Trabajo con filtros de mensajes

Introducción

En este artículo se tratan las prácticas recomendadas y la implementación de los filtros de mensajes en el dispositivo de seguridad Email Security Appliance (ESA). Los filtros de mensajes permiten la creación de reglas especiales que describen cómo gestionar los mensajes que cumplen condiciones específicas a medida que los recibe y procesa el ESA. 

Prerequisites

• Comprensión básica del funcionamiento del filtro ESA
• Familiaridad con la interfaz de línea de comandos (CLI) en el ESA

Ventajas del uso de filtros de mensajes

El uso de filtros de mensajes sobre filtros de contenido tiene dos ventajas principales:

1. Se aplican a los mensajes hacia el principio de la canalización de procesamiento de la cola de trabajo. Debido a esto, es posible ahorrar una gran cantidad de recursos mediante el filtrado de mensajes antes de utilizar los principales motores de análisis (es decir, Anti-Spam, Anti-Virus, AMP, etc.).
2. Tomarán medidas sobre el tráfico entrante y saliente, mientras que para los filtros de contenido tendría que crear uno para el tráfico entrante y otro para el saliente. 

Además, hay pocas condiciones que no estén disponibles para configurarse mediante filtros de contenido, lo que solo se puede hacer mediante filtros de mensajes.

Ejemplo: si hay un requisito para definir condiciones basadas en el grupo de remitentes de ESA, esa opción está disponible solamente en los filtros de mensajes.

Nota: las acciones de filtrado de mensajes no finales son acumulativas. Si un mensaje coincide con varios filtros en los que cada filtro especifica una acción diferente, todas las acciones se acumulan y se aplican. Sin embargo, si un mensaje coincide con varios filtros que especifican la misma acción, las acciones anteriores se anulan y se aplica la acción de filtrado final.

Operaciones de filtros de mensajes

Cuando AsyncOS procesa los filtros de mensajes, el contenido que AsyncOS analiza, el orden del procesamiento y las acciones realizadas se basan en varios factores:

• Los filtros de mensajes se procesan en el orden en que se configuran (de arriba a abajo).
• Un filtro de mensaje se procesará en el contenido del mensaje en el momento en que llegue al filtro.
• Al buscar coincidencias con una expresión regular, se configura una "puntuación" para calcular el número de veces que debe producirse una coincidencia antes de realizar una acción de filtrado. Esto le permite "sopesar" las respuestas a diferentes términos.
• Las principales alternativas en las condiciones de vinculación de un filtro de mensajes son: (AND / OR / IF / ELSE)

Creación de filtros de mensajes

En primer lugar, emitimos el comando filters desde la CLI para ingresar al modo de configuración de Message Filters. A continuación, las opciones son:

• NUEVO: Esta opción permite comenzar la creación de un nuevo filtro. Esta selección de opción va seguida del nombre del filtro y, a continuación, de la sintaxis.

• DELETE: esta opción permite eliminar un filtro existente según sea necesario. Después de ejecutar este comando, puede introducir el nombre de filtro del número de secuencia que desea eliminar

• IMPORTAR: puede importar el archivo relacionado de un filtro guardado en el directorio del dispositivo.

• EXPORT: Esta opción permite exportar el archivo relacionado de los filtros para importarlo a otro destino

• MOVE: esta opción permite modificar el orden de un filtro según las preferencias

• SET: Esta opción nos permite cambiar el estado de un filtro de Activo a Inactivo y viceversa

• LIST: Esta opción mostrará todos los filtros creados presentes en el ESA

• DETAIL: Esta opción nos permite ver los componentes del filtro creado, como las condiciones y las acciones definidas.

• LOGCONFIG: Esta opción muestra los nombres de archivo de registro creados para los filtros de mensajes que tenían acciones definidas como archivo (‘nombre de carpeta")

• ROLLOVERNOW: Esta opción permite renovar todos los registros presentes en las carpetas que se crean debido a la acción de archivado definida en los filtros de mensajes

Los filtros se pueden crear en todos los modos de ESA como el modo Cluster, Group o Machine.

Los criterios de preferencia de configuración en los que el ESA aplicará los filtros a los correos electrónicos serán los siguientes :

1^ª preferencia: modo de máquina

2^ª preferencia: modo de grupo

3^ª preferencia: modo clúster

Para crear filtros de mensajes, necesitamos una combinación de sintaxis para definir las condiciones y las acciones :

Ejemplo:

if (recv-listener == 'InboundMail' or recv-int == 'notmain')

{

skip-filters();

}

else

{

quarantine(“Policy”);

}

.

El filtro anterior representa que si el receptor es 'InboundMail' O la interfaz de recepción es 'notmain', la acción será omitir cualquier filtro de mensaje restante.

Si las condiciones no coinciden, ponga en cuarentena la política. Esto se define después de else. 

Consejos útiles

En ocasiones, la sintaxis que se debe utilizar en los filtros de mensajes puede resultar confusa, pero un punto de referencia sencillo para la misma podría ser los filtros de contenido.

Podemos crear un filtro de contenido con las condiciones y acciones que deseemos en el filtro de mensajes. Después de enviar el filtro, en la siguiente página veremos 3 pestañas en la parte superior de la sección de filtros, a saber:

• Descripción

• Reglas

• Políticas

Cuando hacemos clic en la pestaña Reglas, que nos mostrará la sintaxis que el filtro utiliza y la misma se puede utilizar para crear filtros de mensajes. Es la forma más sencilla de reducir la sintaxis de las condiciones de filtrado según nuestros requisitos.

Expresión regular utilizada en filtros de mensajes

• Carat (^): las reglas que contienen el símbolo de intercalación (^) sólo coinciden con el principio de la cadena.

Ejemplo: ^I'm coincidirá con I'm an engineering

• Signo de dólar ($): Las reglas que contienen el carácter de signo de dólar ($) sólo coinciden con el final de la cadena

Ejemplo: .com$ coincidirá con google.com así como con yahoo.com

• Carácter de punto (.): las reglas que contienen un carácter de punto (.) coinciden con cualquier carácter (excepto una nueva línea).

Ejemplo: La expresión regular ^...admin$ coincide con la cadena macadmin, así como con la cadena sunadmin pero no con win32admin.

• Directiva asterisco (*): las reglas que contienen un asterisco (*) coinciden con "cero o más coincidencias de la directiva anterior". En particular, la secuencia de un punto y un asterisco (.*) coincide con cualquier secuencia de caracteres (que no contenga una línea nueva).

Ejemplo: la expresión regular ^P.*Piper$ coincide con todas estas cadenas: Piper, Peter Piper, P.Piper

• Caracteres especiales de barra invertida (\): el carácter de barra invertida escapa a los caracteres especiales. Por lo tanto, la secuencia \. sólo coincide con un punto literal, la secuencia \$ sólo coincide con un signo de dólar literal y la secuencia \^ sólo coincide con un símbolo de intercalación literal.

Ejemplo: la expresión regular ^ik\\.ac\\.uk$ sólo coincide con la cadena ik.ac.uk

• No distingue entre mayúsculas y minúsculas (?i): el símbolo (?i) que indica el resto de la expresión regular debe tratarse en modo que no distinga entre mayúsculas y minúsculas.

Ejemplo: la expresión regular (?i)cisco coincide con Cisco, CISCO y cisco

• O (|): el operador "or". Si A y B son expresiones regulares, la expresión "A|B" coincidirá con cualquier cadena que coincida con "A" o "B".

Ejemplo: la expresión "foo|bar" coincidirá con foo o bar, pero no con foobar.

Información Relacionada

Dispositivo de seguridad Cisco Email Security Appliance: guías del usuario final