Einleitung
Es kann vorkommen, dass einige Spammer sehr große Nachrichten ohne Anhänge versenden, um den Anti-Spam-Scan zu umgehen. Wenn der Absender eine Nachricht senden kann, die größer ist als die maximale Größe des Anti-Spam-Scans der ESA-Anti-Spam-Engine, wird der Anti-Spam-Scan für diese Nachricht übersprungen. Zum Zeitpunkt der Erstellung dieses Artikels empfehlen wir nicht, die maximale Größe des Anti-Spam-Scans auf über 2 MB zu erhöhen, es sei denn, es wird etwas Anderes empfohlen. Daher können Nachrichten mit einer Größe von mehr als 2 MB Antispam in den meisten Fällen leicht umgehen.
In diesem Artikel wird ein Konzept erläutert, mit dem Sie mithilfe eines Nachrichtenfilters auf diese Arten von Nachrichten reagieren können.
Anforderungen
- Zugriff auf die E-Mail Security Appliance (ESA) über eine Kommandozeile
- Grundkenntnisse im Schreiben von Nachrichtenfiltern.
- Grundkenntnisse in regulären Ausdrücken (RegEx).
Erstellen des Nachrichtenfilters
In diesem Abschnitt erstellen wir den Nachrichtenfilter. Dieser Nachrichtenfilter vergleicht alle Nachrichten, die größer als 2 MB sind und keinen Anhang enthalten:
- Öffnen Sie einen Texteditor, und kopieren Sie den folgenden Nachrichtenfilter:
large_spam_no_attachment:
if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
Anmerkung: Sie müssen eine Policy, Virus and Outbreak (PVO)-Quarantäne erstellen, die mit dem Namen der Quarantäne übereinstimmt, die in der Quarantäneaktion des Nachrichtenfilters verwendet wird, damit der Nachrichtenfilter wie besehen funktioniert. Andernfalls müssen Sie einen anderen Aktionstyp verwenden. Nachdem diese PVO-Quarantäne erstellt und der Nachrichtenfilter auf die ESA angewendet wurde, empfehlen wir dringend, dass Sie die PVO-Quarantäne überwachen und die unter Quarantäne gestellten Nachrichten nach Bedarf freigeben oder löschen.
- Von hier aus können Sie diesen Nachrichtenfilter an Ihre spezifischen Anforderungen anpassen. Wenn beispielsweise die maximale Größe für den Anti-Spam-Scan auf 1 MB festgelegt ist, können Sie die Textgröße auf 1 MB reduzieren.
- Sie können auch festlegen, dass dieser Nachrichtenfilter nur für Nachrichten von einer bestimmten Absendergruppe oder einem Listener gilt. Im Folgenden finden Sie zwei weitere Beispiele, die für Ihre Zwecke nützlich sein könnten:
large_spam_no_attachment:
if (recv-listener == "IncomingMail") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
large_spam_no_attachment:
if (sendergroup != "RELAYLIST") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
- Wenn Sie weitere Änderungen vornehmen möchten, empfehle ich Ihnen, den Abschnitt "Nachrichtenfilter" im ESA-Benutzerhandbuch zu lesen. In einigen Abschnitten des Handbuchs finden Sie eine Liste der Bedingungen und Aktionen, die verwendet werden können.
Nachrichtenfilter auf die ESA anwenden
In diesem Abschnitt wenden wir den im vorherigen Abschnitt erstellten Nachrichtenfilter auf die ESA an. Nachrichtenfilter können nur über die Befehlszeile auf die ESA angewendet werden. Daher benötigen Sie Zugriff auf die ESA über eine Kommandozeile.
- Melden Sie sich über die Befehlszeile bei der ESA an.
- Führen Sie die folgenden hervorgehobenen Befehle aus, um den Nachrichtenfilter auf die ESA anzuwenden:
ironport.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- IMPORT - Import a filter script from a file.
[]> NEW
Enter filter script. Enter '.' on its own line to end.
large_spam_no_attachment:
if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
.
1 filters added.
- Hier können Sie den Nachrichtenfilter anzeigen und sicherstellen, dass er aktiv und gültig ist. Sie können dies tun, indem Sie die folgenden Befehle ausführen:
ironport.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> LIST
Num Active Valid Name
1 Y Y large_spam_no_attachment
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> DETAIL
Enter the filter name, number, or range:
[]> 1
Num Active Valid Name
1 Y Y large_spam_no_attachment
large_spam_no_attachment: if (body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
- Führen Sie den Befehl commit aus, und fügen Sie alle relevanten Commit-Kommentare hinzu:
ironport.example.com> commit
Please enter some comments describing your changes:
[]> Applied large_spam_no_attachment message filter
Zusätzliche Ressourcen
ESA - Benutzerhandbuch
Feedback