Einleitung
In diesem Dokument wird beschrieben, wie Sie einen Filter erstellen und konfigurieren, um auf der Cisco E-Mail Security Appliance (ESA) Inhaltstypzeichen zu erkennen und entsprechende Maßnahmen zu ergreifen. Das folgende Dokument kann zum Erkennen von Fremdsprachenzeichen in Spam-Nachrichten verwendet werden.
Hintergrundinformationen
ESA-Administratoren können einen Zustrom von E-Mail-Nachrichten empfangen, die zeichenbasierte Fremdsprachen enthalten, die keine legitimen E-Mails für ihr Unternehmen oder ihre Domäne(n) sind. Es gibt drei Möglichkeiten, wie wir dies von der ESA aus angehen können:
-
Schreiben Sie einen Filter, um den Inhaltstyp zu erkennen.
-
Verweisen eines Filters auf ein zeichenbasiertes Wörterbuch in einem Filter.
- Schreiben Sie einen Filter mithilfe der Bedingung Message Language. (Diese Option ist eine neue Funktion für AsyncOS Email Security 10.0.0-203 und höher.)
Blockieren von auf Inhaltstypen basierenden Zeichensätzen
Schreiben eines Filters zum Erkennen des Inhaltstyps
Die erste Option besteht darin, dass der Administrator einen Filter schreibt und konfiguriert und ihn bei Bedarf einer Mail-Richtlinie zuordnet.
Hinweis: Das Schreiben und Konfigurieren dieses Filters als Nachrichtenfilter kann aufwändig sein, um den E-Mail-Text nach den Zeichensätzen zu durchsuchen.
Hinweis: Es wird dringend empfohlen, diesen Filter als Content-Filter zu konfigurieren, da Content-Filter nach dem Anti-Spam-Scannen auftreten. Dieser kann jedoch bei Bedarf als Nachrichtenfilter geschrieben und konfiguriert werden.
Im folgenden Beispiel wird eine E-Mail-Nachricht mit russischen (kyrillischen) Zeichen über den Windows-1251-basierten Zeichensatz berücksichtigt. Als Content-Filter geschrieben:
Die verwendete Test-E-Mail enthält Folgendes im Text der E-Mail:
Russian uses а, э, ы, у, o, я, е, ё, ю, и as vowels. You could create a message filter set to "Matches any of the following" that test whether "Body" "contains" "и", "Body" "contains" "ё" and so forth until you covered all of the vowels. Ssince English also uses "a" , "e" , "o", and "y" letters don't test for them. The reason for "Matches any of the following" is to logically OR them - you want the action to take place if any of those letters are found.
Wenn der Content-Filter wie oben konfiguriert ist, werden in den Mail-Protokollen ähnlich wie folgt aufgezeichnet:
Thu Sep 10 14:50:09 2015 Info: Start MID 164993 ICID 266729
Thu Sep 10 14:50:09 2015 Info: MID 164993 ICID 266729 From: <end_user@test.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 ICID 266729 RID 0 To: <recpient@my_co.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 using engine: SPF Verdict Cache using cached verdict
Thu Sep 10 14:50:09 2015 Info: MID 164993 Message-ID '<7A961F85-A5F1-413F-87CB-C31D2E5605EC@my_co.com>'
Thu Sep 10 14:50:09 2015 Info: MID 164993 Subject 'russian test'
Thu Sep 10 14:50:09 2015 Info: MID 164993 ready 2302 bytes from <end_user@test.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Sep 10 14:50:09 2015 Info: MID 164993 AMP file reputation verdict : CLEAN
Thu Sep 10 14:50:09 2015 Info: MID 164993 using engine: GRAYMAIL negative
Thu Sep 10 14:50:09 2015 Info: MID 164993 Custom Log Entry: <====== WINDOWS-1251 DETECTED ======>
Thu Sep 10 14:50:09 2015 Info: MID 164993 quarantined to "Policy" (content filter:russian_text)
Thu Sep 10 14:50:09 2015 Info: Message finished MID 164993 done
Andere Sprachen und Zeichensätze können verwendet werden. Weitere Informationen finden Sie im Abschnitt "Verweise".
Filter schreiben, um auf ein zeichenbasiertes Wörterbuch zu verweisen
Die zweite Option besteht darin, die Liste der Zeichensätze einer Wörterbuch-Textdatei hinzuzufügen und auf die Liste im Filter zu verweisen.
Beispiel für das Hinzufügen von Zeichen zum Wörterbuch:
Die Zeichen werden nun dem Wörterbuch zugewiesen, und auf das Wörterbuch selbst wird in den Bedingungselementen für den Filter verwiesen:
Wenn Sie dieselbe Test-E-Mail wie oben verwenden, enthält sie im Text der E-Mail Folgendes:
Russian uses а, э, ы, у, o, я, е, ё, ю, и as vowels. You could create a message filter set to "Matches any of the following" that test whether "Body" "contains" "и", "Body" "contains" "ё" and so forth until you covered all of the vowels. Ssince English also uses "a" , "e" , "o", and "y" letters don't test for them. The reason for "Matches any of the following" is to logically OR them - you want the action to take place if any of those letters are found.
Wenn der Content-Filter wie oben konfiguriert und die Bedingung für die Übereinstimmung mit dem Wörterbuch verwendet wird, werden in den E-Mail-Protokollen ähnlich wie folgt aufgezeichnet:
Thu Sep 10 15:26:08 2015 Info: Start MID 164995 ICID 266737
Thu Sep 10 15:26:08 2015 Info: MID 164995 ICID 266737 From: <end_user@test.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 ICID 266737 RID 0 To: <recpient@my_co.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 using engine: SPF Verdict Cache using cached verdict
Thu Sep 10 15:26:08 2015 Info: SPF Verdict Cache cache status: hits = 6, misses = 4, expires = 1, adds = 4, seconds saved = 0.50, total seconds = 0.85
Thu Sep 10 15:26:08 2015 Info: MID 164995 Message-ID '<BCC88307-EB91-476E-8732-334E9EE84EC8@my_co.com>'
Thu Sep 10 15:26:08 2015 Info: MID 164995 Subject 'russian test 3'
Thu Sep 10 15:26:08 2015 Info: MID 164995 ready 2316 bytes from <end_user@test.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Sep 10 15:26:08 2015 Info: MID 164995 AMP file reputation verdict : CLEAN
Thu Sep 10 15:26:08 2015 Info: MID 164995 using engine: GRAYMAIL negative
Thu Sep 10 15:26:08 2015 Info: MID 164995 Custom Log Entry: <====== WINDOWS-1251 DETECTED VIA DICTIONARY ======>
Thu Sep 10 15:26:08 2015 Info: MID 164995 quarantined to "Policy" (content filter:russian_text_2)
Thu Sep 10 15:26:08 2015 Info: Message finished MID 164995 done
Content-Filter mit der Bedingung "Message Language" schreiben
Die dritte Option ist die Verwendung der Bedingung "Sprache der Nachricht". Die ESA verwendet die integrierte Spracherkennungs-Engine, um die Sprache in einer Nachricht zu erkennen. Die Appliance extrahiert den Betreff und den Nachrichtentext und leitet diesen an die Spracherkennungs-Engine weiter.
Die Spracherkennungs-Engine ermittelt die Wahrscheinlichkeit jeder Sprache im extrahierten Text und leitet sie an die Appliance weiter. Die Appliance betrachtet die Sprache mit der höchsten Wahrscheinlichkeit als die Sprache der Nachricht. Die Appliance betrachtet die Sprache der Nachricht in einem der folgenden Szenarien als "unbestimmt":
- Wenn die erkannte Sprache von der ESA nicht unterstützt wird
- Wenn die Appliance die Sprache der Nachricht nicht erkennen kann
- Wenn die Gesamtgröße des extrahierten Texts, der an die Spracherkennungs-Engine gesendet wird, weniger als 50 Byte beträgt.
Hinweis: Diese Option ist eine neue Funktion für AsyncOS Email Security 10.0.0-203 und höher.
Im folgenden Beispiel wird eine E-Mail-Nachricht berücksichtigt, die einen auf Chinesisch/Taiwan basierenden Zeichensatz enthält. Als Content-Filter geschrieben:
Wenn der Content-Filter wie oben konfiguriert ist, werden in den Mail-Protokollen ähnlich wie folgt aufgezeichnet:
Tue Feb 28 06:53:18 2017 Info: Start MID 481 ICID 27
Tue Feb 28 06:53:18 2017 Info: MID 481 ICID 27 From: <end_user@test.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 ICID 27 RID 0 To: <recipient@my_co.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 Subject 'Chinese text test'
Tue Feb 28 06:53:18 2017 Info: MID 481 ready 1047 bytes from <end_user@test.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Feb 28 06:53:18 2017 Info: MID 481 interim verdict using engine: CASE spam negative
Tue Feb 28 06:53:18 2017 Info: MID 481 using engine: CASE spam negative
Tue Feb 28 06:53:18 2017 Info: MID 481 interim AV verdict using Sophos CLEAN
Tue Feb 28 06:53:18 2017 Info: MID 481 antivirus negative
Tue Feb 28 06:53:18 2017 Info: MID 481 using engine: GRAYMAIL negative
Tue Feb 28 06:53:18 2017 Info: MID 481 Message language: 'Chinese/Taiwan'
Tue Feb 28 06:53:18 2017 Info: MID 481 Custom Log Entry: <=========Chinese/Taiwan Language Detected=========>
Tue Feb 28 06:53:18 2017 Info: MID 481 Outbreak Filters: verdict negative
Tue Feb 28 06:53:18 2017 Info: MID 481 quarantined to "Policy" (content filter:Chinese_text)
Tue Feb 28 06:53:18 2017 Info: Message finished MID 481 done
Referenzen
- Microsoft stellt Zeichensatznamen bereit (.NET-Name) in ihren Codeseitenbezeichner , auf die beim Schreiben und Konfigurieren von Filtern verwiesen werden kann.
Hinweis: ANSI-Codepages können auf verschiedenen Computern unterschiedlich sein oder für einen einzelnen Computer geändert werden, was zu Datenbeschädigungen führt. Für die konsistentesten Ergebnisse sollten Anwendungen Unicode verwenden, z. B. UTF-8 oder UTF-16, anstatt eine bestimmte Codeseite zu verwenden.
- Mozillazin enthält detaillierte Informationen zum Inhaltstyp (Header, Fremdbuchstaben, Fremdwörter usw.) in ihrem Artikel für Spam in Fremdsprachen
Zugehörige Informationen