소개
이 문서에서는 Cisco ESA(Email Security Appliance)에서 콘텐츠 유형 기반 문자 집합을 탐지하고 이에 대한 작업을 수행하기 위해 필터를 작성하고 구성하는 방법에 대해 설명합니다. 다음 문서를 사용하여 스팸 메시지에 나타난 외국어 기반 문자를 탐지할 수 있습니다.
배경 정보
ESA 관리자는 회사 또는 도메인에 대한 합법적인 메일이 아닌 문자 기반 외국어가 포함된 메일 메시지를 수신할 수 있습니다. ESA에서 다루는 한 가지 방법은 세 가지입니다.
-
콘텐츠 형식을 탐지하기 위한 필터를 작성합니다.
-
필터에서 문자 기반 사전을 참조하는 필터를 작성합니다.
- Message Language(메시지 언어) 조건을 사용하여 필터를 작성합니다. (이 옵션은 AsyncOS Email Security 10.0.0-203 이상의 새로운 기능입니다.)
콘텐츠 형식 기반 문자 집합을 차단하는 방법
콘텐츠 형식을 탐지하기 위한 필터 작성
첫 번째 옵션은 관리자가 필터를 작성 및 구성하고 필요에 따라 메일 정책에 연결하는 것입니다.
참고: 이 필터를 메시지 필터로 작성하고 구성하는 데 문자 집합에 대한 전자 메일 본문을 스캔하려면 리소스가 많이 필요할 수 있습니다.
참고: 콘텐츠 필터는 안티스팸 검사 후에 발생하므로 콘텐츠 필터로 구성하는 것이 좋습니다. 그러나 필요한 경우 메시지 필터로 작성하고 구성할 수 있습니다.
다음 예에서는 Windows-1251 기반 문자 집합을 통해 러시아어(키릴 자모) 기반 문자가 포함된 메일 메시지를 고려합니다. 컨텐트 필터로 작성됨:
사용된 테스트 이메일은 이메일 본문에 다음을 포함합니다.
Russian uses а, э, ы, у, o, я, е, ё, ю, и as vowels. You could create a message filter set to "Matches any of the following" that test whether "Body" "contains" "и", "Body" "contains" "ё" and so forth until you covered all of the vowels. Ssince English also uses "a" , "e" , "o", and "y" letters don't test for them. The reason for "Matches any of the following" is to logically OR them - you want the action to take place if any of those letters are found.
위와 같이 구성된 콘텐츠 필터를 사용하면 메일 로그는 다음과 유사하게 기록됩니다.
Thu Sep 10 14:50:09 2015 Info: Start MID 164993 ICID 266729
Thu Sep 10 14:50:09 2015 Info: MID 164993 ICID 266729 From: <end_user@test.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 ICID 266729 RID 0 To: <recpient@my_co.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 using engine: SPF Verdict Cache using cached verdict
Thu Sep 10 14:50:09 2015 Info: MID 164993 Message-ID '<7A961F85-A5F1-413F-87CB-C31D2E5605EC@my_co.com>'
Thu Sep 10 14:50:09 2015 Info: MID 164993 Subject 'russian test'
Thu Sep 10 14:50:09 2015 Info: MID 164993 ready 2302 bytes from <end_user@test.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Sep 10 14:50:09 2015 Info: MID 164993 AMP file reputation verdict : CLEAN
Thu Sep 10 14:50:09 2015 Info: MID 164993 using engine: GRAYMAIL negative
Thu Sep 10 14:50:09 2015 Info: MID 164993 Custom Log Entry: <====== WINDOWS-1251 DETECTED ======>
Thu Sep 10 14:50:09 2015 Info: MID 164993 quarantined to "Policy" (content filter:russian_text)
Thu Sep 10 14:50:09 2015 Info: Message finished MID 164993 done
다른 언어와 문자 집합을 사용할 수 있습니다. 자세한 내용은 참조 섹션을 참조하십시오.
문자 기반 사전을 참조하는 필터 작성
두 번째 옵션은 문자 집합 목록을 사전 텍스트 파일에 추가하고 필터에서 이를 참조하는 것입니다.
사전에 문자를 추가하는 예:
이제 문자가 사전에 할당되고 사전 자체가 필터의 조건 항목에서 참조됩니다.
위와 동일한 테스트 이메일을 사용하면 이메일 본문에 다음과 같은 내용이 포함됩니다.
Russian uses а, э, ы, у, o, я, е, ё, ю, и as vowels. You could create a message filter set to "Matches any of the following" that test whether "Body" "contains" "и", "Body" "contains" "ё" and so forth until you covered all of the vowels. Ssince English also uses "a" , "e" , "o", and "y" letters don't test for them. The reason for "Matches any of the following" is to logically OR them - you want the action to take place if any of those letters are found.
사전 일치 조건을 사용하여 위와 같이 구성된 콘텐츠 필터를 사용하면 메일 로그는 다음과 유사하게 기록됩니다.
Thu Sep 10 15:26:08 2015 Info: Start MID 164995 ICID 266737
Thu Sep 10 15:26:08 2015 Info: MID 164995 ICID 266737 From: <end_user@test.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 ICID 266737 RID 0 To: <recpient@my_co.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 using engine: SPF Verdict Cache using cached verdict
Thu Sep 10 15:26:08 2015 Info: SPF Verdict Cache cache status: hits = 6, misses = 4, expires = 1, adds = 4, seconds saved = 0.50, total seconds = 0.85
Thu Sep 10 15:26:08 2015 Info: MID 164995 Message-ID '<BCC88307-EB91-476E-8732-334E9EE84EC8@my_co.com>'
Thu Sep 10 15:26:08 2015 Info: MID 164995 Subject 'russian test 3'
Thu Sep 10 15:26:08 2015 Info: MID 164995 ready 2316 bytes from <end_user@test.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Sep 10 15:26:08 2015 Info: MID 164995 AMP file reputation verdict : CLEAN
Thu Sep 10 15:26:08 2015 Info: MID 164995 using engine: GRAYMAIL negative
Thu Sep 10 15:26:08 2015 Info: MID 164995 Custom Log Entry: <====== WINDOWS-1251 DETECTED VIA DICTIONARY ======>
Thu Sep 10 15:26:08 2015 Info: MID 164995 quarantined to "Policy" (content filter:russian_text_2)
Thu Sep 10 15:26:08 2015 Info: Message finished MID 164995 done
"메시지 언어" 조건을 사용하여 콘텐츠 필터 작성
세 번째 옵션은 "메시지 언어" 조건을 사용하는 것입니다. ESA는 내장된 언어 탐지 엔진을 사용하여 메시지의 언어를 탐지합니다. 어플라이언스는 제목과 메시지 본문을 추출하여 언어 탐지 엔진에 전달합니다.
언어 탐지 엔진은 추출된 텍스트의 각 언어의 확률을 결정하고 이를 어플라이언스에 다시 전달합니다. 어플라이언스는 확률이 가장 높은 언어를 메시지의 언어로 간주합니다. 어플라이언스는 다음 시나리오 중 하나에서 메시지의 언어를 "undetermined"로 간주합니다.
- 탐지된 언어가 ESA에서 지원되지 않는 경우
- 어플라이언스가 메시지의 언어를 탐지할 수 없는 경우
- 언어 탐지 엔진으로 전송된 추출된 텍스트의 총 크기가 50바이트 미만인 경우.
참고: 이 옵션은 AsyncOS Email Security 10.0.0-203 이상에 대한 새로운 기능입니다.
다음 예에서는 중국어/대만 기반 문자 집합이 포함된 메일 메시지를 고려합니다. 컨텐트 필터로 작성됨:
위와 같이 구성된 콘텐츠 필터를 사용하면 메일 로그는 다음과 유사하게 기록됩니다.
Tue Feb 28 06:53:18 2017 Info: Start MID 481 ICID 27
Tue Feb 28 06:53:18 2017 Info: MID 481 ICID 27 From: <end_user@test.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 ICID 27 RID 0 To: <recipient@my_co.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 Subject 'Chinese text test'
Tue Feb 28 06:53:18 2017 Info: MID 481 ready 1047 bytes from <end_user@test.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Feb 28 06:53:18 2017 Info: MID 481 interim verdict using engine: CASE spam negative
Tue Feb 28 06:53:18 2017 Info: MID 481 using engine: CASE spam negative
Tue Feb 28 06:53:18 2017 Info: MID 481 interim AV verdict using Sophos CLEAN
Tue Feb 28 06:53:18 2017 Info: MID 481 antivirus negative
Tue Feb 28 06:53:18 2017 Info: MID 481 using engine: GRAYMAIL negative
Tue Feb 28 06:53:18 2017 Info: MID 481 Message language: 'Chinese/Taiwan'
Tue Feb 28 06:53:18 2017 Info: MID 481 Custom Log Entry: <=========Chinese/Taiwan Language Detected=========>
Tue Feb 28 06:53:18 2017 Info: MID 481 Outbreak Filters: verdict negative
Tue Feb 28 06:53:18 2017 Info: MID 481 quarantined to "Policy" (content filter:Chinese_text)
Tue Feb 28 06:53:18 2017 Info: Message finished MID 481 done
참조
- Microsoft는 문자 집합 이름(.NET 이름)에 코드 페이지 식별자 필터를 작성하고 구성할 때 참조할 수 있습니다.
참고: ANSI 코드 페이지는 다른 컴퓨터에서 다르게 표시될 수 있으며, 단일 컴퓨터에서 변경되어 데이터가 손상될 수 있습니다. 가장 일관된 결과를 얻으려면 응용 프로그램에서 특정 코드 페이지 대신 UTF-8 또는 UTF-16과 같은 유니코드를 사용해야 합니다.
- 모질라진 는 Content-type에 대한 자세한 정보를 제공합니다. 헤더, 외국 문자, 외국 단어 등 외국어 스팸
관련 정보