ESA - Utilisant un filtre de message pour agir sur de grands messages sans des connexions

Options de téléchargement

  • PDF     (149.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (78.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (75.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:1 août 2018
ID du document:213940

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Vous pouvez constater que certains spammers enverront les messages très grands sans des connexions dans elles afin d'obtenir la lecture passée de courrier indésirable. S'ils peuvent envoyer un message qui est plus grand que la taille maximum de lecture de courrier indésirable de l'engine de courrier indésirable ESA, la lecture de courrier indésirable sera ignorée pour ce message. En date d'écrire cet article, nous ne recommandons pas augmenter la taille maximum de lecture de courrier indésirable au-dessus de 2MB à moins qu'autrement recommandés. En raison de cela, les messages au-dessus de 2MB dans la taille peuvent facilement sauter le courrier indésirable dans la plupart des cas.

Cet article expliquera un concept pour agir sur ces types de messages en utilisant un filtre de message.

Exigences

  1. Accès à la ligne de commande à l'appliance de sécurité du courrier électronique (ESA).
  2. Connaissance de base de la façon écrire des filtres de message.
  3. Connaissance de base d'expression régulière (expression régulière).

Création du filtre de message

Dans cette section, nous allons créer le filtre de message. Ce filtre de message appariera tous les messages qui sont au-dessus de 2MB dans la taille et ne contient pas une connexion :

  1. Ouvrez un éditeur de texte et copiez/pâte le filtre de message suivant :
    large_spam_no_attachment:
    if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
        quarantine("large_spam");
        log-entry("*****This is a large message with no attachments*****");
    }

    Note: Vous devrez créer une quarantaine de stratégie, de virus et d'épidémie (PVO) qui apparie le nom de la quarantaine utilisée dans l'action de quarantaine du filtre de message pour que le filtre de message fonctionne d'est. Autrement, vous devez utiliser un type différent d'action. Une fois que cette quarantaine PVO est créée et le filtre de message est appliqué à l'ESA, nous recommandons vivement que vous surveilliez la quarantaine PVO et libériez ou supprimiez les messages mis en quarantaine selon les besoins.

  2. D'ici, vous pouvez vouloir modifier ce filtre de message pour se conformer à vos conditions spécifiques. Par exemple, si votre taille maximum de lecture de courrier indésirable est placée à 1MB, vous pouvez ramener la taille du corps vers le bas à 1MB.
  3. Vous pouvez également vouloir que ce filtre de message s'applique seulement aux messages à partir d'un sendergroup ou d'un auditeur particulier. Ce qui suit sont deux exemples supplémentaires qui pourraient fonctionner pour vos buts :
    large_spam_no_attachment:
    if (recv-listener == "IncomingMail") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
        quarantine("large_spam");
        log-entry("*****This is a large message with no attachments*****");
    }

    large_spam_no_attachment:
    if (sendergroup != "RELAYLIST") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
        quarantine("large_spam");
        log-entry("*****This is a large message with no attachments*****");
    }
  4. Si vous voulez apporter n'importe quelles modifications supplémentaires, je recommanderais examiner la section de filtre de message du guide d'usage final ESA. Il y a des sections du guide qui fournissent une liste de conditions et d'actions qui peuvent être utilisées.

Appliquez le filtre de message à l'ESA

Dans cette section, nous allons appliquer le filtre de message créé dans la section précédente à l'ESA. Des filtres de message peuvent seulement être appliqués à l'ESA par l'intermédiaire de la ligne de commande. Ainsi, vous avez besoin de l'accès à la ligne de commande à l'ESA.

  1. Connectez-vous dans l'ESA par l'intermédiaire de la ligne de commande.
  2. Exécutez les commandes mises en valeur suivantes d'appliquer le filtre de message à l'ESA :
    ironport.example.com> filters


Choose the operation you want to perform:
- NEW - Create a new filter.
- IMPORT - Import a filter script from a file.
[]> NEW

Enter filter script.  Enter '.' on its own line to end.
large_spam_no_attachment:
    if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
        quarantine("large_spam");
        log-entry("*****This is a large message with no attachments*****");
    }
.    
1 filters added.
  3. D'ici, vous pouvez vouloir visualiser le filtre de message et l'assurer est en activité et valide. Vous pouvez faire cela en exécutant les commandes suivantes :
    ironport.example.com> filters


Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> LIST

Num Active Valid Name
  1   Y      Y   large_spam_no_attachment


Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> DETAIL

Enter the filter name, number, or range:
[]> 1

Num Active Valid Name
  1   Y      Y   large_spam_no_attachment
large_spam_no_attachment: if (body-size > 2097152) AND NOT (attachment-size > 0)) {
                              quarantine("large_spam");
                              log-entry("*****This is a large message with no attachments*****");
                          }
  4. Exécutez la commande de validation et ajoutez tous les commentaires appropriés de validation :
    ironport.example.com> commit

    Please enter some comments describing your changes:
    []> Applied large_spam_no_attachment message filter

Ressources supplémentaires

Guide d'utilisateur ESA

TAC Authored

Contribution d’experts de Cisco

  • Jordan Andrews
    Ingénieur de support technique de Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits