Ironport 拒绝电子邮件 [关闭]

Posted 2023-03-15

【中文标题】Ironport 拒绝电子邮件 [关闭]

【英文标题】：Ironport rejecting emails [closed]

【发布时间】：2015-01-24 17:39:06

【问题描述】：

我正在寻找具有 Ironport 经验的人的答案。当一封电子邮件被 Ironport 拒绝（由于声誉低或其他原因）时，它会将其写入日志中的某个位置吗？如果是在哪里。

我站在发件人一边。不幸的是，我无法访问我的服务器的 smtp 日志来查看 Ironport 抛出的错误。有没有办法以其他方式捕获它们？

有没有办法在 Ironport 中将发件人域列入白名单？如果是这样（链接到文档就足够了）。

谢谢！

【参考方案1】：

IronPort 使用 4 个主机访问组，它们根据发件人在 SBRS 上的声誉决定将什么策略应用于发件人。

WHITELIST:
    $TRUSTED (My trusted senders have no anti-spam scanning or rate limiting)

BLACKLIST:
sbrs[-10.0:-3.0]
    $BLOCKED (Spammers are rejected)

SUSPECTLIST:
sbrs[-3.0:-1.0]
    $THROTTLED (Suspicious senders are throttled)

UNKNOWNLIST:             
sbrs[-1.0:10.0]
sbrs[none]
    $ACCEPTED (Reviewed but undecided, continue normal acceptance)

ALL
$ACCEPTED (Everyone else)

当初始 SMTP 连接建立时，将根据 HAT 匹配写入新的日志事件

ICID 936657752 接受 SG UNKNOWNLIST 匹配 sbrs[-1.0:10.0] SBRS 4.8 ICID 936594871 接受 SG SUSPECTLIST 匹配 sbrs[-3.0:-1.0] SBRS -1.4 ICID 936620321 REJECT SG BLACKLIST 匹配 sbrs[-10.0:-3.0] SBRS -10.0

详细查看日志

2014 年 11 月 27 日星期四 11:32:36 信息：新 SMTP ICID 936620321 接口地址 x.x.x.x 反向 dns 主机未知已验证无 2014 年 11 月 27 日星期四 11:32:36 信息：ICID 936620321 REJECT SG BLACKLIST match sbrs[-10.0:-3.0] SBRS -10.0 2014 年 11 月 27 日星期四 11:32:36 信息：ICID 936620321 关闭

ICID：传入连接 ID MID：消息 ID DCID：交付 ID

在拒绝时，只会创建一个 ICID，因为由于 SBRS 拒绝，消息永远不会进入队列

要查看这些日志，您可以通过 SSH 或 telnet 进入您的设备并根据日志名称跟踪/grep 邮件日志 - 要验证您的日志名称，您可以在“logconfig”下查看此日志标记为 IronPort 文本邮件日志将成为你正在寻找的东西。您也可以将其转发到 syslog 主机 - 选项在 logconfig 下可用

白名单可以通过 3 种方式完成

按照上述将 HAT 表中的 IP 列入白名单 通过内容过滤器列入白名单并将其应用于您的相关政策 创建包含内容过滤器的策略以跳过处理并直接发送 - 您希望包含在此策略中的域可以添加为发件人或收件人

http://www.cisco.com/c/dam/en/us/td/docs/security/esa/esa7-6/ESA_7-6_Configuration_Guide.pdf 提供 Cisco IronPort 的文档 - 取决于版本

【讨论】：

非常感谢你！