Introdução
Este artigo aborda as práticas recomendadas e a implementação com relação aos filtros de mensagens no ESA (Email Security Appliance, dispositivo de segurança de e-mail). Os filtros de mensagens permitem a criação de regras especiais que descrevem como lidar com mensagens que satisfazem condições específicas à medida que são recebidas e processadas pelo ESA.
Pré-requisitos
- Conhecimento básico do funcionamento do filtro do SCE
- Familiaridade com a interface de linha de comando (CLI) no ESA
Vantagens do uso de filtros de mensagens
Há duas vantagens principais no uso de filtros de mensagens em relação aos filtros de conteúdo:
- Eles são aplicados às mensagens no início do pipeline de processamento da fila de trabalho. Devido a isso, podemos potencialmente salvar um grande número de recursos filtrando mensagens antes que qualquer mecanismo de varredura principal seja utilizado (por exemplo: antisspam, antivírus, AMP, etc.).
- Eles agirão no tráfego de entrada e de saída, enquanto para os filtros de conteúdo você precisaria criar um para entrada e outro para saída.
Além disso, há poucas condições que não estão disponíveis para serem configuradas usando Filtros de conteúdo, que podem ser feitas apenas através dos Filtros de mensagem.
Exemplo: se houver um requisito para definir condições com base no Sendergroup do ESA, essa opção estará disponível somente em Filtros de mensagem.
Observação: as ações de filtro de mensagens não finais são cumulativas. Se uma mensagem corresponder a vários filtros, onde cada filtro especificar uma ação diferente, todas as ações serão acumuladas e aplicadas. No entanto, se uma mensagem corresponder a vários filtros especificando a mesma ação, as ações anteriores serão substituídas e a ação de filtro final será aplicada.
Operações de filtros de mensagens
Quando o AsyncOS processa filtros de mensagens, o conteúdo que o AsyncOS verifica, a ordem do processamento e as ações tomadas são baseadas em vários fatores:
- Os filtros de mensagens são processados na ordem em que estão configurados (De cima para baixo, Ka primeiro para o último)
- Um filtro de Mensagem será processado no conteúdo da mensagem no momento em que atingir o filtro.
- Ao corresponder uma expressão regular, você configura uma "pontuação" para calcular o número de vezes que uma correspondência deve ocorrer antes que uma ação de filtro seja executada. Isso permite "ponderar" as respostas com termos diferentes.
- As principais alternativas nas condições de vinculação de um filtro de mensagens são: (AND / OR / IF / ELSE)
Criando filtros de mensagens
Primeiro, emitimos o comando filters da CLI para entrar no modo de configuração de Filtros de Mensagem. Em seguida, as opções são:
- NEW: Esta opção é para iniciar a criação de um novo filtro. Essa seleção de opção é seguida pelo nome do filtro e, em seguida, pela sintaxe.
- DELETE: Esta opção é para deletar um filtro existente de acordo com a necessidade. Depois de emitir esse comando, você pode digitar o nome do filtro do número de sequência a ser excluído
- IMPORT: você pode importar um arquivo relacionado a filtros salvo no diretório do equipamento.
- EXPORT: Esta opção permite exportar o arquivo relacionado aos filtros, para ser importado para outro destino
- MOVE: Esta opção permite modificar a ordem de um filtro de acordo com a preferência
- SET: Esta opção nos permite alterar o status de um filtro de Ativo para Inativo e vice-versa
- LIST: Esta opção exibirá todos os filtros criados presentes no ESA
- DETAIL: Esta opção permite ver os componentes do filtro criado, como as condições e as ações definidas.
- LOGCONFIG: Esta opção exibe os nomes de arquivo de log criados para filtros de mensagem que tinham ações definidas como um arquivo (‘nome da pasta")
- ROLLOVERNOW: esta opção permite rolar por todos os logs presentes nas pastas que são criadas devido à ação de arquivamento definida nos filtros de mensagem
Os filtros podem ser criados em todos os modos do ESA, como o modo Cluster, Group ou Machine.
Os critérios de preferência de configuração em que o ESA aplicará os filtros aos e-mails serão os seguintes:
1ª preferência: modo máquina
2ª preferência: Modo de grupo
3ª preferência: modo cluster
Para criar filtros de mensagens, precisamos de uma combinação de sintaxe para definir condições e ações:
Exemplo:
if (recv-listener == 'InboundMail' or recv-int == 'notmain')
{
skip-filters();
}
else
{
quarantine(“Policy”);
}
.
O filtro acima representa que se o ouvinte receptor for 'InboundMail' OU se a interface de recebimento for 'notmain' então a ação será ignorar quaisquer filtros de mensagem restantes.
Se as condições não corresponderem, coloque em quarentena com a Política. Isso é definido depois de else.
Dicas úteis
Às vezes, a sintaxe a ser usada em Filtros de mensagens pode ficar confusa, mas um ponto de referência fácil para o mesmo poderia ser Filtros de conteúdo.
Podemos criar um filtro de conteúdo com condições e ações que desejamos no filtro de mensagens. Depois de enviar o filtro, na próxima página, veremos 3 guias na parte superior da seção de filtros, ou seja:
Quando clicamos na guia Regras, isso nos mostra a sintaxe que o filtro usa e a mesma pode ser usada para criar filtros de mensagens. Essa é a maneira mais simples de restringir a sintaxe para condições de filtro de acordo com nosso requisito.
Expressão Regular Usada em Filtros de Mensagem
- Quilate (^): as regras que contêm o símbolo de acento circunflexo (^) correspondem apenas ao início da string.
Exemplo: ^Eu sou o mesmo que um engenheiro
- Sinal de dólar ($): as regras que contêm o caractere de cifrão ($) só correspondem ao final da string
Exemplo: .com$ corresponderá a google.com e yahoo.com
- Caractere de ponto (.): as regras que contêm um caractere de ponto (.) correspondem a qualquer caractere (exceto uma nova linha).
Exemplo: A expressão regular ^...admin$ corresponde à string macadmin, bem como a string sunadmin, mas não win32admin.
- Diretiva de asterisco (*): as regras que contêm um asterisco (*) correspondem a "zero ou mais correspondências da diretiva anterior". Em particular, a sequência de um ponto e um asterisco (.*) correspondem a qualquer sequência de caracteres (que não contenha uma nova linha).
Exemplo: a expressão regular ^P.*Piper$ corresponde a todas estas cadeias de caracteres: Piper, Peter Piper, P.Piper
- Caracteres especiais de barra invertida (\): o caractere de barra invertida escapa de caracteres especiais. Assim, a sequência \. corresponde apenas a um período literal, a sequência \$ corresponde apenas a um sinal de cifrão literal e a sequência \^ corresponde apenas a um símbolo de acento circunflexo literal.
Exemplo: a expressão regular ^ik\\.ac\\.uk$ só corresponde à cadeia ik.ac.uk
- Não diferencia maiúsculas de minúsculas (?i): O token (?i) que indica o restante da expressão regular deve ser tratado no modo não diferencia maiúsculas de minúsculas.
Exemplo: a expressão regular (?i)cisco corresponde a Cisco, CISCO e cisco
- Ou (|): O operador "ou". Se A e B forem expressões regulares, a expressão "A|B" corresponderá a qualquer cadeia de caracteres que corresponda a "A" ou "B".
Exemplo: a expressão "foo|bar" corresponderá a foo ou bar, mas não a foobar.
Informações Relacionadas
Cisco Email Security Appliance – Guias do usuário final