Introducción
Es posible que ciertos spammers envíen mensajes muy grandes sin archivos adjuntos para pasar el análisis antispam. Si pueden enviar un mensaje cuyo tamaño es mayor que el tamaño máximo de análisis antispam del motor antispam ESA, se omitirá el análisis antispam para ese mensaje. En el momento de escribir este artículo, no recomendamos aumentar el tamaño máximo de escaneo antispam por encima de 2 MB a menos que se recomiende lo contrario. Debido a eso, los mensajes de más de 2MB de tamaño pueden fácilmente eludir el antispam en la mayoría de los casos.
En este artículo se explica un concepto para realizar acciones en estos tipos de mensajes mediante el uso de un filtro de mensajes.
Requirements
- Acceso desde la línea de comandos al dispositivo de seguridad Email Security Appliance (ESA).
- Conocimientos básicos sobre cómo escribir filtros de mensajes.
- Conocimiento básico de Expresión Regular (RegEx).
Creación del filtro de mensajes
En esta sección, vamos a crear el filtro de mensajes. Este filtro de mensajes coincidirá con todos los mensajes cuyo tamaño supere los 2 MB y que no contengan datos adjuntos:
- Abra un editor de texto y copie/pegue el siguiente filtro de mensajes:
large_spam_no_attachment:
if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
Nota: Necesitará crear una cuarentena de brotes, virus y políticas (PVO) que coincida con el nombre de la cuarentena utilizada en la acción de cuarentena del filtro de mensajes para que el filtro de mensajes funcione tal cual. De lo contrario, debe utilizar un tipo de acción diferente. Una vez creada esta cuarentena de PVO y aplicado el filtro de mensajes al ESA, se recomienda encarecidamente supervisar la cuarentena de PVO y liberar o eliminar los mensajes en cuarentena según sea necesario.
- A partir de aquí, puede modificar este filtro de mensajes para adaptarlo a sus requisitos específicos. Por ejemplo, si el tamaño máximo de análisis de antispam está establecido en 1 MB, puede reducir el tamaño del cuerpo a 1 MB.
- También puede querer que este filtro de mensajes se aplique solamente a los mensajes de un grupo de remitentes o receptor determinado. A continuación se muestran dos ejemplos adicionales que podrían funcionar para sus propósitos:
large_spam_no_attachment:
if (recv-listener == "IncomingMail") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
large_spam_no_attachment:
if (sendergroup != "RELAYLIST") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
- Si desea realizar cambios adicionales, le recomiendo que revise la sección de filtros de mensajes de la Guía de uso final de ESA. Hay secciones en la guía que proporcionan una lista de condiciones y acciones que se pueden utilizar.
Aplicar el filtro de mensajes al ESA
En esta sección, vamos a aplicar el filtro de mensajes creado en la sección anterior al ESA. Los filtros de mensajes sólo se pueden aplicar al ESA a través de la línea de comandos. Por lo tanto, necesitará acceso de línea de comandos al ESA.
- Inicie sesión en el ESA a través de la línea de comandos.
- Ejecute los siguientes comandos resaltados para aplicar el filtro de mensajes al ESA:
ironport.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- IMPORT - Import a filter script from a file.
[]> NEW
Enter filter script. Enter '.' on its own line to end.
large_spam_no_attachment:
if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
.
1 filters added.
- Desde aquí, es posible que desee ver el filtro de mensajes y asegurarse de que está activo y es válido. Para ello, ejecute los siguientes comandos:
ironport.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> LIST
Num Active Valid Name
1 Y Y large_spam_no_attachment
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> DETAIL
Enter the filter name, number, or range:
[]> 1
Num Active Valid Name
1 Y Y large_spam_no_attachment
large_spam_no_attachment: if (body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
- Ejecute el comando commit y agregue cualquier comentario de confirmación relevante:
ironport.example.com> commit
Please enter some comments describing your changes:
[]> Applied large_spam_no_attachment message filter
Recursos adicionales
Guía del usuario final de ESA