Arbeiten mit Nachrichtenfiltern

Download-Optionen

  • PDF     (420.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (304.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (142.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:28. Februar 2020
Dokument-ID:215301

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Artikel werden die Best Practices und die Implementierung in Bezug auf Nachrichtenfilter auf der E-Mail Security Appliance (ESA) beschrieben. Nachrichtenfilter ermöglichen die Erstellung spezieller Regeln für den Umgang mit Nachrichten, die bestimmte Bedingungen erfüllen, wenn sie von der ESA empfangen und verarbeitet werden. 

Voraussetzungen

  • Grundlegendes Verständnis des Betriebs des ESA-Filters
  • Vertrautheit mit der Kommandozeile auf der ESA

Vorteile von Nachrichtenfiltern

Es gibt zwei wesentliche Vorteile der Verwendung von Nachrichtenfiltern gegenüber Inhaltsfiltern:

  1. Sie werden auf Nachrichten am Anfang der Pipeline für die Verarbeitung der Arbeitswarteschlange angewendet. Daher können wir potenziell eine große Anzahl von Ressourcen sparen, indem wir Nachrichten filtern, bevor größere Scan-Engines verwendet werden (dh: Anti-Spam, Anti-Virus, AMP usw.).
  2. Sie werden sowohl für eingehenden als auch für ausgehenden Datenverkehr entsprechende Maßnahmen ergreifen, während Sie für Content-Filter einen für eingehenden und einen für ausgehenden Datenverkehr erstellen müssen. 


Außerdem gibt es nur wenige Bedingungen, die nicht für die Konfiguration mithilfe von Content-Filtern verfügbar sind, die nur über Message-Filter durchgeführt werden können.

Beispiel: Wenn Bedingungen basierend auf der Absendergruppe der ESA definiert werden müssen, steht diese Option nur in den Nachrichtenfiltern zur Verfügung.

Anmerkung: Nicht endgültige Nachrichtenfilteraktionen sind kumulativ. Wenn eine Nachricht mit mehreren Filtern übereinstimmt, bei denen jeder Filter eine andere Aktion angibt, werden alle Aktionen gesammelt und erzwungen. Wenn eine Nachricht jedoch mit mehreren Filtern übereinstimmt, die dieselbe Aktion angeben, werden die vorherigen Aktionen überschrieben, und die letzte Filteraktion wird erzwungen.

Betrieb der Nachrichtenfilter

Bei der Verarbeitung von Nachrichtenfiltern durch AsyncOS basieren der von AsyncOS gescannte Inhalt, die Reihenfolge der Verarbeitung und die durchgeführten Aktionen auf mehreren Faktoren:

  • Nachrichtenfilter werden in der Reihenfolge verarbeitet, in der sie konfiguriert sind (Top-to-Bottom a First-to-Last)
  • Ein Nachrichtenfilter wird für den Nachrichteninhalt verarbeitet, wenn er den Filter erreicht.
  • Wenn Sie einen regulären Ausdruck zuordnen, konfigurieren Sie eine "Punktzahl", um die Anzahl der Übereinstimmungen anzugeben, die vor einer Filteraktion durchgeführt werden müssen. Auf diese Weise können Sie die Antworten auf unterschiedliche Begriffe "abwägen".
  • Die wichtigsten Alternativen in den Verknüpfungsbedingungen eines Nachrichtenfilters sind: (UND/ODER/WENN/ANDERS)

Nachrichtenfilter erstellen

Zuerst geben wir die Befehlsfilter aus der CLI ein, um in den Konfigurationsmodus der Nachrichtenfilter zu wechseln. Die folgenden Optionen stehen zur Verfügung:

  • NEU: Mit dieser Option wird die Erstellung eines neuen Filters gestartet. Nach dieser Optionsauswahl folgen der Name des Filters und die Syntax.
  • LÖSCHEN: Mit dieser Option können Sie einen vorhandenen Filter nach Bedarf löschen. Nach Ausführung dieses Befehls können Sie den zu löschenden Filternamen der Sequenznummer eingeben.
  • IMPORT: Sie können eine mit Filtern verknüpfte Datei importieren, die im Appliance-Verzeichnis gespeichert ist.
  • EXPORT: Mit dieser Option können Sie die zugehörige Datei der Filter exportieren, um sie in ein anderes Ziel zu importieren.
  • VERSCHIEBEN: Mit dieser Option können Sie die Filterreihenfolge nach Präferenz ändern.
  • FESTLEGEN: Mit dieser Option können Sie den Status eines Filters von "Aktiv" in "Inaktiv" und umgekehrt ändern.
  • LISTE: Mit dieser Option werden alle erstellten Filter angezeigt, die in der ESA vorhanden sind
  • DETAILS: Mit dieser Option können Sie die Komponenten des erstellten Filters anzeigen, z. B. die Bedingungen und die definierten Aktionen.
  • LOGCONFIG: Diese Option zeigt die Protokolldateinamen an, die für Nachrichtenfilter erstellt wurden, für die Aktionen als Archiv definiert wurden ("Ordnername").
  • ROLLOVERNOW: Diese Option ermöglicht das Rollover aller Protokolle in den Ordnern, die aufgrund der in den Nachrichtenfiltern definierten Archivaktion erstellt werden.

Filter können in allen Modi der ESA erstellt werden, z. B. im Cluster-, Gruppen- oder Computer-Modus.

Die Konfigurationsvoreinstellungen, nach denen die ESA die Filter auf die E-Mails anwendet, lauten wie folgt:

1. Präferenz: Maschinenmodus

2. Präferenz: Gruppenmodus

3. Präferenz: Cluster-Modus

Für die Erstellung von Nachrichtenfiltern benötigen wir eine Kombination von Syntax, um Bedingungen und Aktionen zu definieren:

Beispiel:

if (recv-listener == 'InboundMail' or recv-int == 'notmain')

{

skip-filters();

}

else

{

quarantine(“Policy”);

}

.

Der obige Filter zeigt an, dass, wenn der empfangende Listener 'InboundMail' ist ODER die empfangende Schnittstelle 'not main' ist, die Aktion darin besteht, alle verbleibenden Nachrichtenfilter zu überspringen.

Stimmen die Bedingungen nicht überein, setzen Sie die Quarantäne in die Richtlinie. Dies wird nach "else" definiert. 

Nützliche Tipps

Manchmal kann die in den Nachrichtenfiltern zu verwendende Syntax verwirrend sein, aber ein einfacher Bezugspunkt für dasselbe könnte der Inhaltsfilter sein.

Wir können einen Content-Filter mit Bedingungen und Aktionen erstellen, die im Message-Filter angezeigt werden sollen. Nachdem wir den Filter gesendet haben, werden auf der nächsten Seite drei Registerkarten oben im Filterabschnitt angezeigt:

  • Beschreibung
  • Regeln
  • Richtlinien

Wenn wir auf die Registerkarte Regeln klicken, wird uns die Syntax angezeigt, die der Filter verwendet, und die gleiche kann verwendet werden, um Nachrichtenfilter zu erstellen. Dies ist der einfachste Weg, die Syntax für Filterbedingungen gemäß unserer Anforderung einzugrenzen.

Regulärer Ausdruck in Nachrichtenfiltern

  • Carat (^): -Regeln, die das Caretsymbol (^) enthalten, nur mit dem Anfang der Zeichenfolge übereinstimmen.

Beispiel: ^Ich bin auch Ingenieur

  • Dollarzeichen ($): Regeln mit dem Dollarzeichen ($) stimmen nur mit dem Ende der Zeichenfolge überein.

Beispiel: .com$ entspricht google.com sowie yahoo.com

  • Punkt (.): Regeln, die ein Punkt-Zeichen (.) enthalten, stimmen mit beliebigen Zeichen überein (mit Ausnahme einer neuen Zeile).

Beispiel: Der reguläre Ausdruck ^...admin$ entspricht der Zeichenfolge macadmin sowie der Zeichenfolge sunadmin, aber nicht win32admin.

  • Asterisk (*)-Richtlinie: Regeln, die ein Sternchen (*) enthalten, entsprechen "null oder mehr Übereinstimmungen der vorherigen Direktive". Insbesondere stimmt die Abfolge eines Punktes und eines Sternchens (.*) mit einer beliebigen Abfolge von Zeichen überein (die keine neue Zeile enthält).

Beispiel: Der reguläre Ausdruck ^P.*Piper$ stimmt mit allen folgenden Zeichenfolgen überein: Piper, Peter Piper, P.Piper

  • Backslash-Sonderzeichen (\): Der umgekehrte Schrägstrich hinterlässt Sonderzeichen mit Escapezeichen. Die Sequenz \. stimmt also nur mit einem literalen Punkt überein, die Sequenz \$ stimmt nur mit einem literalen Dollarzeichen überein und die Sequenz \^ stimmt nur mit einem literalen Caretsymbol überein.

Beispiel: Der reguläre Ausdruck ^ik\\.ac\\.uk$ entspricht nur der Zeichenfolge ik.ac.uk

  • Groß-/Kleinschreibung (?i): Das Token (?i), das den Rest des regulären Ausdrucks angibt, sollte im Modus ohne Berücksichtigung der Groß-/Kleinschreibung behandelt werden.

Beispiel: Der reguläre Ausdruck (?i)cisco entspricht Cisco, CISCO und cisco

  • oder (|): Der Operator "or". Wenn A und B reguläre Ausdrücke sind, stimmt der Ausdruck "A|B" mit jeder Zeichenfolge überein, die entweder mit "A" oder "B" übereinstimmt.

Beispiel:  Der Ausdruck "foo|bar" entspricht entweder foo oder bar, aber nicht foobar.

Zugehörige Informationen

Cisco Email Security Appliance – Endbenutzerhandbücher

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
28-Feb-2020
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Partha Chakraborty
    Cisco CX Engineer
  • Dennis McCabe Jr
    Cisco CX Engineer

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.