はじめに
このドキュメントでは、Cisco Eメールセキュリティアプライアンス(ESA)のコンテンツタイプベースの文字セットを検出してアクションを実行するためのフィルタを作成して設定する方法について説明します。次のドキュメントは、スパムメッセージに含まれる外国語ベースの文字を検出するために使用できます。
背景説明
ESA管理者は、会社やドメインの正当なメールではない文字ベースの外国語を含むメールメッセージを大量に受信する可能性があります。 ESAから対処する1つの方法として、次の3つのオプションがあります。
-
コンテンツタイプを検出するフィルタを作成します。
-
フィルタ内の文字ベースの辞書を参照するためのフィルタを記述します。
- 条件Message Languageを使用してフィルタを作成します。(このオプションは、AsyncOS Email Security 10.0.0-203以降の新機能です)。
文字セットに基づいてコンテンツ タイプをブロックする方法
コンテンツタイプを検出するフィルタを作成する
最初のオプションは、管理者がフィルタを作成して設定し、必要に応じてそれをメールポリシーに関連付けることです。
注:このフィルタをメッセージフィルタとして記述および設定すると、文字セットに関する電子メールの本文をスキャンするためにリソースが高価になる場合があります。
注:コンテンツフィルタはアンチスパムスキャンの後で実行されるため、これをコンテンツフィルタとして設定することを強くお勧めします。 ただし、必要に応じて、メッセージフィルタとして記述および設定できます。
次の例では、Windows-1251ベースの文字セットを介して、ロシア語(キリル語)ベースの文字を含むメールメッセージを考慮します。 コンテンツフィルタとして記述:
使用するテスト電子メールには、電子メールの本文に次のものが含まれます。
Russian uses а, э, ы, у, o, я, е, ё, ю, и as vowels. You could create a message filter set to "Matches any of the following" that test whether "Body" "contains" "и", "Body" "contains" "ё" and so forth until you covered all of the vowels. Ssince English also uses "a" , "e" , "o", and "y" letters don't test for them. The reason for "Matches any of the following" is to logically OR them - you want the action to take place if any of those letters are found.
上記のようにコンテンツフィルタを設定すると、メールログは次のように記録されます。
Thu Sep 10 14:50:09 2015 Info: Start MID 164993 ICID 266729
Thu Sep 10 14:50:09 2015 Info: MID 164993 ICID 266729 From: <end_user@test.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 ICID 266729 RID 0 To: <recpient@my_co.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 using engine: SPF Verdict Cache using cached verdict
Thu Sep 10 14:50:09 2015 Info: MID 164993 Message-ID '<7A961F85-A5F1-413F-87CB-C31D2E5605EC@my_co.com>'
Thu Sep 10 14:50:09 2015 Info: MID 164993 Subject 'russian test'
Thu Sep 10 14:50:09 2015 Info: MID 164993 ready 2302 bytes from <end_user@test.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Sep 10 14:50:09 2015 Info: MID 164993 AMP file reputation verdict : CLEAN
Thu Sep 10 14:50:09 2015 Info: MID 164993 using engine: GRAYMAIL negative
Thu Sep 10 14:50:09 2015 Info: MID 164993 Custom Log Entry: <====== WINDOWS-1251 DETECTED ======>
Thu Sep 10 14:50:09 2015 Info: MID 164993 quarantined to "Policy" (content filter:russian_text)
Thu Sep 10 14:50:09 2015 Info: Message finished MID 164993 done
他の言語や文字セットも使用できます。 詳細については、「参考資料」セクションを参照してください。
文字ベースの辞書を参照するフィルタを作成する
2番目のオプションは、文字セットのリストを辞書テキストファイルに追加し、フィルタで参照することです。
辞書に文字を追加する例:
これで、文字がディクショナリに割り当てられ、ディクショナリ自体がフィルタの条件項目で参照されます。
上記と同じテスト電子メールを使用して、電子メールの本文に次の内容が含まれています。
Russian uses а, э, ы, у, o, я, е, ё, ю, и as vowels. You could create a message filter set to "Matches any of the following" that test whether "Body" "contains" "и", "Body" "contains" "ё" and so forth until you covered all of the vowels. Ssince English also uses "a" , "e" , "o", and "y" letters don't test for them. The reason for "Matches any of the following" is to logically OR them - you want the action to take place if any of those letters are found.
ディクショナリ一致条件を使用して上記のようにコンテンツフィルタを設定すると、メールログには次のように記録されます。
Thu Sep 10 15:26:08 2015 Info: Start MID 164995 ICID 266737
Thu Sep 10 15:26:08 2015 Info: MID 164995 ICID 266737 From: <end_user@test.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 ICID 266737 RID 0 To: <recpient@my_co.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 using engine: SPF Verdict Cache using cached verdict
Thu Sep 10 15:26:08 2015 Info: SPF Verdict Cache cache status: hits = 6, misses = 4, expires = 1, adds = 4, seconds saved = 0.50, total seconds = 0.85
Thu Sep 10 15:26:08 2015 Info: MID 164995 Message-ID '<BCC88307-EB91-476E-8732-334E9EE84EC8@my_co.com>'
Thu Sep 10 15:26:08 2015 Info: MID 164995 Subject 'russian test 3'
Thu Sep 10 15:26:08 2015 Info: MID 164995 ready 2316 bytes from <end_user@test.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Sep 10 15:26:08 2015 Info: MID 164995 AMP file reputation verdict : CLEAN
Thu Sep 10 15:26:08 2015 Info: MID 164995 using engine: GRAYMAIL negative
Thu Sep 10 15:26:08 2015 Info: MID 164995 Custom Log Entry: <====== WINDOWS-1251 DETECTED VIA DICTIONARY ======>
Thu Sep 10 15:26:08 2015 Info: MID 164995 quarantined to "Policy" (content filter:russian_text_2)
Thu Sep 10 15:26:08 2015 Info: Message finished MID 164995 done
「メッセージ言語」条件を使用してコンテンツフィルタを作成する
3番目のオプションは、「メッセージ言語」条件を使用することです。ESAは、組み込みの言語検出エンジンを使用して、メッセージ内の言語を検出します。アプライアンスは、件名とメッセージ本文を抽出し、言語検出エンジンに渡します。
言語検出エンジンは、抽出されたテキスト内の各言語の確率を決定し、アプライアンスに返します。アプライアンスは、最も可能性の高い言語をメッセージの言語と見なします。アプライアンスは、次のいずれかのシナリオで、メッセージの言語を「未確定」と見なします。
- 検出された言語がESAでサポートされていない場合
- アプライアンスがメッセージの言語を検出できない場合
- 言語検出エンジンに送信される抽出テキストの合計サイズが50バイト未満の場合。
注:このオプションは、AsyncOS Email Security 10.0.0-203以降の新機能です。
次の例では、中国語または台湾を基にした文字セットを含むメールメッセージを考慮します。 コンテンツフィルタとして記述:
上記のようにコンテンツフィルタを設定すると、メールログは次のように記録されます。
Tue Feb 28 06:53:18 2017 Info: Start MID 481 ICID 27
Tue Feb 28 06:53:18 2017 Info: MID 481 ICID 27 From: <end_user@test.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 ICID 27 RID 0 To: <recipient@my_co.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 Subject 'Chinese text test'
Tue Feb 28 06:53:18 2017 Info: MID 481 ready 1047 bytes from <end_user@test.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Feb 28 06:53:18 2017 Info: MID 481 interim verdict using engine: CASE spam negative
Tue Feb 28 06:53:18 2017 Info: MID 481 using engine: CASE spam negative
Tue Feb 28 06:53:18 2017 Info: MID 481 interim AV verdict using Sophos CLEAN
Tue Feb 28 06:53:18 2017 Info: MID 481 antivirus negative
Tue Feb 28 06:53:18 2017 Info: MID 481 using engine: GRAYMAIL negative
Tue Feb 28 06:53:18 2017 Info: MID 481 Message language: 'Chinese/Taiwan'
Tue Feb 28 06:53:18 2017 Info: MID 481 Custom Log Entry: <=========Chinese/Taiwan Language Detected=========>
Tue Feb 28 06:53:18 2017 Info: MID 481 Outbreak Filters: verdict negative
Tue Feb 28 06:53:18 2017 Info: MID 481 quarantined to "Policy" (content filter:Chinese_text)
Tue Feb 28 06:53:18 2017 Info: Message finished MID 481 done
参考資料
- Microsoftは文字セット名(.NET名)を コードページ識別子 フィルタの記述および設定時に参照できます。
注: ANSIコードページは、コンピュータによって異なる場合があります。また、1台のコンピュータで変更した場合、データが破損する可能性があります。最も一貫性のある結果を得るには、アプリケーションは特定のコードページではなく、UTF-8やUTF-16などのUnicodeを使用する必要があります。
- モジラジン コンテンツタイプの詳細(ヘッダー、外字、外国語の単語など)を以下の記事で説明します: 外国語スパム
関連情報