Filtros de conteúdo do ESA para mensagens de e-mail com vários anexos

Opções de download

  • PDF     (232.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (85.2 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (68.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:1 de julho de 2014
ID do documento:117821

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como as condições de filtro de conteúdo negativo funcionam para mensagens de e-mail que contêm vários anexos no Cisco Email Security Appliance (ESA).

Problema

Você usa um filtro de conteúdo que permite determinados tipos de anexos de e-mail, enquanto outros tipos de anexos devem ser marcados para quarentena. Quando chega uma mensagem de e-mail que tem vários anexos, um que deve ser permitido e outro que deve ser marcado para quarentena, o filtro identifica a mensagem inteira como permitida.

Aqui está o filtro de conteúdo usado:

if attachment filename != (list of attachments), then quarantine

Essa condição e ação funcionará como esperado se a mensagem de e-mail tiver um único anexo, mas não funcionará corretamente para mensagens que contenham vários anexos diferentes.

Cenário de exemplo

Estes são os tipos de anexos permitidos:

  • rar
  • pdf
  • jpg

Todos os outros anexos devem ser enviados para quarentena, conforme especificado pela condição e ação do filtro.

Condição de Filtro

Esta é a condição de filtro usada:

if attachment filename != (rar|pdf|jpg)

Ação de Filtro

Aqui está a ação de filtro que é usada:

quarantine

Normalmente, se a mensagem de e-mail contiver um anexo pdf e um anexo txt, ela deverá ser colocada em quarentena devido ao anexo txt, pois ele não está na lista de anexos permitidos. No entanto, esse filtro de conteúdo não funciona como esperado porque corresponde ao anexo pdf na mensagem e permite-o diretamente, mesmo que tenha um anexo txt.

Solução

Não é possível colocar o e-mail em quarentena com o anexo txt pelos seguintes motivos:

  • As condições de anexo são para todos os anexos incluídos em uma mensagem.
  • A comparação negativa != verifica se algum dos anexos corresponde.

Conforme descrito, se qualquer um dos anexos for permitido, como quando eles corresponderem a !=, a mensagem inteira será tratada como permitida. Não há maneira de contornar isto; é simplesmente a forma como estas condições funcionam.

A única outra solução é inverter a lógica e bloquear anexos específicos, e não apenas qualquer anexo que não esteja na lista branca.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
01-Jul-2014
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Enrico Werner
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos