Embed Size (px)
Citation preview
Configuración de la Reputación de Dominio deRemitente para ESA Contenido
IntroducciónprerrequisitosRequisitosComponentes UtilizadosAntecedentesConfigurarHabilitar WebUI del servicio de reputación de dominioLista de excepciones de dominioCrear una lista de direccionesAplicar la lista de direcciones a la lista de excepciones de dominio global de SDRAplicar la lista de direcciones a los filtros de contenido/mensajesCrear un filtro de contenido para tomar medidas sobre el veredicto de SDRConfiguración de SDR mediante el uso de filtros de mensajesVerificaciónTroubleshootInformación Relacionada
Introducción
Este documento describe la configuración de Reputación de dominio de remitente (SDR) para eldispositivo de seguridad de correo electrónico (ESA).
prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
conceptos ESA ●
configuración ESA●
Componentes Utilizados
La información de este documento se basa en AsyncOS para ESA 12.0 y posteriores.
La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo,asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
1. SDR se ha desarrollado como un recurso adicional para mejorar la detección de spam.
2. SDR captura varios valores de encabezado y los carga en Talos Threat Intelligence Servers,donde se combinan detalles adicionales para determinar un veredicto para cada mensaje en unaescala graduada basada en una fórmula derivada por Talos.acron
3. Los valores de encabezado incluidos en la decisión son:
Sobre de●
Desde●
Responder a●
verificación dmarc, dkim y spf (si está configurado)●
De (parte de nombre) se envía opcionalmente desde los encabezados 'De' y 'Responder a'●
IP del remitente●
Mostrar nombre en los encabezados 'De' y 'Responder a'●
5. El análisis de SDR se realiza en todos los mensajes entrantes.
6. El análisis de SDR se realiza justo después de la aceptación de un mensaje por parte delprotocolo simple de transferencia de correo (SMTP).
7. No se realizará ninguna acción sin la implementación de un filtro de mensajes o de contenido.
8. La acción SDR se llevaría a cabo en un filtro de mensajes o de contenido configurado.
9. Los componentes configurados incluyen:
Habilitar el servicio de reputación de dominio●
Listas de excepciones de dominio (opcional) Lista de excepciones de dominio (global)Lista deexcepciones de dominio (específica de filtro de contenido/mensaje)
●
Filtro de mensajes o filtro de contenido●
Configurar
Habilitar WebUI del servicio de reputación de dominio
SDR se puede habilitar desde las interfaces WebUI o CLI.
Interfaz de usuario web:
1. Vaya a Mail Security Services > Domain Reputation > Enable.
2. Haga clic en el cuadro situado junto a Enable Sender Domain Reputation Filtering.
3. Seleccione esta casilla Incluir atributos adicionales: (opcional) si desea incluir el valor deencabezado opcional en los datos marcados para mejorar la eficacia. ¿Haga clic ? paraaprender.
4.Seleccione este cuadro Tiempo de espera de consulta de reputación de dominio delremitente. ¿Haga clic ? para aprender.
5. Seleccione Match Domain Exception List basado en el dominio en Envelope From - Enabled.
6. Haga clic en Enviar > Registrar como se muestra en la imagen.
Servicio de remitente (reputación de dominio)
Servicios de seguridad > Reputación de dominio
Lista de excepciones de dominio
1. La Lista de Excepciones de Dominio omitirá el Escaneo de Reputación de Dominio delRemitente para el flujo de correo entrante.
2. La Lista de excepciones de dominio se puede aplicar en diferentes ubicaciones para afectar alflujo de correo.
3. La aplicación global se aplicará a todos los correos escaneados.
4. La aplicación más detallada dentro de los filtros de contenido/mensaje afectará solamente auno o varios filtros configurados.
5. La Lista de excepciones de dominio proporciona 2 opciones para proporcionar tanto una opciónsencilla como una más segura.
6. Este documento describe las opciones para omitir correctamente el SDR para un mensaje queutiliza la Lista de Excepciones de Dominio.
7. Explicación de los requisitos de la lista de excepciones de dominio
Crear una lista de direcciones
Vaya a Políticas de correo > Lista de direcciones > Agregar lista de direcciones > Nombre >Descripción > Tipo de lista: Sólo dominios
1.
Agregue cada nombre de dominio con el uso de la coma separada.2.Haga clic en Enviar y Registrar cambios como se muestra en la imagen.3.
Lista dedirecciones que se aplicará a la lista de excepciones de dominio
Aplicar la lista de direcciones a la lista de excepciones de dominio global de SDR
Navegue hasta Servicios de seguridad > Reputación de dominio > Lista de excepciones dedominio > Editar configuración > Lista de excepciones de dominio (seleccione su lista).
1.
Haga clic en Enviar y Registrar cambios como se muestra en la imagen.2.
Elija una lista de direcciones del menú desplegable
Aplicar la lista de direcciones a los filtros de contenido/mensajes
Filtros de contenido entrante:
1. Vaya a Condición > Reputación URL > Opción de fuentes de amenazas.
2. Reputación de dominio de condición.
La Lista de excepciones de dominio permite cada acción depolítica.
Filtros de mensajes:
La aplicación Lista de excepciones de dominio dentro de los filtros de mensajes se incluiría comouna opción dentro de una condición. Tenga en cuenta que estos ejemplos incluyendomain_exception_list como una parte de la condición completa.
sdr-reputación (['horrible', 'pobre', 'manchado', 'débil', 'desconocido', 'neutral', 'bueno'],domain_exception_list)
1.
sdr-age ("días", <, 5, domain_exception_list)2.sdr-unscannable (domain_exception_list)3.
Se puede encontrar una explicación más completa y ejemplos de la aplicación de filtro demensajes con las Guías de usuario de ESA bajo los encabezados:
Regla de reputación de dominio para ETF●
Filtrado de Mensajes Basado en la Reputación de Dominio de Remitente Usando el Filtro deMensaje
●
Crear un filtro de contenido para tomar medidas sobre el veredicto de SDR
SDR sólo está habilitado para Flujo de correo entrante.1.El nombre de la condición de SDR: Reputación de dominio.2.Se pueden crear varias condiciones para combinar resultados diferentes.3.La Condición de reputación de dominio contiene 2 comprobaciones diferentes que contienenvarias opciones para cada una:
4.
Reputación de dominio del remitente Veredicto de reputación de dominio del remitenteEdaddel dominio del remitenteReputación de dominio del remitente no escaneable
●
Fuentes de amenazas externas Permite la utilización de las listas de contenido descargadasde fuentes de amenazas para buscar en los mismos encabezados de dominio recopiladospara SDR.
●
Nota: Estas opciones de la Condición de reputación de dominio cambiarán visualmente enfunción de las diferentes opciones para cada selección.
5. La opción final dentro de la Condición de reputación de dominio es la Lista de excepciones dedominio.
6. La función Lista de excepciones de dominio asociada a una Lista de direcciones agrega máscontrol a la aplicación de la acción aplicando la lista al nivel de política de correo más detalladodel procesamiento de mensajes.
7. Vaya a Mail Policy > Incoming Content Filters > Add Filter > Add Condition > DomainReputation.
8. Condición 1: Veredicto de Reputación de Dominio de Remitente.
Triste, pobre, manchada, débil, desconocida, neutral, buena●
Contiene marcadores triangulares deslizantes para elegir el intervalo que desea que coincida.●
Awful y Poor son los valores recomendados para tomar medidas.●
Los mensajes que coincidan con Awful y Poor tendrán una Categoría adicional, valor comoSpam o Malicious visible en el Rastreo de mensajes.
●
Barra deslizable de rango ajustable de veredicto
SDR. Vistacompleta de la barra de diapositivas de veredicto de SDR.
9. Condición 2: Edad del dominio del remitente.
La antigüedad del dominio puede asociarse con mayor riesgo o confiabilidad establecidadesde hace tiempo.
●
La posibilidad de un dominio con una edad inferior a 10 días puede ser más arriesgada.●
Edad deldominio del remitente. Los valores más bajos sugieren más riesgo.
10. Condición 3: Reputación de dominio de remitente no escaneable.
Proporcione una opción para que los administradores tomen medidas si no se puede obtenerun veredicto.
●
SDR noescaneable
11. Condición 4: Fuentes de amenazas externas
Los encabezados incluidos en el escaneo de SDR también se pueden escanear usandocontenido STIX/TAXII descargado a medida.
●
Las fuentes de amenazas externas se tratan con más detalle aquí Fuentes de amenazasexternas
●
Las fuentesde amenazas externas se pueden utilizar para analizar los mismos encabezados que se utilizanpara SDR.
Guías de usuario de Email Security Appliance
12. Condición 5: Usar lista de excepciones de dominio.
El uso de la Lista de excepciones de dominio dentro del filtro de contenido agrega máscontrol que la Lista global.
●
La Lista deexcepciones de dominio permite cada acción de política.
13. La acción combinada con estas condiciones puede variar de mínimo a extremo y depende delos resultados deseados del administrador.
14. Se enumeran algunas de las acciones más populares:
Cuarentena/Copia en cuarentena●
Desplegar●
Agregue un aviso o una advertencia al asunto o al cuerpo del mensaje.●
Cree una entrada de registro para generar una palabra, frase o valor específicos en losregistros de seguimiento de mensajes.
●
Configuración de SDR mediante el uso de filtros de mensajes
Las Guías de Usuario ESA son una fuente excelente para la sintaxis, las definiciones y losejemplos del filtro de mensajes.
1.
Busque este encabezado en la guía del usuario para obtener contenido adicional para losfiltros de mensajes más allá de la información proporcionada aquí.
2.
Filtrado de Mensajes Basado en la Reputación de Dominio de Remitente Usando el Filtro deMensaje
●
3. Estas condiciones están asociadas con el filtro de mensajes SDR:
si sdr-reputación (['horrible', 'pobre'] >>> todos los valores para esto incluyen: Triste, pobre,manchada, débil, desconocida, neutral, buena
●
si sdr-reputación (['horrible', 'pobre'], "<domain_exception_list>") >>> Esto incluye el uso deuna Lista de Excepciones de Dominio
●
si sdr-age (<‘unit'>, <‘operator'> <‘real value’>) >>> Consulte la guía del usuario para ladefinición de "operador".if (sdr-age ("desconocido", "") >> unidad = desconocido. Los valores restantes se sustituyenpor el valor ""ejemplo: if (edad de los dr ("meses", <, 1, ""). >>> unidad = días, meses, años.Operador = < (menor que). Valor real = 1
●
si sdr-unscannable (<'domain_exception_list'>) >> Tal como se presenta, si el mensaje resultaen no escaneado. Este ejemplo también incluye la condición de lista de excepciones dedominio.
●
if (sdr-unscannable ("") >>> Este ejemplo no incluye la lista de excepciones. El valor sereemplaza por ("")
●
Verificación
Use esta sección para confirmar que su configuración funciona correctamente.
Una vez que se ha habilitado el servicio SDR, los registros_de_correo y el rastreo de mensajescomienzan a mostrar el SDR: entradas de registro.
mail_logs contiene la puntuación de los datos SDR recopilados.1.La puntuación se determina al principio del flujo de correo, antes de determinar la política decorreo.
2.
Las acciones tomadas en el veredicto se producen en el momento de las acciones de filtradode mensajes y de contenido.
3.
beta.ironport.com> mail_logs sample including SDR verdict
Tue Dec 3 15:22:44 2019 Info: New SMTP ICID 5539460 interface Data 1 (10.13.0.170) address
55.1.x.y reverse dns host mail1.noexample.com verified yes
Tue Dec 3 15:22:44 2019 Info: ICID 5539460 ACCEPT SG Production_INBOUND match
mail1.noexample.com SBRS 2.5 country United States
Tue Dec 3 15:22:44 2019 Info: ICID 5539460 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES128-
GCM-SHA256
Tue Dec 3 15:22:44 2019 Info: Start MID 3291517 ICID 5539460
Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 From:
Tue Dec 3 15:22:44 2019 Info: MID 3291517 ICID 5539460 RID 0 To: <[email protected]>
Tue Dec 3 15:22:44 2019 Info: MID 3291517 IncomingRelay(PROD_TO_BETA): Header Received found, IP
193.201.140.49 being used, SBRS -1.9 country United States
Tue Dec 3 15:22:44 2019 Info: MID 3291517 Message-ID
Tue Dec 3 15:22:44 2019 Info: MID 3291517 Subject "You\\'ve Been Nominated for inclusion with
Who\\'s Who"
Tue Dec 3 15:22:44 2019 Info: MID 3291517 SDR: Domains for which SDR is requested: reverse DNS
host: Not Present, helo: mail1.noexample.com, env-from: legly.buzz, header-from: legly.buzz,
reply-to: Not Present
Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Consolidated Sender Reputation: Awful, Threat
Category: N/A, Suspected Domain(s) : [email protected], joan_riley-
[email protected]. Youngest Domain Age: unknown for domain:
Tue Dec 3 15:22:46 2019 Info: MID 3291517 SDR: Tracker Header :
5Zrl76622ZDGPsS6cByUUXq7LTXXS3/wonoZb5cGe2AbRQKxXE5Fag5SfJuNyzii3UPRVoCasmgBq9G0UrsLt7i/omQxDae8
2pU/wJbLOD8akDJ7eq7cLFChOcPm0utOmSv9sFJ4K/K1dL4uNiB13e/pXHjGDAmZrKwo7A13/7HTMCZz8PaMgKl7AFKvwVuZ
c1oVn5OGQr95d0L5x6/ipHZi6/2oKPxMcovolx580SiJ29lJFv7qLjJ8jOlGZCEQOVBnzRHJ7X8wJrZKhGMiLgy
Tue Dec 3 15:22:46 2019 Info: MID 3291517 ready 10011 bytes from <joan_riley-
Tue Dec 3 15:22:46 2019 Info: MID 3291517 Custom Log Entry: MF_URL_Category_all HIT
Tue Dec 3 15:22:46 2019 Info: MID 3291517 matched all recipients for per-recipient policy
DEFAULT in the inbound table
Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim verdict using engine: CASE spam positive
Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: CASE spam positive
Tue Dec 3 15:22:47 2019 Info: MID 3291517 interim AV verdict using Sophos CLEAN
Tue Dec 3 15:22:47 2019 Info: MID 3291517 antivirus negative
Tue Dec 3 15:22:47 2019 Info: MID 3291517 AMP file reputation verdict : SKIPPED (no attachment
in message)
Tue Dec 3 15:22:47 2019 Info: MID 3291517 using engine: GRAYMAIL negative
Tue Dec 3 15:22:47 2019 Info: MID 3291517 Custom Log Entry: SDR_Verdict_matched_Awful_Poor
Tue Dec 3 15:22:47 2019 Info: Start MID 3291519 ICID 0
4. Comandos grep simples para verificar la frecuencia o existencia de veredictos específicos.
>>grep "Reputación del remitente: Awful" mail_logs●
>>grep "Reputación del remitente: Pobre" mail_logs●
5. Además, los detalles del registro de correo se pueden obtener con el uso del comando CLI
findevent junto con el valor MID.
beta.ironport.com> grep "SDR: Domain Reputation.*Poor" mail_logs
Tue Dec 3 11:07:01 2019 Info: MID 3265844 SDR: Consolidated Sender Reputation: Poor, Threat
Category: Spam, Suspected Domain(s) : client-192-236-193-120.hostwindsdns.com. Youngest Domain
Age: 21 days for domain: [email protected]
Tue Dec 3 12:55:47 2019 Info: MID 3277299 SDR: Consolidated Sender Reputation: Poor, Threat
Category: Spam, Suspected Domain(s) : [email protected],
[email protected]. Youngest Domain Age: 6 months 29 days for domain:
Tue Dec 3 12:57:28 2019 Info: MID 3277401 SDR: Consolidated Sender Reputation: Poor, Threat
Category: Spam, Suspected Domain(s) : curious_finds_holiday_guide-
[email protected], [email protected]. Youngest
Domain Age: 6 months 29 days for domain: curious_finds_holiday_guide-
beta.ironport.com> grep "SDR: Domain Reputation.*Awful" mail_logs
Tue Dec 3 10:24:08 2019 Info: MID 3261075 SDR: Consolidated Sender Reputation: Awful, Threat
Category: N/A, Suspected Domain(s) : [email protected]. Youngest Domain
Age: unknown for domain: [email protected]
Tue Dec 3 15:22:23 2019 Info: MID 3291483 SDR: Consolidated Sender Reputation: Awful, Threat
Category: N/A, Suspected Domain(s) : [email protected], joan_riley-
[email protected]. Youngest Domain Age: unknown for domain: [email protected]
Tue Dec 3 15:18:27 2019 Info: MID 3291182 SDR: Consolidated Sender Reputation: Awful, Threat
Category: N/A, Suspected Domain(s) : [email protected],
[email protected]. Youngest Domain Age: 1 day for domain: cbd.oil.planet.pure-
Troubleshoot
En esta sección encontrará información que puede utilizar para solucionar problemas deconfiguración.
Sin SDR: registros presentes en los registros_de_correo o Rastreo de mensajes:1.
Los registros SDR siempre estarán presentes para los mensajes que pasan a través de unapolítica ACCEPT Mail Flow.
●
Asegúrese de que el Servicio se ha activado tal y como se muestra en los pasos iniciales deesta guía.
●
2. Tiempo de espera agotado de SDR:
Verifique que el servidor en la nube de Cisco para SDR esté abierto y disponible para su uso.●
v2.sds.cisco.com●
Se puede realizar una prueba muy general con el uso de telnet desde la CLI.●
Si aparece el banner, confirmará el alcance básico. CLI > telnet v2.sds.cisco.com 443 (estosólo verificará un punto en el tiempo).
●
Verifique los registros de otros servicios para determinar si hay posibles fallas decomunicación en los servicios basados en Internet.
●
CLI > visualiza alertas para verificar si hay signos adicionales de fallas de comunicación.●
Antes de 13.5 AsyncOS, SDR y el filtrado de URL utilizan v2.sds.cisco.com. Unacomprobación del comando de CLI de filtrado de URL > websecuritydiagnostics podríaproporcionar alguna validación si la trayectoria de red contiene latencia.
●
Verifique la configuración de tiempo de espera de reputación de dominio del remitente y●
determine si el valor debe aumentarse de 1 a 10 segundos. Vaya a Servicios de seguridad >Reputación de dominio > Editar > Tiempo de espera de consulta de reputación de dominio deremitente:2El valor predeterminado es 2 segundos y un valor máximo de 10 segundos.●
Información Relacionada
Guías de usuario ESA●
Notas de la versión de ESA●
Guías de referencia de la CLI de ESA●
Soporte Técnico y Documentación - Cisco Systems●
