(条件なし)
|
コンテンツ フィルタでの条件の指定はオプションです。条件が指定されていない場合、true ルールが適用されます。true ルールはすべてのメッセージに一致し、必ずアクションが実行されます。
|
メッセージ本文または添付ファイル
|
[テキストを含む(Contains text)]:メッセージ本文に、特定のパターンと一致するテキストまたは添付ファイルが含まれているかどうかを判別します。
[スマート識別子を含む(Contains smart identifier)]:メッセージ本文または添付ファイルのコンテンツが、スマート ID と一致するかどうかを判別します。
[コンテンツ辞書の単語を含む(Contains term in content dictionary)]:メッセージ本文に、<dictionary name> という名前のコンテンツ辞書のいずれかの正規表現または用語が含まれているかどうかを判別します。
このオプションをイネーブルにするには、ディクショナリがすでに作成されている必要があります。コンテンツ ディクショナリを参照してください。
(注)
| ディクショナリに関連する条件は、1 つ以上のディクショナリがイネーブルにされている場合だけ使用できます。コンテンツ ディクショナリの作成の詳細については、コンテンツ ディクショナリを参照してください。 |
[要求された一致数(Number of matches required)]:true と評価するためにルールで必要な一致数を指定します。このしきい値は、テキスト、スマート ID、またはコンテンツ ディクショナリの用語に対して指定できます。
これには、配信ステータス部および関連付けられている添付ファイルが含まれます。
|
メッセージ本文
|
[テキストを含む(Contains text)]:メッセージ本文に、特定のパターンと一致するテキストが含まれているかどうかを判別します。
[スマート識別子を含む(Contains smart identifier)]:メッセージ本文のコンテンツが、スマート ID と一致するかどうかを判別します。スマート ID は、次のパターンを検出できます。
- クレジット カード番号
- 米国社会保障番号
- Committee on Uniform Security Identification Procedures(CUSIP)番号
- American Banking Association(ABA; 米国銀行協会)ルーティング番号
[コンテンツ辞書の単語を含む(Contains term in content dictionary)]:メッセージ本文に、<dictionary name> という名前のコンテンツ辞書のいずれかの正規表現または用語が含まれているかどうかを判別します。
このオプションをイネーブルにするには、ディクショナリがすでに作成されている必要があります。コンテンツ ディクショナリを参照してください。
(注)
| ディクショナリに関連する条件は、1 つ以上のディクショナリがイネーブルにされている場合だけ使用できます。コンテンツ ディクショナリの作成の詳細については、コンテンツ ディクショナリを参照してください。 |
[要求された一致数(Number of matches required)]:true と評価するためにルールで必要な一致数を指定します。このしきい値は、テキストまたはスマート ID に対して指定できます。
このルールは、メッセージの本文だけに適用されます。添付ファイルまたはヘッダーは含まれません。
|
URL カテゴリ(URL Category)
|
URL レピュテーションまたは URL カテゴリによるフィルタリング:条件およびルールおよびURL カテゴリについてを参照してください。
|
メッセージ サイズ
|
本文サイズが、指定範囲内にあるかどうかを判別します。本文サイズとはメッセージのサイズのことで、ヘッダーと添付ファイルも含みます。本文サイズ ルールは、本文サイズが指定数と比較されるメッセージを選択します。
|
マクロ検出
|
受信または送信メッセージにマクロが有効な添付ファイルが含まれているか。
マクロ検出の条件を使用すると、選択したファイル タイプのメッセージのマクロが有効な添付ファイルを検出できます。
|
添付ファイルの内容
|
[テキストを含む(Contains text)]:指定したパターンと一致するテキストまたは別の添付ファイルが、メッセージの添付ファイルに含まれているか。このルールは body-contains() ルールと似ていますが、このルールでは、メッセージの全体の「本文」をスキャンしないようにします。つまり、ユーザが添付ファイルとして表示する場合だけスキャンします。
[スマート識別子を含む(Contains a smart identifier)]:メッセージ添付ファイルの内容が、指定されたスマート ID と一致するかどうかを判別します。
[コンテンツ辞書の単語を含む(Contains terms in content dictionary)]:添付ファイルに、<dictionary name> という名前のコンテンツ辞書のいずれかの正規表現または用語が含まれているかどうかを判別します。
ディクショナリ用語を検索するには、ディクショナリがすでに作成されている必要があります。コンテンツ ディクショナリを参照してください。
(注)
| ディクショナリに関連する条件は、1 つ以上のディクショナリがイネーブルにされている場合だけ使用できます。コンテンツ ディクショナリの作成の詳細については、コンテンツ ディクショナリを参照してください。 |
[要求された一致数(Number of matches required)]:true と評価するためにルールで必要な一致数を指定します。このしきい値は、テキスト、スマート ID またはコンテンツ ディクショナリの一致回数に対して指定できます。
|
添付ファイルのファイル情報
|
[ファイル名(Filename)]:メッセージに、ファイル名が特定のパターンと一致する添付ファイルがあるかどうかを判別します。
[コンテンツ辞書の単語を含むファイル名(Filename contains term in content dictionary)]:メッセージに、<ディクショナリ名> という名前のコンテンツ ディクショナリのいずれかの正規表現または用語が含まれるファイル名の添付ファイルがあるかどうかを判別します。
このオプションをイネーブルにするには、ディクショナリがすでに作成されている必要があります。コンテンツ ディクショナリを参照してください。
(注)
| ディクショナリに関連する条件は、1 つ以上のディクショナリがイネーブルにされている場合だけ使用できます。コンテンツ ディクショナリの作成の詳細については、コンテンツ ディクショナリを参照してください。 |
[ファイルタイプ(File type)]:メッセージに、フィンガープリントに基づいて特定のパターンと一致するファイル タイプの添付ファイルがあるかどうかを判別します(UNIX file コマンドと似ています)。
[MIMEタイプ(MIME type)]:メッセージに、特定の MIME タイプの添付ファイルがあるかどうかを判別します。このルールは attachment-type ルールに似ていますが、MIME 添付ファイルで指定された MIME タイプのみが評価される点が異なります。(アプライアンスは、タイプが明示的に指定されていない場合、拡張子からファイルのタイプを「予測」することはありません)。
[イメージ分析(Image Analysis)]:メッセージに、指定されているイメージ判定と一致するイメージ添付ファイルがあるかどうかを判別します。有効なイメージ分析判定には、[疑わしい(Suspect)]、[不適切(Inappropriate)]、[不適切もしくは疑わしい(Suspect or Inappropriate)]、[スキャン不可(Unscannable)] または [正常(Clean)] があります。
添付ファイルが破損しています(Attachment is Corrupt):破損した添付ファイルがメッセージに含まれているかどうか。
(注)
| 破損した添付ファイルとは、スキャン エンジンがスキャンできないため破損として識別する添付ファイルのことです。 |
|
添付ファイル保護
|
[パスワードで保護されたまたは暗号化された添付ファイルが添付されている(Contains an attachment that is password-protected or encrypted)]:
(この条件は、たとえば、スキャンできない可能性がある添付ファイルを識別する場合に使用します)。
[パスワードで保護されたまたは暗号化された添付ファイルが添付されていない(Contains an attachment that is NOT password-protected or encrypted)]:
|
件名ヘッダー
|
[件名ヘッダー(Subject Header)]:件名ヘッダーに、特定のパターンが含まれているかどうかを判別します。
[コンテンツ辞書の単語を含む(Contains terms in content dictionary)]:件名ヘッダーに、<ディクショナリ名> という名前のコンテンツ ディクショナリのいずれかの正規表現または用語が含まれているかどうかを判別します。
ディクショナリ用語を検索するには、ディクショナリがすでに作成されている必要があります。コンテンツ ディクショナリを参照してください。
(注)
| ディクショナリに関連する条件は、1 つ以上のディクショナリがイネーブルにされている場合だけ使用できます。コンテンツ ディクショナリの作成の詳細については、コンテンツ ディクショナリを参照してください。 |
|
その他のヘッダー
|
[ヘッダー名(Header name)]:メッセージに、特定のヘッダーが含まれているかどうかを判別します。
[ヘッダーの値(Header value)]:ヘッダーの値が、特定のパターンと一致するかどうかを判別します。
[ヘッダーの値がコンテント辞書内の単語を含みます(Header value contains terms in the content dictionary)]:指定されたヘッダーに、<ディクショナリ名> という名前のコンテンツ ディクショナリのいずれかの正規表現または用語が含まれているかどうかを判別します。
ディクショナリ用語を検索するには、ディクショナリがすでに作成されている必要があります。参照先: コンテンツ ディクショナリ
(注)
| ディクショナリに関連する条件は、1 つ以上のディクショナリがイネーブルにされている場合だけ使用できます。コンテンツ ディクショナリの作成の詳細については、コンテンツ ディクショナリを参照してください。 |
このオプションを使用する方法を説明する例については、カスタム ヘッダーを使用して、陽性と疑わしいスパム内の URL を Cisco Web セキュリティ プロキシにリダイレクトする:設定例を参照してください。
|
エンベロープ送信者
|
[エンベロープ送信者(Envelope Sender)]:エンベロープ送信者(Envelope From, <MAIL FROM>)が指定したパターンと一致しているか。
[LDAPグループに一致(Matches LDAP group)]:エンベロープ送信者(つまり、Envelope From、<MAIL FROM>)が、特定の LDAP グループに含まれるかどうかを判別します。
[コンテンツ辞書の単語を含む(Contains term in content dictionary)]:エンベロープ送信者に、<ディクショナリ名> という名前のコンテンツ ディクショナリのいずれかの正規表現または用語が含まれているかどうかを判別します。
ディクショナリ用語を検索するには、ディクショナリがすでに作成されている必要があります。コンテンツ ディクショナリを参照してください。
(注)
| ディクショナリに関連する条件は、1 つ以上のディクショナリがイネーブルにされている場合だけ使用できます。コンテンツ ディクショナリの作成の詳細については、コンテンツ ディクショナリを参照してください。 |
|
エンベロープ受信者
|
[エンベロープ受信者(Envelope Recipient)]:エンベロープ受信者(Envelope To, <RCPT TO>)が指定したパターンと一致しているか。
[LDAPグループに一致(Matches LDAP group)]:エンベロープ受信者(Envelope To, <RCPT TO>)が、指定した LDAP グループ内に存在するか。
[コンテンツ辞書の単語を含む(Contains term in content dictionary)]:エンベロープ受信者に、<ディクショナリ名> という名前のコンテンツ ディクショナリのいずれかの正規表現または用語が含まれているかどうかを判別します。
ディクショナリ用語を検索するには、ディクショナリがすでに作成されている必要があります。コンテンツ ディクショナリを参照してください。
(注)
|
ディクショナリに関連する条件は、1 つ以上のディクショナリがイネーブルにされている場合だけ使用できます。コンテンツ ディクショナリの作成の詳細については、コンテンツ ディクショナリを参照してください。
[エンベロープ受信者(Envelope Recipient)] ルールは、メッセージ単位です。メッセージに複数の受信者がある場合、グループの受信者が 1 人でも検出されれば、指定されたアクションがメッセージのすべての受信者に適用されます。
|
エンベロープ送信者(Envelope From <MAIL FROM>)が、指定した LDAP グループ内に存在するか。
|
受信リスナー
|
メッセージは、指定されたリスナー経由で届いたか。リスナー名は、システムで現在設定されているリスナーの名前でなければなりません。
|
リモートIP
|
リモート ホストから送信されたメッセージは、指定した IP アドレスまたは IP ブロックに一致しているか。[リモートIP(Remote IP)] ルールは、メッセージを送信したホストの IP アドレスが特定のパターンと一致するかどうかをテストします。これは、インターネット プロトコル バージョン 4(IPv4)またはバージョン 6(IPv6)アドレスを指定できます。IP アドレス パターンは、送信者グループの構文で説明されている、許可されたホスト表記を使用して指定されます。ただし、SBO、SBRS、dnslist 表記および特殊キーワード ALL を除きます。
|
レピュテーション スコア
|
送信者の SenderBase レピュテーション スコアの値。[レピュテーションスコア(Reputation Score)] は、別の値に対する SenderBase レピュテーション スコアをチェックします。
|
DKIM 認証
|
DKIM 認証に合格したか、部分的に検証されたか、一時的に検証不可能として返されたか、失敗したか、DKIM 結果が返されていないかどうかを判別します。
|
偽装メールの検出
|
メッセージの送信元アドレスが偽装されているか。メッセージの From: ヘッダーがコンテンツ辞書のユーザに類似している場合にチェックするルールです。
コンテンツ ディクショナリを選択し、偽装の可能性ありとみなされるメッセージに、しきい値(1 ~ 100)を入力します。
偽装電子メール検出の条件は、From: ヘッダーとコンテンツ ディクショナリのユーザを比較します。このプロセス中に、類似により、アプライアンスは辞書内の各ユーザに類似性スコアを割り当てます。次に例を示します。
- From: ヘッダーが <j0hn.sim0ns@example.com> で、コンテンツ辞書に「John Simons」が含まれている場合、このユーザに 82 の類似性スコアが割り当てられます。
- From: ヘッダーが <john.simons@diff-example.com> で、コンテンツ辞書に「John Simons」が含まれている場合、このユーザに 100 の類似性スコアが割り当てられます。
類似性スコアが高くなればなるほど、メッセージが偽装されている確立が高くなります。類似性スコアが指定したしきい値以上の場合は、フィルタ アクションがトリガーされます。
詳細については、偽装メールの検出を参照してください。
|
SPF 検証
|
SPF 検証ステータスを判別します。このフィルタ ルールでは、さまざまな SPF 検証結果をクエリーできます。SPF 検証の詳細については、「電子メール認証」の章を参照してください。
(注)
| SPF ID を含まずに SPF 検証コンテンツ フィルタ条件を設定した場合、また異なる判定を含む異なる SPF ID がメッセージに含まれている場合は、メッセージ内のいずれかの判定と一致した条件がトリガーされます。 |
|
S/MIME ゲートウェイ メッセージ
|
メッセージは S/MIME 署名されているか、暗号化されているか、または署名および暗号化されているか。詳細については、次を参照してください。 S/MIME セキュリティ サービス
|
S/MIME ゲートウェイ検証済
|
S/MIME メッセージは正常に検証されているか、復号化されているか、または復号化および検証されているか。詳細については、次を参照してください。 S/MIME セキュリティ サービス
|
メッセージ言語
|
メッセージ(件名と本文)は選択したいずれかの言語であるか。この条件では、添付ファイルおよびヘッダーの言語は確認しません。
言語の検出の動作の仕組み
Cisco E メール セキュリティ アプライアンスは、メッセージの言語を検出するのに組み込みの言語検出エンジンを使用します。アプライアンスは、件名とメッセージ本文を抽出し、言語検出エンジンに渡します。
言語検出エンジンは、抽出されたテキスト内の各言語の確率を決定し、それをアプライアンスに渡します。アプライアンスは、最も高い確率をもつ言語をメッセージの言語とみなします。アプライアンスは、次のシナリオのいずれかで、メッセージ言語を「未定」とみなします。
- 検出された言語が Cisco E メール セキュリティ アプライアンスでサポートされていない場合
- アプライアンスがメッセージの言語を検出できない場合
- 言語検出エンジンに送られた抽出されたテキストの合計サイズが 50 バイト未満の場合。
|
重複境界検証
|
そのメッセージに、重複する MIME 境界が含まれるか。
重複する MIME 境界が含まれるメッセージにアクションを実行する場合は、この条件を使用します。
(注)
| 添付ファイルベースの条件(たとえば、添付ファイルの内容)や操作(たとえば、コンテンツによる添付ファイルの除去)は、(重複する MIME 境界を含む)不正なメッセージでは動作しません。 |
|
位置情報(GeoLocation)
|
メッセージが選択した国で作成されたものかどうかを判別します。
位置情報条件を使用すると、選択した特定の国からの送信または受信メッセージを処理できます。
(注)
| 位置情報コンテンツ フィルタを使用する前に、アプライアンスでスパム対策エンジンを有効にします。 |
|