Bloqueo de conjuntos de caracteres basados en tipos de contenido

Opciones de descarga

  • PDF     (619.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (381.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (418.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:11 de abril de 2017
ID del documento:200147

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo escribir y configurar un filtro para detectar y tomar medidas sobre los juegos de caracteres basados en el tipo de contenido en el dispositivo de seguridad Cisco Email Security Appliance (ESA). El siguiente documento se puede utilizar para detectar los caracteres basados en el idioma extranjero que se ven en los mensajes de spam.

Antecedentes

  

Los administradores ESA pueden recibir una afluencia de mensajes de correo que contengan idiomas extranjeros basados en caracteres que no sean correo legítimo para su compañía o dominio(s).  Una forma de abordar desde el ESA, tenemos tres opciones:

  1. Escriba un filtro para detectar el tipo de contenido.
  2. Escriba un filtro para hacer referencia a un diccionario basado en caracteres en un filtro.
  3. Escriba un filtro utilizando la condición Idioma del mensaje. (Esta opción es una nueva función para AsyncOS Email Security 10.0.0-203 y versiones posteriores.)

Bloqueo de conjuntos de caracteres basados en tipos de contenido

Escribir un filtro para detectar el tipo de contenido

La primera opción es que el administrador escriba y configure un filtro y lo asocie a una directiva de correo, según sea necesario.

Nota: Escribir y configurar este filtro como un filtro de mensajes puede ser costoso para analizar el cuerpo de los correos electrónicos en busca de los juegos de caracteres.

Nota: se recomienda encarecidamente configurar esta función como filtro de contenido, ya que los filtros de contenido se producen después del análisis antispam.  Sin embargo, se puede escribir y configurar como un filtro de mensajes, si es necesario.

En el ejemplo siguiente se tendrá en cuenta un mensaje de correo que contenga caracteres basados en ruso (cirílico) a través del conjunto de caracteres basado en Windows-1251.  Escrito como filtro de contenido:

200147-How-to-Block-Content-Type-Based-Characte-00.png

El correo electrónico de prueba utilizado incluirá lo siguiente en el cuerpo del correo electrónico:

Russian uses а, э, ы, у, o, я, е, ё, ю, и as vowels. You could create a message filter set to "Matches any of the following" that test whether "Body" "contains" "и", "Body" "contains" "ё" and so forth until you covered all of the vowels. Ssince English also uses "a" , "e" , "o", and "y" letters don't test for them. The reason for "Matches any of the following" is to logically OR them - you want the action to take place if any of those letters are found.

Con el filtro de contenido configurado como se indica anteriormente, los registros de correo registrarían datos similares a los siguientes:

Thu Sep 10 14:50:09 2015 Info: Start MID 164993 ICID 266729
Thu Sep 10 14:50:09 2015 Info: MID 164993 ICID 266729 From: <end_user@test.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 ICID 266729 RID 0 To: <recpient@my_co.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 using engine: SPF Verdict Cache using cached verdict
Thu Sep 10 14:50:09 2015 Info: MID 164993 Message-ID '<7A961F85-A5F1-413F-87CB-C31D2E5605EC@my_co.com>'
Thu Sep 10 14:50:09 2015 Info: MID 164993 Subject 'russian test'
Thu Sep 10 14:50:09 2015 Info: MID 164993 ready 2302 bytes from <end_user@test.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Sep 10 14:50:09 2015 Info: MID 164993 AMP file reputation verdict : CLEAN
Thu Sep 10 14:50:09 2015 Info: MID 164993 using engine: GRAYMAIL negative
Thu Sep 10 14:50:09 2015 Info: MID 164993 Custom Log Entry: <====== WINDOWS-1251 DETECTED ======>
Thu Sep 10 14:50:09 2015 Info: MID 164993 quarantined to "Policy" (content filter:russian_text)
Thu Sep 10 14:50:09 2015 Info: Message finished MID 164993 done

Se pueden utilizar otros idiomas y juegos de caracteres.  Consulte la sección Referencias para obtener más información.

Escribir un filtro para hacer referencia a un diccionario basado en caracteres

La segunda opción es agregar la lista de conjuntos de caracteres a un archivo de texto de diccionario y hacer referencia a eso en el filtro.

Ejemplo de adición de caracteres al diccionario:

200147-How-to-Block-Content-Type-Based-Characte-01.png

Los caracteres se asignan ahora al diccionario y se hace referencia al diccionario en los elementos de condición para el filtro:

200147-How-to-Block-Content-Type-Based-Characte-02.png

Con el mismo correo electrónico de prueba que el anterior, contiene lo siguiente en el cuerpo del correo electrónico:

Russian uses а, э, ы, у, o, я, е, ё, ю, и as vowels. You could create a message filter set to "Matches any of the following" that test whether "Body" "contains" "и", "Body" "contains" "ё" and so forth until you covered all of the vowels. Ssince English also uses "a" , "e" , "o", and "y" letters don't test for them. The reason for "Matches any of the following" is to logically OR them - you want the action to take place if any of those letters are found.

Con el filtro de contenido configurado como se indicó anteriormente mediante la condición de coincidencia de diccionario, los registros de correo registrarían algo similar a lo siguiente:

Thu Sep 10 15:26:08 2015 Info: Start MID 164995 ICID 266737
Thu Sep 10 15:26:08 2015 Info: MID 164995 ICID 266737 From: <end_user@test.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 ICID 266737 RID 0 To: <recpient@my_co.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 using engine: SPF Verdict Cache using cached verdict
Thu Sep 10 15:26:08 2015 Info: SPF Verdict Cache cache status: hits = 6, misses = 4, expires = 1, adds = 4, seconds saved = 0.50, total seconds = 0.85
Thu Sep 10 15:26:08 2015 Info: MID 164995 Message-ID '<BCC88307-EB91-476E-8732-334E9EE84EC8@my_co.com>'
Thu Sep 10 15:26:08 2015 Info: MID 164995 Subject 'russian test 3'
Thu Sep 10 15:26:08 2015 Info: MID 164995 ready 2316 bytes from <end_user@test.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Sep 10 15:26:08 2015 Info: MID 164995 AMP file reputation verdict : CLEAN
Thu Sep 10 15:26:08 2015 Info: MID 164995 using engine: GRAYMAIL negative
Thu Sep 10 15:26:08 2015 Info: MID 164995 Custom Log Entry: <====== WINDOWS-1251 DETECTED VIA DICTIONARY ======>
Thu Sep 10 15:26:08 2015 Info: MID 164995 quarantined to "Policy" (content filter:russian_text_2)
Thu Sep 10 15:26:08 2015 Info: Message finished MID 164995 done

Escribir un filtro de contenido con la condición "Idioma del mensaje"

La tercera opción es utilizar la condición de "idioma del mensaje". El ESA utiliza el motor de detección de idioma integrado para detectar el idioma de un mensaje. El dispositivo extrae el asunto y el cuerpo del mensaje y lo pasa al motor de detección de idioma.

El motor de detección de idioma determina la probabilidad de cada idioma del texto extraído y lo devuelve al dispositivo. El dispositivo considera el idioma con mayor probabilidad como el idioma del mensaje. El dispositivo considera que el idioma del mensaje es "indeterminado" en una de las situaciones siguientes:

  • Si el idioma detectado no es compatible con ESA
  • Si el dispositivo no puede detectar el idioma del mensaje
  • Si el tamaño total del texto extraído enviado al motor de detección de idioma es inferior a 50 bytes.

Nota: Esta opción es una nueva función para AsyncOS Email Security 10.0.0-203 y versiones posteriores.

En el ejemplo siguiente se tendrá en cuenta un mensaje de correo que contiene un juego de caracteres basado en chino/Taiwán.  Escrito como filtro de contenido:

200147-How-to-Block-Content-Type-Based-Characte-03.jpeg

Con el filtro de contenido configurado como se indica anteriormente, los registros de correo registrarían datos similares a los siguientes:

Tue Feb 28 06:53:18 2017 Info: Start MID 481 ICID 27
Tue Feb 28 06:53:18 2017 Info: MID 481 ICID 27 From: <end_user@test.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 ICID 27 RID 0 To: <recipient@my_co.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 Subject 'Chinese text test'
Tue Feb 28 06:53:18 2017 Info: MID 481 ready 1047 bytes from <end_user@test.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Feb 28 06:53:18 2017 Info: MID 481 interim verdict using engine: CASE spam negative
Tue Feb 28 06:53:18 2017 Info: MID 481 using engine: CASE spam negative
Tue Feb 28 06:53:18 2017 Info: MID 481 interim AV verdict using Sophos CLEAN
Tue Feb 28 06:53:18 2017 Info: MID 481 antivirus negative
Tue Feb 28 06:53:18 2017 Info: MID 481 using engine: GRAYMAIL negative
Tue Feb 28 06:53:18 2017 Info: MID 481 Message language: 'Chinese/Taiwan'
Tue Feb 28 06:53:18 2017 Info: MID 481 Custom Log Entry: <=========Chinese/Taiwan Language Detected=========>
Tue Feb 28 06:53:18 2017 Info: MID 481 Outbreak Filters: verdict negative
Tue Feb 28 06:53:18 2017 Info: MID 481 quarantined to "Policy" (content filter:Chinese_text)
Tue Feb 28 06:53:18 2017 Info: Message finished MID 481 done

  

Referencias

  • Microsoft proporciona nombres de conjuntos de caracteres (nombre de .NET) en su Identificadores de página de códigos a los que se puede hacer referencia al escribir y configurar filtros.

Nota: Las páginas de códigos ANSI pueden ser diferentes en los distintos equipos, o pueden cambiarse para un solo equipo, lo que puede dañar los datos. Para obtener los resultados más coherentes, las aplicaciones deben utilizar Unicode, como UTF-8 o UTF-16, en lugar de una página de códigos específica.

  • Mozillazina proporciona información detallada sobre el tipo de contenido: encabezado, letras extranjeras, palabras extranjeras, etc., en su artículo para Spam en otro idioma

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
10-Feb-2017
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos