簡介
本文介紹有關郵件安全裝置(ESA)上的郵件過濾器的最佳實踐和實施。報文過濾器允許建立特殊規則,描述如何處理在ESA接收和處理符合特定條件的報文。
必要條件
- 對ESA過濾器操作有基本的瞭解
- 熟悉ESA上的命令列介面(CLI)
使用郵件過濾器的優點
與內容過濾器相比,使用郵件過濾器有兩個主要優勢:
- 它們會套用至接近工作隊列處理管線開頭的訊息。因此,我們有可能在使用任何主要掃描引擎(例如:反垃圾郵件、防病毒、AMP等)之前過濾郵件,從而節省大量資源。
- 它們將對傳入和傳出流量執行操作,而對於內容過濾器,您需要為傳入和傳出建立一個過濾器。
此外,還有一些條件無法使用內容過濾器進行配置,而內容過濾器只能透過郵件過濾器完成。
示例:如果要求根據ESA的Sendergroup定義條件,則該選項僅在「消息過濾器」中可用。
注意:非最終郵件過濾器操作是累積性的。如果郵件與多個過濾器匹配,其中每個過濾器指定不同的操作,則所有操作都會累積並執行。但是,如果一條消息與指定相同操作的多個過濾器匹配,則會覆蓋先前的操作並強制執行最終的過濾器操作。
郵件過濾器的操作
當AsyncOS處理消息過濾器時,AsyncOS掃描的內容、處理順序和所採取的操作基於以下幾個因素:
- 郵件過濾器按配置順序進行處理(從上到下,從第一個到最後一個)
- 當郵件內容到達過濾器時,將對郵件內容處理郵件過濾器。
- 當匹配正規表示式時,可以配置「分數」以計算在執行過濾器操作之前必須匹配的時間。這可以讓您對不同術語的響應「權衡」。
- 郵件過濾器連結條件中的主要替代項為: (AND / OR / IF / ELSE)
建立郵件篩選
首先,我們從CLI發出filters命令以進入消息過濾器的配置模式。然後選項為:
- 新建:此選項用於開始建立新過濾器。選取此選項後,會接著顯示「篩選名稱」,然後是語法。
- DELETE:此選項可根據需要刪除現有篩選器。發出此命令後,您可以輸入要刪除的序列號過濾器名稱
- IMPORT:您可以導入儲存在裝置目錄中的過濾器相關檔案。
- EXPORT:此選項允許導出過濾器的相關檔案,以便導入到其他目標
- MOVE:此選項可讓您根據偏好設定修改篩選器的順序
- SET:此選項允許我們將過濾器的狀態從「活動」更改為「非活動」,反之亦然
- LIST:此選項將顯示ESA中存在的所有已建立的過濾器
- DETAIL:此選項可讓我們檢視所建立的過濾器的元件,例如條件和定義的操作。
- LOGCONFIG:此選項顯示為郵件過濾器建立的日誌檔名稱,這些郵件過濾器的操作被定義為存檔(「資料夾名稱」)
- ROLLOVERNOW:此選項可覆蓋資料夾中所有由於郵件過濾器中定義的存檔操作而建立的日誌
過濾器可以在ESA的所有模式(如集群、組或電腦)下建立。
ESA對電子郵件應用過濾器的配置首選項標準如下所示:
第1個首選項:電腦模式
第2個偏好設定:群組模式
第三方案偏好設定:叢集模式
要建立郵件過濾器,我們需要組合使用多種語法來定義條件和操作(例如,IPsec和IPsec):
範例:
if (recv-listener == 'InboundMail' or recv-int == 'notmain')
{
skip-filters();
}
else
{
quarantine(“Policy”);
}
.
上面的過濾器說明,如果接收偵聽程式為「InboundMail」或接收介面為「notmain」,則操作是跳過任何剩餘郵件過濾器。
如果條件不匹配,則隔離至策略。此值定義在其他值之後。
實用提示
有時,在郵件過濾器中使用的語法可能會令人困惑,但內容過濾器可能是同樣的簡單參考點。
我們可以使用在「郵件過濾器」中所需的條件和操作建立內容過濾器。提交篩選後,在下一頁中,我們會在篩選區段頂端看到3個標籤,即:
當我們按一下Rules頁籤時,該頁籤將顯示過濾器使用的語法,並且可以使用相同內容建立郵件過濾器。這是根據我們的要求縮小篩選條件語法範圍的最簡單方法。
在郵件過濾器中使用的正規表示式
- Carat (^):包含脫字元符號(^)的規則只與字串的開頭匹配。
範例: ^我會和我是工程師一樣
- 貨幣符號($):包含貨幣符號字元($)的規則僅與字串的結尾相符
示例: .com$將匹配google.com和yahoo.com
- 句點字元(.):包含句點字元(.)的規則會比對任何字元(新行除外)。
示例:正規表示式^...admin$與字串macadmin以及字串sunadmin匹配,但不與win32admin匹配。
- 星號(*)指令:包含星號(*)的規則與「零個或多個先前指令的符合項」相符。 特別是,句號與星號(.*)的序列會比對任何字元序列(不包含新行)。
示例:正規表示式^P.*Piper$匹配以下所有字串:Piper、Peter Piper、P.Piper
- 反斜線特殊字元(\):反斜線字元會轉義特殊字元。因此,序列\.只匹配文本句點,序列\$只匹配文本貨幣符號,序列\^只匹配文本脫字元號。
示例:正規表示式^ik\\.ac\\.uk$只與字串ik.ac.uk匹配
- 不區分大小寫((?i)):表示規則運算式其餘部分的語彙基元(?i)應視為不區分大小寫模式。
示例:正規表示式(?i)cisco匹配Cisco、CISCO以及cisco
- 或(|):「或」運算子。如果A和B是規則運算式,運算式「A|B」將會比對任何符合「A」或「B」的字串。
範例:運算式「foo|bar」將符合foo或bar,但不符合foobar。
相關資訊
Cisco郵件安全裝置-最終使用手冊