Introduzione
In questo articolo vengono illustrate le best practice e l'implementazione dei filtri messaggi in Email Security Appliance (ESA). I filtri messaggi consentono di creare regole speciali per gestire i messaggi che soddisfano condizioni specifiche nel momento in cui vengono ricevuti ed elaborati dall'ESA.
Prerequisiti
- Conoscenza di base del funzionamento del filtro ESA
- Familiarità con l'interfaccia della riga di comando (CLI) sull'ESA
Vantaggi dell'utilizzo dei filtri messaggi
L'utilizzo di filtri messaggi rispetto a filtri contenuti presenta due vantaggi principali:
- Vengono applicati ai messaggi verso l'inizio della pipeline di elaborazione della coda di lavoro. Per questo motivo, è possibile risparmiare un numero elevato di risorse filtrando i messaggi prima che vengano utilizzati i principali motori di scansione (ad esempio: antispam, antivirus, AMP, ecc.).
- Le azioni verranno eseguite sul traffico in entrata e in uscita, mentre per i filtri contenuti sarà necessario crearne uno per il traffico in entrata e uno per quello in uscita.
Inoltre, esistono alcune condizioni che non possono essere configurate utilizzando i filtri contenuti, ma possono essere configurate solo tramite i filtri messaggi.
Esempio: se è necessario definire condizioni basate sul gruppo Mittente dell'ESA, questa opzione è disponibile solo nei filtri messaggi.
Nota: le operazioni filtro messaggi non finali sono cumulative. Se un messaggio corrisponde a più filtri in cui ogni filtro specifica un'azione diversa, tutte le azioni vengono accumulate e applicate. Tuttavia, se un messaggio corrisponde a più filtri che specificano la stessa azione, le azioni precedenti vengono ignorate e viene applicata l'operazione filtro finale.
Operazioni dei filtri messaggi
Quando AsyncOS elabora i filtri messaggi, il contenuto analizzato da AsyncOS, l'ordine di elaborazione e le azioni intraprese si basano su diversi fattori:
- I filtri messaggi vengono elaborati nell'ordine in cui sono configurati (dall'alto in basso, da primo all'ultimo)
- Un filtro Messaggio verrà elaborato sul contenuto del messaggio nel momento in cui raggiunge il filtro.
- Quando si confronta un'espressione regolare, si configura un "punteggio" per calcolare il numero di volte in cui una corrispondenza deve verificarsi prima di eseguire un'operazione filtro. In questo modo è possibile "valutare" le risposte in base a termini diversi.
- Le principali alternative nelle condizioni di collegamento di un filtro messaggi sono: (AND / OR / IF / ELSE)
Creazione dei filtri messaggi
In primo luogo, usare i filtri dei comandi dalla CLI per accedere alla modalità di configurazione dei filtri messaggi. Le opzioni sono:
- NUOVO: questa opzione consente di iniziare la creazione di un nuovo filtro. La selezione di questa opzione è seguita da Nome filtro e quindi dalla sintassi.
- DELETE: questa opzione consente di eliminare un filtro esistente in base alle necessità. Dopo aver eseguito questo comando, è possibile immettere il nome del filtro del numero di sequenza da eliminare
- IMPORT: è possibile importare un file dei filtri salvato nella directory dell'accessorio.
- EXPORT: questa opzione consente di esportare il file correlato ai filtri per l'importazione in un'altra destinazione
- MOVE: questa opzione consente di modificare l'ordine di un filtro in base alle preferenze
- SET: Questa opzione consente di modificare lo stato di un filtro da Attivo a Inattivo e viceversa
- LIST: Questa opzione visualizza tutti i filtri creati presenti nell'ESA
- DETAIL: questa opzione consente di visualizzare i componenti del filtro creati, ad esempio le condizioni e le azioni definite.
- LOGCONFIG: questa opzione visualizza i nomi dei file di log creati per i filtri messaggi con azioni definite come archivio (‘nome cartella")
- ROLLOVERNOW: questa opzione consente di eseguire il rollover di tutti i log presenti nelle cartelle create a causa dell'azione di archiviazione definita nei filtri messaggi
I filtri possono essere creati in tutte le modalità ESA, ad esempio in modalità cluster, gruppo o macchina.
I criteri delle preferenze di configurazione in cui l'ESA applicherà i filtri alle e-mail saranno i seguenti:
1ª preferenza: Modalità computer
Seconda preferenza: modalità gruppo
3a preferenza: modalità cluster
Per la creazione dei filtri messaggi, è necessaria una combinazione di sintassi per definire le condizioni e le azioni:
Esempio:
if (recv-listener == 'InboundMail' or recv-int == 'notmain')
{
skip-filters();
}
else
{
quarantine(“Policy”);
}
.
Il filtro sopra illustrato mostra che se il listener ricevente è 'InboundMail' O se l'interfaccia ricevente è 'notmain', l'azione consisterà nell'ignorare i restanti filtri messaggi.
Se le condizioni non corrispondono, mettere in quarantena il criterio. Questo viene definito dopo else.
Suggerimenti utili
In alcuni casi, la sintassi da utilizzare nei filtri messaggi può risultare poco chiara, ma un punto di riferimento semplice potrebbe essere costituito dai filtri contenuti.
È possibile creare un filtro contenuti con le condizioni e le azioni desiderate nel filtro messaggi. Dopo aver inviato il filtro, nella pagina successiva vedremo 3 schede nella parte superiore della sezione filtri:
Quando si fa clic sulla scheda Regole, verrà visualizzata la sintassi utilizzata dal filtro e sarà possibile utilizzare la stessa sintassi per creare i filtri messaggi. Questo è il modo più semplice per restringere la sintassi delle condizioni di filtro in base ai nostri requisiti.
Espressione regolare utilizzata nei filtri messaggi
- Accento circonflesso (^): le regole contenenti il simbolo di accento circonflesso (^) corrispondono solo all'inizio della stringa.
Esempio: ^Io corrisponderò Io sono un ingegnere
- Segno di dollaro ($): le regole che contengono il carattere del segno di dollaro ($) corrispondono solo alla fine della stringa
Esempio: .com$ corrisponderà a google.com e yahoo.com
- Carattere punto (.): le regole che contengono un carattere punto (.) corrispondono a qualsiasi carattere (eccetto una nuova riga).
Esempio: l'espressione regolare ^...admin$ corrisponde alla stringa macadmin e alla stringa sunadmin ma non alla stringa win32admin.
- Direttiva asterisco (*): le regole contenenti un asterisco (*) corrispondono a "zero o più corrispondenze della direttiva precedente". In particolare, la sequenza di un punto e un asterisco (.*) corrisponde a qualsiasi sequenza di caratteri (non contenente una nuova riga).
Esempio: l'espressione regolare ^P.*Piper$ corrisponde a tutte le stringhe seguenti: Piper, Peter Piper, P.Piper
- Barra rovesciata caratteri speciali (\): il carattere barra rovesciata consente l'escape dei caratteri speciali. Pertanto, la sequenza \. corrisponde solo a un punto letterale, la sequenza \$ corrisponde solo a un simbolo del dollaro letterale e la sequenza \^ corrisponde solo a un simbolo di accento circonflesso letterale.
Esempio: l'espressione regolare ^ik\\.ac\\.uk$ corrisponde solo alla stringa ik.ac.uk
- Senza distinzione tra maiuscole e minuscole (?i): il token (?i) che indica il resto dell'espressione regolare deve essere trattato senza distinzione tra maiuscole e minuscole.
Esempio: l'espressione regolare (?i)cisco corrisponde a Cisco, CISCO e cisco
- Oppure (|): l'operatore "or". Se A e B sono espressioni regolari, l'espressione "A|B" corrisponderà a qualsiasi stringa che corrisponda a "A" o "B".
Esempio: l'espressione "foo|bar" corrisponderà a foo o bar, ma non a foobar.
Informazioni correlate
Cisco Email Security Appliance - Guide per l'utente