我正在寻找具有 Ironport 经验的人的答案。当一封电子邮件被 Ironport 拒绝(由于声誉低或其他原因)时,它会将其写入日志中的某个位置吗?如果是在哪里。
我站在发件人一边。不幸的是,我无法访问我的服务器的 smtp 日志来查看 Ironport 抛出的错误。有没有办法以其他方式捕获它们?
有没有办法在 Ironport 中将发件人域列入白名单?如果是这样(链接到文档就足够了)。
谢谢!
【问题讨论】:
标签: networking smtp cisco spam-prevention
IronPort 使用 4 个主机访问组,它们根据发件人在 SBRS 上的声誉决定将什么策略应用于发件人。
WHITELIST:
$TRUSTED (My trusted senders have no anti-spam scanning or rate limiting)
BLACKLIST:
sbrs[-10.0:-3.0]
$BLOCKED (Spammers are rejected)
SUSPECTLIST:
sbrs[-3.0:-1.0]
$THROTTLED (Suspicious senders are throttled)
UNKNOWNLIST:
sbrs[-1.0:10.0]
sbrs[none]
$ACCEPTED (Reviewed but undecided, continue normal acceptance)
ALL
$ACCEPTED (Everyone else)
当初始 SMTP 连接建立时,将根据 HAT 匹配写入新的日志事件
ICID 936657752 接受 SG UNKNOWNLIST 匹配 sbrs[-1.0:10.0] SBRS 4.8 ICID 936594871 接受 SG SUSPECTLIST 匹配 sbrs[-3.0:-1.0] SBRS -1.4 ICID 936620321 REJECT SG BLACKLIST 匹配 sbrs[-10.0:-3.0] SBRS -10.0
详细查看日志
2014 年 11 月 27 日星期四 11:32:36 信息:新 SMTP ICID 936620321 接口地址 x.x.x.x 反向 dns 主机未知已验证无 2014 年 11 月 27 日星期四 11:32:36 信息:ICID 936620321 REJECT SG BLACKLIST match sbrs[-10.0:-3.0] SBRS -10.0 2014 年 11 月 27 日星期四 11:32:36 信息:ICID 936620321 关闭
ICID:传入连接 ID MID:消息 ID DCID:交付 ID
在拒绝时,只会创建一个 ICID,因为由于 SBRS 拒绝,消息永远不会进入队列
要查看这些日志,您可以通过 SSH 或 telnet 进入您的设备并根据日志名称跟踪/grep 邮件日志 - 要验证您的日志名称,您可以在“logconfig”下查看此日志标记为 IronPort 文本邮件日志将成为你正在寻找的东西。您也可以将其转发到 syslog 主机 - 选项在 logconfig 下可用
白名单可以通过 3 种方式完成
http://www.cisco.com/c/dam/en/us/td/docs/security/esa/esa7-6/ESA_7-6_Configuration_Guide.pdf 提供 Cisco IronPort 的文档 - 取决于版本
【讨论】: