概要
antispam スキャンを通り越すためにある特定のスパムの発信者がそれらの添付ファイル無しで非常に大きいメッセージを送信 することが分るかもしれません。 それらが ESA antispam エンジンの antispam 最大スキャン サイズより大きいメッセージを送信できれば、antispam スキャンはそのメッセージのためにスキップされます。 この技術情報を書くこと現在で別の方法で推奨されて、2MB 以上の antispam 最大スキャン サイズを増加することを推奨しません。 このような理由で、2MB 以上のメッセージは容易に antispam をほとんどの場合バイパスできます。
この技術情報はメッセージ フィルターの利用によってメッセージのこれらの型の処置をとるために 1 つの概念を説明します。
要件
- E メール セキュリティ アプライアンス(ESA)へのコマンド・ライン アクセス。
- メッセージ フィルターを書く方法の基本的な知識。
- 正規表現(RegEx)の基本的な知識。
メッセージ フィルターの作成
このセクションでは、メッセージ フィルターを作成しようと思っています。 このメッセージ フィルターは 2MB にある一致する、添付ファイルが含まれていませんすべてのメッセージを:
- テキストエディタを開き、次のメッセージ フィルタ コピーして下さい/貼り付け:
large_spam_no_attachment:
if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
注: あるように機能するメッセージ フィルターのためにメッセージ フィルターの検疫操作で使用される検疫の名前と一致するポリシー、ウイルスおよび発生(PVO)検疫を作成する必要があります。 さもなければ、異なるアクション型を使用して下さい。 この PVO 検疫が作成されればおよびメッセージ フィルターが ESA に加えられれば、PVO 検疫を監視する強く推奨し、検疫されたメッセージを発表するか、または削除しますことを必要に応じて。
- ここから、特定の必要条件に合うためにこのメッセージ フィルターを変えたいと思う場合もあります。 たとえば、antispam 最大スキャン サイズが 1MB に設定 されれば、1MB に本文サイズを減らすことができます。
- またこのメッセージ フィルターに特定の sendergroup かリスナーからメッセージに適用してただほしい場合もあります。 以下は目的ではたらく可能性がある 2 つの追加例です:
large_spam_no_attachment:
if (recv-listener == "IncomingMail") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
large_spam_no_attachment:
if (sendergroup != "RELAYLIST") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
- 追加変更を行ないたいと思う場合 ESA 最終用途ガイドのメッセージ フィルター セクションを読むことを推奨します。 使用できる条件および操作のリストを提供するガイドにセクションがあります。
ESA にメッセージ フィルターを加えて下さい
このセクションでは、前のセクションで作成される ESA にメッセージ フィルターを加えようと思っています。 メッセージ フィルターはコマンド・ラインによって ESA にしか加えることができません。 このように、ESA へのコマンド・ライン アクセスを必要とします。
- コマンド・ラインによって ESA に記録 して下さい。
- ESA にメッセージ フィルターを加える次の強調表示されたコマンドを実行して下さい:
ironport.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- IMPORT - Import a filter script from a file.
[]> NEW
Enter filter script. Enter '.' on its own line to end.
large_spam_no_attachment:
if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
.
1 filters added.
- ここから、メッセージ フィルターを表示したいと思う場合もあり、それを確認することはアクティブ、有効です。 次のコマンドの実行によってそれをすることができます:
ironport.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> LIST
Num Active Valid Name
1 Y Y large_spam_no_attachment
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> DETAIL
Enter the filter name, number, or range:
[]> 1
Num Active Valid Name
1 Y Y large_spam_no_attachment
large_spam_no_attachment: if (body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
- commit コマンドを実行し、関連した託しますコメントを追加して下さい:
ironport.example.com> commit
Please enter some comments describing your changes:
[]> Applied large_spam_no_attachment message filter
追加情報
ESA エンドユーザ ガイド