Inleiding
Dit artikel gaat over best practices en implementatie betreffende Berichtfilters op de E-mail security applicatie (ESA). Berichtfilters maken het mogelijk speciale regels te creëren die beschrijven hoe berichten moeten worden verwerkt die aan specifieke voorwaarden voldoen wanneer zij door de ESA worden ontvangen en verwerkt.
Voorwaarden
- Basiskennis van de werking van een ESE-filter
- Bekendheid met de Command Line Interface (CLI) op de ESA
Voordelen van het gebruik van berichtfilters
Er zijn twee belangrijke voordelen om de Filters van het Bericht over de Filters van de Inhoud te gebruiken:
- Ze worden toegepast op berichten naar het begin van de werkwachtrij verwerkingspijplijn. Hierdoor kunnen we mogelijk een groot aantal bronnen opslaan door berichten te filteren voordat er grote scanmachines worden gebruikt (bijv. Anti-Spam, Anti-Virus, AMP, etc.).
- Zij zullen actie ondernemen op zowel inkomend als uitgaand verkeer, terwijl u voor contentfilters een voor inkomend en een voor uitgaand zou moeten creëren.
Ook zijn er weinig voorwaarden die niet beschikbaar zijn om te worden geconfigureerd met Content Filters, wat alleen kan worden gedaan via Berichtfilters.
Voorbeeld: Indien er een vereiste bestaat om voorwaarden te definiëren op basis van de Sendergroep van de ESA, dan is deze optie alleen beschikbaar in Berichtfilters.
Opmerking: niet-definitieve berichtfilteracties zijn cumulatief. Als een bericht met meerdere filters overeenkomt, waarbij elke filter een andere actie aangeeft, worden alle acties geaccumuleerd en afgedwongen. Als echter een bericht overeenkomt met meerdere filters die dezelfde actie opgeven, worden de eerdere acties overschreven en wordt de uiteindelijke filteractie afgedwongen.
Bewerkingen van berichtfilters
Wanneer AsyncOS berichtfilters verwerkt, zijn de inhoud die AsyncOS scant, de orde van de verwerking, en de ondernomen acties gebaseerd op verscheidene factoren:
- Berichtfilters worden verwerkt in de volgorde waarin ze zijn geconfigureerd (van boven naar onder, eerst tot het laatst)
- Een Berichtfilter wordt op de berichtinhoud verwerkt op het moment dat deze het filter bereikt.
- Wanneer u een reguliere expressie aanpast, configureer je een "score" om het aantal keren aan te geven dat een match moet plaatsvinden voordat een filteractie wordt ondernomen. Hierdoor kunt u de reacties op verschillende termen "wegen".
- De belangrijkste alternatieven voor het koppelen van de condities van een Berichtenfilter zijn: (AND / OR / IF / else)
Berichtfilters maken
Eerst, geven wij de bevelfilters van CLI uit om de configuratiewijze van de Filters van het Bericht in te gaan. Dan zijn de opties:
- NIEUW: Deze optie is om te beginnen met het maken van een nieuw filter. Deze optie wordt gevolgd door de naam van het filter en vervolgens de syntaxis.
- VERWIJDEREN: Deze optie is om een bestaand filter te verwijderen naar behoefte. Na het uitgeven van dit bevel, kunt u de filternaam van opeenvolgingsaantal ingaan om te schrappen
- IMPORTEREN: u kunt een filtergerelateerd bestand importeren dat in de directory van het apparaat is opgeslagen.
- EXPORTEREN: met deze optie kan het bestand met de filters worden geëxporteerd en naar een andere bestemming worden geïmporteerd
- VERPLAATSEN: met deze optie kunt u de volgorde van een filter naar voorkeur wijzigen
- SET: Met deze optie kunnen we de status van een filter wijzigen van Actief naar Inactief en omgekeerd
- LIJST: Deze optie geeft alle filters weer die in de ESA aanwezig zijn
- DETAIL: Met deze optie kunnen we de componenten van het filter zien die zijn gemaakt, zoals de voorwaarden en de gedefinieerde acties.
- LOGCONFIG: Deze optie geeft de logbestandsnamen weer die zijn gemaakt voor berichtfilters met handelingen die als archief zijn gedefinieerd (‘mapnaam’)
- ROLLOVERNOW: Deze optie staat toe om alle logboeken huidig in de omslagen over te rollen die wegens de archiefactie die in berichtfilters wordt bepaald worden gemaakt
Filters kunnen worden gemaakt in alle modi van ESA zoals Cluster, Group of Machine Mode.
De criteria van de configuratievoorkeur waarin de ESA de filters op de e-mails zal toepassen zijn als volgt:
1st Voorkeur: Machine-modus
2e voorkeur: groepsmodus
3e voorkeur: clustermodus
Voor het maken van Berichtfilters hebben we een combinatie van syntax nodig om voorwaarden en acties te definiëren:
Voorbeeld:
if (recv-listener == 'InboundMail' or recv-int == 'notmain')
{
skip-filters();
}
else
{
quarantine(“Policy”);
}
.
De bovenstaande filter laat zien dat als de ontvangende luisteraar 'InboundMail' is OF de ontvangende interface 'niet belangrijk' is, de actie zal zijn om eventuele resterende berichtfilters over te slaan.
Als de voorwaarden niet overeenkomen, dan quarantaine aan Policy. Dit wordt achteraf gedefinieerd.
Handige tips
Soms kan de syntaxis die in Berichtfilters moet worden gebruikt verwarrend worden, maar een gemakkelijk referentiepunt voor hetzelfde kan zijn contentfilters.
We kunnen een Content Filter maken met voorwaarden en acties die we willen in het Berichtfilter. Nadat we het filter hebben ingediend, zien we op de volgende pagina 3 tabbladen bovenaan de filtersectie, namelijk:
Wanneer we op het tabblad Regels klikken, zal dat ons de syntaxis tonen die het filter gebruikt en hetzelfde kan worden gebruikt om Berichtfilters te maken. Dat is de eenvoudigste manier om de syntaxis voor filteromstandigheden volgens onze eis te beperken.
Reguliere expressie in berichtfilters
- Karaat (^): regels die het caretsymbool (^) bevatten, komen alleen overeen met het begin van de string.
Voorbeeld: ^I’m zal overeenkomen met I’m a engineer
- Dollarteken ($): Regels die het dollarteken ($) bevatten, komen alleen overeen met het einde van de string
Voorbeeld: .com$ komt overeen met google.com en yahoo.com
- Periodeteken (.): regels met een punt (.) komen overeen met elk teken (behalve een nieuwe regel).
Voorbeeld: De reguliere expressie ^...admin$ komt overeen met de string macadmin en de string sunadmin, maar niet met win32admin.
- Richtlijn sterretje (*): Regels die een sterretje (*) bevatten, komen overeen met "nul of meer overeenkomsten van de vorige richtlijn". Met name de reeks van een periode en een asterisk (.*) komen overeen met elke reeks tekens (die geen nieuwe regel bevatten).
Voorbeeld: De reguliere expressie ^P.*Piper$ komt overeen met al deze strings: Piper, Peter Piper, P.Piper
- Backslash speciale tekens (\): het backslash-teken ontsnapt aan speciale tekens. Aldus past de opeenvolging \. slechts een letterlijke periode aan, past de opeenvolging \$ slechts een letterlijk dollarteken aan, en de opeenvolging \^ past slechts een letterlijk caretsymbool aan.
Voorbeeld: De reguliere expressie ^ik\\.ac\\.uk$ komt alleen overeen met de tekenreeks ik.ac.uk
- Case-insensitivity ((?i)): Het token (?i) dat de rest van de reguliere expressie aangeeft, dient te worden behandeld in de case-insensitive mode.
Voorbeeld: De reguliere expressie (?i)cisco komt overeen met Cisco, Cisco en Cisco
- Of (|): de "of"-operator. Als A en B reguliere expressies zijn, komt de expressie "A|B" overeen met elke string die overeenkomt met "A" of "B".
Voorbeeld: de uitdrukking "foo|bar" komt overeen met foo of bar, maar niet met voetbalk.
Gerelateerde informatie
Cisco e-mail security applicatie – eindgebruikershandleiding