ESA - Usando un filtro del mensaje para tomar medidas en los mensajes grandes sin las conexiones

Opciones de descarga

  • PDF     (82.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (73.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (75.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:1 de agosto de 2018
ID del documento:213940

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Usted puede encontrar que ciertos spammeres enviarán los mensajes muy grandes sin las conexiones en ellas para conseguir la última exploración del antispam. Si pueden enviar un mensaje que sea más grande que el tamaño máximo de la exploración del antispam del motor del antispam ESA, la exploración del antispam será saltada para ese mensaje. A partir de escribir este artículo, no recomendamos el aumentar del tamaño máximo de la exploración del antispam sobre 2MB a menos que estén recomendados de otra manera. Debido a eso, los mensajes sobre 2MB de tamaño pueden desviar fácilmente el antispam en la mayoría de los casos.

Este artículo explicará un concepto para tomar medidas en estos tipos de mensaje utilizando un filtro del mensaje.

Requisitos

  1. Acceso de la línea de comando al dispositivo de seguridad del correo electrónico (ESA).
  2. Conocimiento básico de cómo escribir los filtros del mensaje.
  3. Conocimiento básico de la expresión normal (RegEx).

Crear el filtro del mensaje

En esta sección, vamos a crear el filtro del mensaje. Este filtro del mensaje hará juego todos los mensajes que estén sobre 2MB de tamaño y no contiene una conexión:

  1. Abra un editor de textos y copie/goma el filtro del siguiente mensaje:
    large_spam_no_attachment:
    if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
        quarantine("large_spam");
        log-entry("*****This is a large message with no attachments*****");
    }

    Note: Usted necesitará crear una cuarentena de la directiva, del virus y del brote (PVO) que haga juego el nombre de la cuarentena usada en la acción de la cuarentena del filtro del mensaje para que funcione el filtro del mensaje como es. Si no, usted debe utilizar un diverso tipo de la acción. Una vez que se crea esta cuarentena PVO y el filtro del mensaje se aplica al ESA, recomendamos fuertemente que usted vigila la cuarentena PVO y release/versión o borramos los mensajes quarantined cuanto sea necesario.

  2. De aquí, usted puede querer alterar este filtro del mensaje para caber sus requisitos específicos. Por ejemplo, si su tamaño máximo de la exploración del antispam se fija a 1MB, usted puede reducir el cuerpo-tamaño abajo a 1MB.
  3. Usted puede también quisiera que este filtro del mensaje se aplicara solamente a los mensajes de un sendergroup o de un módulo de escucha determinado. Los siguientes son dos ejemplos adicionales que podrían trabajar para sus propósitos:
    large_spam_no_attachment:
    if (recv-listener == "IncomingMail") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
        quarantine("large_spam");
        log-entry("*****This is a large message with no attachments*****");
    }

    large_spam_no_attachment:
    if (sendergroup != "RELAYLIST") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
        quarantine("large_spam");
        log-entry("*****This is a large message with no attachments*****");
    }
  4. Si usted quiere realizar cualesquiera cambios adicionales, recomendaría el revisar de la sección del filtro del mensaje en la guía del uso final ESA. Hay las secciones en la guía que proporcionan a una lista de condiciones y de acciones que puedan ser utilizadas.

Aplique el filtro del mensaje al ESA

En esta sección, vamos a aplicar el filtro del mensaje creado en la sección anterior al ESA. Los filtros del mensaje se pueden aplicar solamente al ESA vía la línea de comando. Así pues, usted necesitará el acceso de la línea de comando al ESA.

  1. Registro en el ESA vía la línea de comando.
  2. Funcione con los comandos destacados siguientes de aplicar el filtro del mensaje al ESA:
    ironport.example.com> filters


Choose the operation you want to perform:
- NEW - Create a new filter.
- IMPORT - Import a filter script from a file.
[]> NEW

Enter filter script.  Enter '.' on its own line to end.
large_spam_no_attachment:
    if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
        quarantine("large_spam");
        log-entry("*****This is a large message with no attachments*****");
    }
.    
1 filters added.
  3. De aquí, usted puede querer ver el filtro del mensaje y asegurarlo es activo y válido. Usted puede hacer eso funcionando con los comandos siguientes:
    ironport.example.com> filters


Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> LIST

Num Active Valid Name
  1   Y      Y   large_spam_no_attachment


Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> DETAIL

Enter the filter name, number, or range:
[]> 1

Num Active Valid Name
  1   Y      Y   large_spam_no_attachment
large_spam_no_attachment: if (body-size > 2097152) AND NOT (attachment-size > 0)) {
                              quarantine("large_spam");
                              log-entry("*****This is a large message with no attachments*****");
                          }
  4. Funcione con el comando commit y agregue cualquier comentario relevante del cometer:
    ironport.example.com> commit

    Please enter some comments describing your changes:
    []> Applied large_spam_no_attachment message filter

Recursos adicionales

Guía del usuario final ESA

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Jordan Andrews
    Ingeniero de soporte técnico de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos