ESA: uso de un filtro de mensajes para realizar acciones en mensajes grandes sin archivos adjuntos

Opciones de descarga

  • PDF     (254.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (87.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (75.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:1 de agosto de 2018
ID del documento:213940

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Es posible que ciertos spammers envíen mensajes muy grandes sin archivos adjuntos para pasar el análisis antispam. Si pueden enviar un mensaje cuyo tamaño es mayor que el tamaño máximo de análisis antispam del motor antispam ESA, se omitirá el análisis antispam para ese mensaje. En el momento de escribir este artículo, no recomendamos aumentar el tamaño máximo de escaneo antispam por encima de 2 MB a menos que se recomiende lo contrario. Debido a eso, los mensajes de más de 2MB de tamaño pueden fácilmente eludir el antispam en la mayoría de los casos.

En este artículo se explica un concepto para realizar acciones en estos tipos de mensajes mediante el uso de un filtro de mensajes.

Requirements

  1. Acceso desde la línea de comandos al dispositivo de seguridad Email Security Appliance (ESA).
  2. Conocimientos básicos sobre cómo escribir filtros de mensajes.
  3. Conocimiento básico de Expresión Regular (RegEx).

Creación del filtro de mensajes

En esta sección, vamos a crear el filtro de mensajes. Este filtro de mensajes coincidirá con todos los mensajes cuyo tamaño supere los 2 MB y que no contengan datos adjuntos:

  1. Abra un editor de texto y copie/pegue el siguiente filtro de mensajes:
    large_spam_no_attachment:
    if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
        quarantine("large_spam");
        log-entry("*****This is a large message with no attachments*****");
    }

    Nota: Necesitará crear una cuarentena de brotes, virus y políticas (PVO) que coincida con el nombre de la cuarentena utilizada en la acción de cuarentena del filtro de mensajes para que el filtro de mensajes funcione tal cual. De lo contrario, debe utilizar un tipo de acción diferente. Una vez creada esta cuarentena de PVO y aplicado el filtro de mensajes al ESA, se recomienda encarecidamente supervisar la cuarentena de PVO y liberar o eliminar los mensajes en cuarentena según sea necesario.

  2. A partir de aquí, puede modificar este filtro de mensajes para adaptarlo a sus requisitos específicos. Por ejemplo, si el tamaño máximo de análisis de antispam está establecido en 1 MB, puede reducir el tamaño del cuerpo a 1 MB.
  3. También puede querer que este filtro de mensajes se aplique solamente a los mensajes de un grupo de remitentes o receptor determinado. A continuación se muestran dos ejemplos adicionales que podrían funcionar para sus propósitos:
    large_spam_no_attachment:
    if (recv-listener == "IncomingMail") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
        quarantine("large_spam");
        log-entry("*****This is a large message with no attachments*****");
    }

    large_spam_no_attachment:
    if (sendergroup != "RELAYLIST") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
        quarantine("large_spam");
        log-entry("*****This is a large message with no attachments*****");
    }
  4. Si desea realizar cambios adicionales, le recomiendo que revise la sección de filtros de mensajes de la Guía de uso final de ESA. Hay secciones en la guía que proporcionan una lista de condiciones y acciones que se pueden utilizar.

Aplicar el filtro de mensajes al ESA

En esta sección, vamos a aplicar el filtro de mensajes creado en la sección anterior al ESA. Los filtros de mensajes sólo se pueden aplicar al ESA a través de la línea de comandos. Por lo tanto, necesitará acceso de línea de comandos al ESA.

  1. Inicie sesión en el ESA a través de la línea de comandos.
  2. Ejecute los siguientes comandos resaltados para aplicar el filtro de mensajes al ESA:
    ironport.example.com> filters


Choose the operation you want to perform:
- NEW - Create a new filter.
- IMPORT - Import a filter script from a file.
[]> NEW

Enter filter script.  Enter '.' on its own line to end.
large_spam_no_attachment:
    if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
        quarantine("large_spam");
        log-entry("*****This is a large message with no attachments*****");
    }
.    
1 filters added.
  3. Desde aquí, es posible que desee ver el filtro de mensajes y asegurarse de que está activo y es válido. Para ello, ejecute los siguientes comandos:
    ironport.example.com> filters


Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> LIST

Num Active Valid Name
  1   Y      Y   large_spam_no_attachment


Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> DETAIL

Enter the filter name, number, or range:
[]> 1

Num Active Valid Name
  1   Y      Y   large_spam_no_attachment
large_spam_no_attachment: if (body-size > 2097152) AND NOT (attachment-size > 0)) {
                              quarantine("large_spam");
                              log-entry("*****This is a large message with no attachments*****");
                          }
  4. Ejecute el comando commit y agregue cualquier comentario de confirmación relevante:
    ironport.example.com> commit

    Please enter some comments describing your changes:
    []> Applied large_spam_no_attachment message filter

Recursos adicionales

Guía del usuario final de ESA

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
29-Nov-2018
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Jordan Andrews
    Cisco Technical Support Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos