Segurança : Cisco Email Security Appliance

Há uma condição do filtro que combina no tamanho do arquivo de únicos acessórios em vez do tamanho de mensagem?

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve uma solução para combinar no tamanho do arquivo do acessório em uma condição do filtro.

Contribuído por engenheiros de TAC da Cisco.

Há uma condição do filtro que combina no tamanho do arquivo de únicos acessórios em vez do tamanho de mensagem?

Na ferramenta de segurança do email de Cisco (ESA), não há nenhuma opção em filtros da mensagem ou os filtros satisfeitos a combinar no tamanho do arquivo do acessório em um filtro condicionam. A condição relativa único tamanho é a condição do tamanho de mensagem, que está tomando o tamanho do mensagem completa na consideração.

A solução é utilizar a variável de ação $filesizes, que contém uma lista separada vírgula do tamanho do arquivo de todos os acessórios contidos em uma mensagem. Se um X-encabeçamento é adicionado à mensagem com o valor de $filesizes então uma expressão regular (RegEx) pode ser construída para combinar se alguns dos números contidos (tamanhos do arquivo) excedem algum valor.

O exemplo abaixo mostra a instalação de um filtro satisfeito que deixe cair uma mensagem se o tamanho dos acessórios iguala a ou excede 10000 bytes:

  1. Crie um filtro satisfeito para adicionar o valor da variável de ação “$filesizes” em um X-encabeçamento:

  2. Crie um outro filtro satisfeito para combinar nos tamanhos do arquivo contidos no X-encabeçamento novo, e deixe cair a mensagem se alguns dos iguais dos arquivos a ou excedem 10000 bytes:

  3. Permita os dois filtros satisfeitos novos em todas as políticas relevantes do correio na ordem acima mostrada.

Nota: A variável de ação $filesizes é o número de bytes do acessório, isto não é relacionada à condição do tamanho de mensagem. Igualmente "[1-9][0-9]{4,}" é uma expressão regular a combinar em todos os números de 10000 e ascendente. Se um outro limite é precisado, a expressão deve ser alterada em conformidade. Por exemplo:

    => 20000 do tamanho: [2-9][0-9]{4,}
    => 25000 do tamanho: (2[5-9][0-9]{3}|[3-9][0-9]{4,})

Informações Relacionadas



Document ID: 118558