Arbeiten mit Nachrichtenfiltern

Einleitung

In diesem Artikel werden die Best Practices und die Implementierung in Bezug auf Nachrichtenfilter auf der E-Mail Security Appliance (ESA) beschrieben. Nachrichtenfilter ermöglichen die Erstellung spezieller Regeln für den Umgang mit Nachrichten, die bestimmte Bedingungen erfüllen, wenn sie von der ESA empfangen und verarbeitet werden. 

Voraussetzungen

• Grundlegendes Verständnis des Betriebs des ESA-Filters
• Vertrautheit mit der Kommandozeile auf der ESA

Vorteile von Nachrichtenfiltern

Es gibt zwei wesentliche Vorteile der Verwendung von Nachrichtenfiltern gegenüber Inhaltsfiltern:

1. Sie werden auf Nachrichten am Anfang der Pipeline für die Verarbeitung der Arbeitswarteschlange angewendet. Daher können wir möglicherweise eine große Anzahl von Ressourcen sparen, indem wir Nachrichten filtern, bevor größere Scan-Engines verwendet werden (z. B. Anti-Spam, Anti-Virus, AMP usw.).
2. Sie werden sowohl für eingehenden als auch für ausgehenden Datenverkehr entsprechende Maßnahmen ergreifen, während Sie für Content-Filter einen für eingehenden und einen für ausgehenden Datenverkehr erstellen müssen. 

Außerdem gibt es nur wenige Bedingungen, die nicht für die Konfiguration mithilfe von Content-Filtern verfügbar sind, die nur über Message-Filter durchgeführt werden können.

Beispiel: Wenn Bedingungen basierend auf der Absendergruppe der ESA definiert werden müssen, steht diese Option nur in den Nachrichtenfiltern zur Verfügung.

Hinweis: Nicht endgültige Nachrichtenfilteraktionen sind kumulativ. Wenn eine Nachricht mit mehreren Filtern übereinstimmt, bei denen jeder Filter eine andere Aktion angibt, werden alle Aktionen gesammelt und erzwungen. Wenn eine Nachricht jedoch mit mehreren Filtern übereinstimmt, die dieselbe Aktion angeben, werden die vorherigen Aktionen überschrieben, und die letzte Filteraktion wird erzwungen.

Betrieb der Nachrichtenfilter

Bei der Verarbeitung von Nachrichtenfiltern durch AsyncOS basieren der von AsyncOS gescannte Inhalt, die Reihenfolge der Verarbeitung und die durchgeführten Aktionen auf mehreren Faktoren:

• Nachrichtenfilter werden in der Reihenfolge verarbeitet, in der sie konfiguriert sind (Top-to-Bottom a First-to-Last)
• Ein Nachrichtenfilter wird für den Nachrichteninhalt verarbeitet, wenn er den Filter erreicht.
• Wenn Sie einen regulären Ausdruck zuordnen, konfigurieren Sie eine "Punktzahl", um die Anzahl der Übereinstimmungen anzugeben, die vor einer Filteraktion durchgeführt werden müssen. Auf diese Weise können Sie die Antworten auf unterschiedliche Begriffe "abwägen".
• Die wichtigsten Alternativen in den Verknüpfungsbedingungen eines Nachrichtenfilters sind: (AND / OR / IF / ELSE)

Nachrichtenfilter erstellen

Zuerst geben wir die Befehlsfilter aus der CLI ein, um in den Konfigurationsmodus der Nachrichtenfilter zu wechseln. Die folgenden Optionen stehen zur Verfügung:

• NEU: Mit dieser Option wird die Erstellung eines neuen Filters gestartet. Nach dieser Optionsauswahl folgen der Name des Filters und die Syntax.

• LÖSCHEN: Mit dieser Option wird ein vorhandener Filter nach Bedarf gelöscht. Nach Ausführung dieses Befehls können Sie den zu löschenden Filternamen der Sequenznummer eingeben.

• IMPORT: Sie können eine mit Filtern verknüpfte Datei importieren, die im Appliance-Verzeichnis gespeichert ist.

• EXPORT: Mit dieser Option können Sie die mit dem Filter verknüpfte Datei exportieren, um sie in ein anderes Ziel zu importieren.

• VERSCHIEBEN: Mit dieser Option kann die Filterreihenfolge nach Präferenz geändert werden.

• SET: Mit dieser Option können Sie den Status eines Filters von "Aktiv" in "Inaktiv" und umgekehrt ändern.

• LIST: Mit dieser Option werden alle in der ESA erstellten Filter angezeigt.

• DETAIL: Mit dieser Option können Sie die Komponenten des erstellten Filters anzeigen, z. B. die Bedingungen und die definierten Aktionen.

• LOGCONFIG: Mit dieser Option werden die Protokolldateinamen angezeigt, die für Nachrichtenfilter mit als Archiv definierten Aktionen erstellt wurden ("Ordnername").

• ROLLOVERNOW: Diese Option ermöglicht das Rollover aller Protokolle in den Ordnern, die aufgrund der in Nachrichtenfiltern definierten Archivaktion erstellt werden.

Filter können in allen Modi der ESA erstellt werden, z. B. im Cluster-, Gruppen- oder Computer-Modus.

Die Konfigurationsvoreinstellungen, nach denen die ESA die Filter auf die E-Mails anwendet, lauten wie folgt:

1^. Voreinstellung: Maschinenmodus

2^. Voreinstellung: Gruppenmodus

3^. Voreinstellung: Cluster-Modus

Für die Erstellung von Nachrichtenfiltern benötigen wir eine Kombination von Syntax, um Bedingungen und Aktionen zu definieren:

Beispiel:

if (recv-listener == 'InboundMail' or recv-int == 'notmain')

{

skip-filters();

}

else

{

quarantine(“Policy”);

}

.

Der obige Filter zeigt an, dass, wenn der empfangende Listener 'InboundMail' ist ODER die empfangende Schnittstelle 'not main' ist, die Aktion darin besteht, alle verbleibenden Nachrichtenfilter zu überspringen.

Stimmen die Bedingungen nicht überein, setzen Sie die Quarantäne in die Richtlinie. Dies wird nach "else" definiert. 

Nützliche Tipps

Manchmal kann die in den Nachrichtenfiltern zu verwendende Syntax verwirrend sein, aber ein einfacher Bezugspunkt für dasselbe könnte der Inhaltsfilter sein.

Wir können einen Content-Filter mit Bedingungen und Aktionen erstellen, die im Message-Filter angezeigt werden sollen. Nachdem wir den Filter gesendet haben, werden auf der nächsten Seite drei Registerkarten oben im Filterabschnitt angezeigt:

• Beschreibung

• Regeln

• Richtlinien

Wenn wir auf die Registerkarte Regeln klicken, wird uns die Syntax angezeigt, die der Filter verwendet, und die gleiche kann verwendet werden, um Nachrichtenfilter zu erstellen. Dies ist der einfachste Weg, die Syntax für Filterbedingungen gemäß unserer Anforderung einzugrenzen.

Regulärer Ausdruck in Nachrichtenfiltern

• Carat (^): Regeln, die das Caretsymbol (^) enthalten, stimmen nur mit dem Anfang der Zeichenfolge überein.

Beispiel: ^I'm entspricht I'm an engineer

• Dollarzeichen ($): Regeln, die das Dollarzeichen ($) enthalten, stimmen nur mit dem Ende der Zeichenfolge überein.

Beispiel: .com$ entspricht google.com und yahoo.com

• Periodenzeichen (.): Regeln, die ein Periodenzeichen (.) enthalten, stimmen mit beliebigen Zeichen überein (mit Ausnahme einer neuen Zeile).

Beispiel: Der reguläre Ausdruck ^...admin$ stimmt mit der Zeichenfolge macadmin sowie der Zeichenfolge sunadmin überein, aber nicht win32admin.

• Asterisk (*)-Direktive: Regeln, die ein Sternchen (*) enthalten, entsprechen "null oder mehr Übereinstimmungen der vorherigen Direktive". Insbesondere stimmt die Abfolge eines Punktes und eines Sternchens (.*) mit einer beliebigen Abfolge von Zeichen überein (die keine neue Zeile enthält).

Beispiel: Der reguläre Ausdruck ^P.*Piper$ stimmt mit allen folgenden Zeichenfolgen überein: Piper, Peter Piper, P.Piper

• Backslash-Sonderzeichen (\): Der Backslash escapt Sonderzeichen. Die Sequenz \. stimmt also nur mit einem literalen Punkt überein, die Sequenz \$ stimmt nur mit einem literalen Dollarzeichen überein und die Sequenz \^ stimmt nur mit einem literalen Caretsymbol überein.

Beispiel: Der reguläre Ausdruck ^ik\\.ac\\.uk$ stimmt nur mit der Zeichenfolge ik.ac.uk überein.

• Groß-/Kleinschreibungsunempfindlichkeit (?i): Das Token (?i), das den Rest des regulären Ausdrucks angibt, sollte im Modus ohne Berücksichtigung der Groß-/Kleinschreibung behandelt werden.

Beispiel: Der reguläre Ausdruck (?i)cisco stimmt mit Cisco, CISCO und cisco überein.

• Oder (|): Der Operator "oder". Wenn A und B reguläre Ausdrücke sind, stimmt der Ausdruck "A|B" mit jeder Zeichenfolge überein, die entweder mit "A" oder "B" übereinstimmt.

Beispiel: Der Ausdruck "foo|bar" entspricht entweder foo oder bar, aber nicht foobar.

Zugehörige Informationen

Cisco Email Security Appliance – Endbenutzerhandbücher