Introducción
Este documento describe cómo escribir y configurar un filtro para detectar y tomar medidas sobre los juegos de caracteres basados en el tipo de contenido en el dispositivo de seguridad Cisco Email Security Appliance (ESA). El siguiente documento se puede utilizar para detectar los caracteres basados en el idioma extranjero que se ven en los mensajes de spam.
Antecedentes
Los administradores ESA pueden recibir una afluencia de mensajes de correo que contengan idiomas extranjeros basados en caracteres que no sean correo legítimo para su compañía o dominio(s). Una forma de abordar desde el ESA, tenemos tres opciones:
-
Escriba un filtro para detectar el tipo de contenido.
-
Escriba un filtro para hacer referencia a un diccionario basado en caracteres en un filtro.
- Escriba un filtro utilizando la condición Idioma del mensaje. (Esta opción es una nueva función para AsyncOS Email Security 10.0.0-203 y versiones posteriores.)
Bloqueo de conjuntos de caracteres basados en tipos de contenido
Escribir un filtro para detectar el tipo de contenido
La primera opción es que el administrador escriba y configure un filtro y lo asocie a una directiva de correo, según sea necesario.
Nota: Escribir y configurar este filtro como un filtro de mensajes puede ser costoso para analizar el cuerpo de los correos electrónicos en busca de los juegos de caracteres.
Nota: se recomienda encarecidamente configurar esta función como filtro de contenido, ya que los filtros de contenido se producen después del análisis antispam. Sin embargo, se puede escribir y configurar como un filtro de mensajes, si es necesario.
En el ejemplo siguiente se tendrá en cuenta un mensaje de correo que contenga caracteres basados en ruso (cirílico) a través del conjunto de caracteres basado en Windows-1251. Escrito como filtro de contenido:
El correo electrónico de prueba utilizado incluirá lo siguiente en el cuerpo del correo electrónico:
Russian uses а, э, ы, у, o, я, е, ё, ю, и as vowels. You could create a message filter set to "Matches any of the following" that test whether "Body" "contains" "и", "Body" "contains" "ё" and so forth until you covered all of the vowels. Ssince English also uses "a" , "e" , "o", and "y" letters don't test for them. The reason for "Matches any of the following" is to logically OR them - you want the action to take place if any of those letters are found.
Con el filtro de contenido configurado como se indica anteriormente, los registros de correo registrarían datos similares a los siguientes:
Thu Sep 10 14:50:09 2015 Info: Start MID 164993 ICID 266729
Thu Sep 10 14:50:09 2015 Info: MID 164993 ICID 266729 From: <end_user@test.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 ICID 266729 RID 0 To: <recpient@my_co.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 using engine: SPF Verdict Cache using cached verdict
Thu Sep 10 14:50:09 2015 Info: MID 164993 Message-ID '<7A961F85-A5F1-413F-87CB-C31D2E5605EC@my_co.com>'
Thu Sep 10 14:50:09 2015 Info: MID 164993 Subject 'russian test'
Thu Sep 10 14:50:09 2015 Info: MID 164993 ready 2302 bytes from <end_user@test.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Sep 10 14:50:09 2015 Info: MID 164993 AMP file reputation verdict : CLEAN
Thu Sep 10 14:50:09 2015 Info: MID 164993 using engine: GRAYMAIL negative
Thu Sep 10 14:50:09 2015 Info: MID 164993 Custom Log Entry: <====== WINDOWS-1251 DETECTED ======>
Thu Sep 10 14:50:09 2015 Info: MID 164993 quarantined to "Policy" (content filter:russian_text)
Thu Sep 10 14:50:09 2015 Info: Message finished MID 164993 done
Se pueden utilizar otros idiomas y juegos de caracteres. Consulte la sección Referencias para obtener más información.
Escribir un filtro para hacer referencia a un diccionario basado en caracteres
La segunda opción es agregar la lista de conjuntos de caracteres a un archivo de texto de diccionario y hacer referencia a eso en el filtro.
Ejemplo de adición de caracteres al diccionario:
Los caracteres se asignan ahora al diccionario y se hace referencia al diccionario en los elementos de condición para el filtro:
Con el mismo correo electrónico de prueba que el anterior, contiene lo siguiente en el cuerpo del correo electrónico:
Russian uses а, э, ы, у, o, я, е, ё, ю, и as vowels. You could create a message filter set to "Matches any of the following" that test whether "Body" "contains" "и", "Body" "contains" "ё" and so forth until you covered all of the vowels. Ssince English also uses "a" , "e" , "o", and "y" letters don't test for them. The reason for "Matches any of the following" is to logically OR them - you want the action to take place if any of those letters are found.
Con el filtro de contenido configurado como se indicó anteriormente mediante la condición de coincidencia de diccionario, los registros de correo registrarían algo similar a lo siguiente:
Thu Sep 10 15:26:08 2015 Info: Start MID 164995 ICID 266737
Thu Sep 10 15:26:08 2015 Info: MID 164995 ICID 266737 From: <end_user@test.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 ICID 266737 RID 0 To: <recpient@my_co.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 using engine: SPF Verdict Cache using cached verdict
Thu Sep 10 15:26:08 2015 Info: SPF Verdict Cache cache status: hits = 6, misses = 4, expires = 1, adds = 4, seconds saved = 0.50, total seconds = 0.85
Thu Sep 10 15:26:08 2015 Info: MID 164995 Message-ID '<BCC88307-EB91-476E-8732-334E9EE84EC8@my_co.com>'
Thu Sep 10 15:26:08 2015 Info: MID 164995 Subject 'russian test 3'
Thu Sep 10 15:26:08 2015 Info: MID 164995 ready 2316 bytes from <end_user@test.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Sep 10 15:26:08 2015 Info: MID 164995 AMP file reputation verdict : CLEAN
Thu Sep 10 15:26:08 2015 Info: MID 164995 using engine: GRAYMAIL negative
Thu Sep 10 15:26:08 2015 Info: MID 164995 Custom Log Entry: <====== WINDOWS-1251 DETECTED VIA DICTIONARY ======>
Thu Sep 10 15:26:08 2015 Info: MID 164995 quarantined to "Policy" (content filter:russian_text_2)
Thu Sep 10 15:26:08 2015 Info: Message finished MID 164995 done
Escribir un filtro de contenido con la condición "Idioma del mensaje"
La tercera opción es utilizar la condición de "idioma del mensaje". El ESA utiliza el motor de detección de idioma integrado para detectar el idioma de un mensaje. El dispositivo extrae el asunto y el cuerpo del mensaje y lo pasa al motor de detección de idioma.
El motor de detección de idioma determina la probabilidad de cada idioma del texto extraído y lo devuelve al dispositivo. El dispositivo considera el idioma con mayor probabilidad como el idioma del mensaje. El dispositivo considera que el idioma del mensaje es "indeterminado" en una de las situaciones siguientes:
- Si el idioma detectado no es compatible con ESA
- Si el dispositivo no puede detectar el idioma del mensaje
- Si el tamaño total del texto extraído enviado al motor de detección de idioma es inferior a 50 bytes.
Nota: Esta opción es una nueva función para AsyncOS Email Security 10.0.0-203 y versiones posteriores.
En el ejemplo siguiente se tendrá en cuenta un mensaje de correo que contiene un juego de caracteres basado en chino/Taiwán. Escrito como filtro de contenido:
Con el filtro de contenido configurado como se indica anteriormente, los registros de correo registrarían datos similares a los siguientes:
Tue Feb 28 06:53:18 2017 Info: Start MID 481 ICID 27
Tue Feb 28 06:53:18 2017 Info: MID 481 ICID 27 From: <end_user@test.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 ICID 27 RID 0 To: <recipient@my_co.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 Subject 'Chinese text test'
Tue Feb 28 06:53:18 2017 Info: MID 481 ready 1047 bytes from <end_user@test.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Feb 28 06:53:18 2017 Info: MID 481 interim verdict using engine: CASE spam negative
Tue Feb 28 06:53:18 2017 Info: MID 481 using engine: CASE spam negative
Tue Feb 28 06:53:18 2017 Info: MID 481 interim AV verdict using Sophos CLEAN
Tue Feb 28 06:53:18 2017 Info: MID 481 antivirus negative
Tue Feb 28 06:53:18 2017 Info: MID 481 using engine: GRAYMAIL negative
Tue Feb 28 06:53:18 2017 Info: MID 481 Message language: 'Chinese/Taiwan'
Tue Feb 28 06:53:18 2017 Info: MID 481 Custom Log Entry: <=========Chinese/Taiwan Language Detected=========>
Tue Feb 28 06:53:18 2017 Info: MID 481 Outbreak Filters: verdict negative
Tue Feb 28 06:53:18 2017 Info: MID 481 quarantined to "Policy" (content filter:Chinese_text)
Tue Feb 28 06:53:18 2017 Info: Message finished MID 481 done
Referencias
- Microsoft proporciona nombres de conjuntos de caracteres (nombre de .NET) en su Identificadores de página de códigos a los que se puede hacer referencia al escribir y configurar filtros.
Nota: Las páginas de códigos ANSI pueden ser diferentes en los distintos equipos, o pueden cambiarse para un solo equipo, lo que puede dañar los datos. Para obtener los resultados más coherentes, las aplicaciones deben utilizar Unicode, como UTF-8 o UTF-16, en lugar de una página de códigos específica.
- Mozillazina proporciona información detallada sobre el tipo de contenido: encabezado, letras extranjeras, palabras extranjeras, etc., en su artículo para Spam en otro idioma
Información Relacionada