Introduction
Cet article présente les meilleures pratiques et la mise en oeuvre des filtres de messages sur l'appliance de sécurité de la messagerie (ESA). Les filtres de messages permettent de créer des règles spéciales décrivant comment traiter les messages qui répondent à des conditions spécifiques lorsqu'ils sont reçus et traités par l'ESA.
Conditions préalables
- Compréhension de base du fonctionnement des filtres ESA
- Connaissance de l'interface de ligne de commande (CLI) sur l'ESA
Avantages des filtres de messages
L'utilisation des filtres de messages par rapport aux filtres de contenu présente deux avantages majeurs :
- Ils sont appliqués aux messages vers le début du pipeline de traitement de la file d'attente de travail. De ce fait, nous pouvons potentiellement économiser un grand nombre de ressources en filtrant les messages avant que les principaux moteurs d'analyse ne soient utilisés (par exemple : antispam, antivirus, AMP, etc.).
- Ils prennent des mesures sur le trafic entrant et sortant, alors que pour les filtres de contenu, vous devez en créer un pour le trafic entrant et un pour le trafic sortant.
En outre, peu de conditions ne sont pas disponibles pour être configurées à l'aide des filtres de contenu, ce qui ne peut être fait que via les filtres de messages.
Exemple : si vous devez définir des conditions basées sur le groupe d'expéditeurs de l'ESA, cette option n'est disponible que dans les filtres de messages.
Remarque : les actions de filtrage des messages non finaux sont cumulatives. Si un message correspond à plusieurs filtres où chaque filtre spécifie une action différente, toutes les actions sont cumulées et appliquées. Toutefois, si un message correspond à plusieurs filtres spécifiant la même action, les actions précédentes sont remplacées et l'action de filtrage finale est appliquée.
Fonctionnement des filtres de messages
Lorsque AsyncOS traite des filtres de messages, le contenu analysé par AsyncOS, l'ordre du traitement et les actions entreprises dépendent de plusieurs facteurs :
- Les filtres de messages sont traités dans l'ordre dans lequel ils sont configurés (du premier au dernier Ka du haut vers le bas)
- Un filtre de message est traité sur le contenu du message au moment où il atteint le filtre.
- Lorsque vous faites correspondre une expression régulière, vous configurez un « score » pour calculer le nombre de fois qu'une correspondance doit avoir lieu avant qu'une action de filtrage ne soit effectuée. Cela vous permet de « pondérer » les réponses à différents termes.
- Les principales alternatives dans les conditions de liaison d'un filtre de message sont : (AND / OR / IF / ELSE)
Création de filtres de messages
Tout d'abord, nous émettons la commande filters de l'interface de ligne de commande pour passer en mode de configuration de Message Filters. Les options sont alors les suivantes :
- NEW : cette option permet de commencer la création d'un nouveau filtre. Cette option est suivie du nom du filtre, puis de la syntaxe.
- DELETE : cette option permet de supprimer un filtre existant selon les besoins. Après avoir exécuté cette commande, vous pouvez entrer le nom du filtre du numéro de séquence à supprimer
- IMPORT : vous pouvez importer un fichier associé aux filtres enregistré dans le répertoire de l'appliance.
- EXPORT : cette option permet d'exporter le fichier associé aux filtres, pour l'importer vers une autre destination
- MOVE : cette option permet de modifier l'ordre d'un filtre selon la préférence
- SET : cette option permet de changer l'état d'un filtre de Actif à Inactif et vice-versa
- LIST : cette option affiche tous les filtres créés présents dans l'ESA
- DETAIL : Cette option permet de voir les composants du filtre créé, tels que les conditions et les actions définies.
- LOGCONFIG : cette option affiche les noms des fichiers journaux créés pour les filtres de messages dont les actions ont été définies comme une archive (« nom de dossier »)
- ROLLOVERNOW : cette option permet de placer le pointeur de la souris sur tous les journaux présents dans les dossiers créés en raison de l'action d'archivage définie dans les filtres de messages
Les filtres peuvent être créés dans tous les modes d'ESA, tels que le mode Cluster, Group ou Machine.
Les critères de préférence de configuration dans lesquels l'ESA appliquera les filtres aux e-mails seront comme ci-dessous :
1ère préférence : mode machine
2e préférence : mode Groupe
3e préférence : mode cluster
Pour créer des filtres de messages, nous avons besoin d'une combinaison de syntaxe pour définir des conditions et des actions :
Exemple :
if (recv-listener == 'InboundMail' or recv-int == 'notmain')
{
skip-filters();
}
else
{
quarantine(“Policy”);
}
.
Le filtre ci-dessus indique que si l'écouteur de réception est 'InboundMail' OU si l'interface de réception est 'notmain', l'action sera d'ignorer les filtres de messages restants.
Si les conditions ne correspondent pas, mettez en quarantaine la stratégie. Ceci est défini après else.
Conseils utiles
Parfois, la syntaxe à utiliser dans les filtres de messages peut prêter à confusion, mais un point de référence facile pour cela peut être les filtres de contenu.
Nous pouvons créer un filtre de contenu avec les conditions et les actions que nous voulons dans le filtre de message. Après avoir soumis le filtre, dans la page suivante, nous verrons 3 onglets en haut de la section des filtres, à savoir :
Lorsque nous cliquons sur l'onglet Règles, qui nous montrera la syntaxe que le filtre utilise et la même peut être utilisée pour créer des filtres de messages. C'est la façon la plus simple de réduire la syntaxe des conditions de filtre, conformément à nos exigences.
Expression régulière utilisée dans les filtres de messages
- accent circonflexe (^) : les règles contenant le signe accent circonflexe (^) ne correspondent qu'au début de la chaîne.
Exemple : ^Je vais correspondre à Je suis ingénieur
- Signe dollar ($) : les règles contenant le signe dollar ($) ne correspondent qu'à la fin de la chaîne
Exemple : .com$ correspondra à google.com ainsi qu'à yahoo.com
- Caractère point (.) : les règles contenant un caractère point (.) correspondent à n'importe quel caractère (à l'exception d'une nouvelle ligne).
Exemple : l'expression régulière ^...admin$ correspond à la chaîne macadmin ainsi qu'à la chaîne sunadmin mais pas win32admin.
- Directive Asterisk (*) : règles contenant un astérisque (*) correspondant à « zéro ou plusieurs correspondances de la directive précédente ». En particulier, la séquence d'un point et d'un astérisque (.*) correspond à toute séquence de caractères (ne contenant pas de nouvelle ligne).
Exemple : l'expression régulière ^P.*Piper$ correspond à toutes ces chaînes : Piper, Peter Piper, P.Piper
- Caractères spéciaux de barre oblique inverse (\) : le caractère de barre oblique inverse échappe aux caractères spéciaux. Ainsi, la séquence \. ne correspond qu'à un point littéral, la séquence \$ ne correspond qu'à un symbole dollar littéral et la séquence \^ ne correspond qu'à un signe d'insertion littéral.
Exemple : l'expression régulière ^ik\\.ac\\.uk$ ne correspond qu'à la chaîne ik.ac.uk
- Insensibilité à la casse ( ?i) : le jeton ( ?i) qui indique le reste de l'expression régulière doit être traité en mode insensible à la casse.
Exemple : l'expression régulière ( ?i)cisco correspond à Cisco, CISCO et cisco
- Ou (|) : opérateur « ou ». Si A et B sont des expressions régulières, l'expression « A|B » correspond à toute chaîne correspondant à « A » ou « B ».
Exemple : l'expression « foo|bar » correspondra à foo ou à bar, mais pas à foobar.
Informations connexes
Appliance de sécurisation de la messagerie Cisco - Guides de l'utilisateur final