 Info: MID 3291517 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim verdict using engine: CASE spam positive
Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: CASE spam positive
Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim AV verdict using Sophos CLEAN
Tue Dec 3 15:22:47 2019 Info: MID 3291517 antivirus negative
Tue Dec 3 15:22:47 2019 Info: MID 3291517 AMP file reputation verdict : SKIPPED (no attachment in message)
Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: GRAYMAIL negative
Tue Dec 3 15:22:47 2019 Info: MID 3291517 Custom Log Entry: SDR_Verdict_matched_Awful_Poor
Tue Dec 3 15:22:47 2019 Info: Start MID 3291519 ICID 0

4. Eenvoudige grep commando's om de frequentie van, of het bestaan van, specifieke vonnissen te controleren.

• >> begroet "Afzender reputatie: afschuwelijk" mail_logs
• >> begroet "Afzender reputatie: slecht" mail_logs

5. Verder kunnen de details van het postlogboek met het gebruik van de CLI findevent-opdracht in combinatie met de MID-waarde worden verkregen.

xxx.com> grep "SDR: Domain Reputation.*Poor" mail_logs
Tue Dec 3 11:07:01 2019 Info: MID 3265844 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : xxx.com Youngest Domain Age: 21 days for domain: customer@xxx.net
Tue Dec 3 12:57:28 2019 Info: MID 3277401 SDR: Consolidated Sender Reputation: Poor, Threat Category: Spam, Suspected Domain(s) : xxxs.com@xxx.com, Youngest Domain Age: 6 months 29 days for domain: xxxs.com@xxx.com


xxx.com> grep "SDR: Domain Reputation.*Awful" mail_logs
Tue Dec 3 10:24:08 2019 Info: MID 3261075 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : owner@xxxxxx.us Youngest Domain Age: unknown for domain: owner@xxx.ca
Tue Dec 3 15:18:27 2019 Info: MID 3291182 SDR: Consolidated Sender Reputation: Awful, Threat Category: N/A, Suspected Domain(s) : example.com@xxx.info, xxx@.info. Youngest Domain Age: 1 day for domain: example.com@xxx.info

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

1. Geen SDR: logbestanden aanwezig in de mail_logs of Berichttracering:

• SDR-logboeken kunnen altijd aanwezig zijn voor berichten die via een Accepteren Mail Flow Beleid.
• Zorg ervoor dat de service is ingeschakeld zoals in de eerste stappen van deze handleiding wordt getoond.

2. Uitgestelde SDR:

• Controleer of de Cisco-cloudserver voor SDR open en beschikbaar is voor gebruik.
• v2.sds.cisco.com
• Een zeer algemene test kan met het gebruik van telnet van CLI worden uitgevoerd.
• Als de banner verschijnt, kan het de basisbereikbaarheid bevestigen.
  • CLI > Telnet v2.sds.cisco.com 443 (hiermee kan alleen een punt in de tijd worden geverifieerd).
• Controleer logboeken van andere diensten om te bepalen of er mogelijke communicatiestoringen zijn bij internetgebaseerde diensten.
• CLI > geeft waarschuwingen weer om te controleren op aanvullende signalen van communicatiestoringen.
• Vóór 13.5 AsyncOS gebruiken SDR- en URL-filtering beide v2.sds.cisco.com.
  • Een controle van de URL Filtering CLI-opdracht > websecurity diagnostiek kan enige validatie bieden als het netwerkpad latentie bevat.
• Controleer de tijdelijke instelling voor reputatie van afzender domein en controleer of de waarde met 1-10 seconden kan worden verhoogd. Ga naar Security Services > Domain Reputation > Bewerken > Sender Domain Reputation Query-time-out:2
• De standaardinstelling is 2 seconden en een maximale instelling van 10 seconden.

Gerelateerde informatie

• ESA-gebruikershandleidingen
• Releaseopmerkingen van ESA
• Naslaghandleidingen van de ESA CLI
• Technische ondersteuning en documentatie – Cisco Systems