Op contenttype gebaseerde tekensets blokkeren

Downloadopties

  • PDF     (619.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (379.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (416.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:11 april 2017
Document-id:200147

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u een filter kunt schrijven en configureren om op basis van contenttype tekensets op de Cisco Email Security Applicatie (ESA) te detecteren en actie te ondernemen. Het volgende document kan worden gebruikt om op vreemde talen gebaseerde tekens te detecteren die in spamberichten worden gezien.

Achtergrondinformatie

  

ESA-beheerders kunnen een stroom e-mailberichten ontvangen die op tekens gebaseerde vreemde talen bevatten die geen legitieme e-mail voor hun bedrijf of domein(en) zijn.  Eén manier om de problemen van het ESA aan te pakken, we hebben drie opties:

  1. Schrijf een filter om inhoudstype te detecteren.
  2. Schrijf een filter om een op teken gebaseerd woordenboek in een filter van verwijzingen te voorzien.
  3. Schrijf een filter onder de voorwaarde Berichttaal. (Deze optie is een nieuwe functie voor AsyncOS Email Security 10.0.0-203 en nieuwer.)

Op contenttype gebaseerde tekensets blokkeren

Schrijf een filter om inhoudstype te detecteren

De eerste optie is voor de beheerder om een filter te schrijven en te vormen, en het te koppelen aan een postbeleid, zoals nodig.

Opmerking: het schrijven en configureren van dit filter als een berichtfilter kan veel geld kosten om de e-mailreeks voor de tekensets te scannen.

Opmerking: het is sterk aanbevolen dit als een inhoudsfilter te configureren, aangezien inhoudsfilters optreden na anti-spamscannen.  Dit kan echter, indien nodig, als een berichtfilter worden geschreven en geconfigureerd.

In het volgende voorbeeld wordt rekening gehouden met een e-mailbericht dat Russische (Cyrillische) tekens bevat via de op Windows-1251 gebaseerde tekenset.  Geschreven als een content filter:

200147-How-to-Block-Content-Type-Based-Characte-00.png

De gebruikte test-e-mail bevat de volgende elementen in de hoofdtekst van de e-mail:

Russian uses а, э, ы, у, o, я, е, ё, ю, и as vowels. You could create a message filter set to "Matches any of the following" that test whether "Body" "contains" "и", "Body" "contains" "ё" and so forth until you covered all of the vowels. Ssince English also uses "a" , "e" , "o", and "y" letters don't test for them. The reason for "Matches any of the following" is to logically OR them - you want the action to take place if any of those letters are found.

Als het inhoudsfilter op de hierboven beschreven wijze zou zijn geconfigureerd, zouden de e-maillogbestanden op de volgende manieren worden geregistreerd:

Thu Sep 10 14:50:09 2015 Info: Start MID 164993 ICID 266729
Thu Sep 10 14:50:09 2015 Info: MID 164993 ICID 266729 From: <end_user@test.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 ICID 266729 RID 0 To: <recpient@my_co.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 using engine: SPF Verdict Cache using cached verdict
Thu Sep 10 14:50:09 2015 Info: MID 164993 Message-ID '<7A961F85-A5F1-413F-87CB-C31D2E5605EC@my_co.com>'
Thu Sep 10 14:50:09 2015 Info: MID 164993 Subject 'russian test'
Thu Sep 10 14:50:09 2015 Info: MID 164993 ready 2302 bytes from <end_user@test.com>
Thu Sep 10 14:50:09 2015 Info: MID 164993 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Sep 10 14:50:09 2015 Info: MID 164993 AMP file reputation verdict : CLEAN
Thu Sep 10 14:50:09 2015 Info: MID 164993 using engine: GRAYMAIL negative
Thu Sep 10 14:50:09 2015 Info: MID 164993 Custom Log Entry: <====== WINDOWS-1251 DETECTED ======>
Thu Sep 10 14:50:09 2015 Info: MID 164993 quarantined to "Policy" (content filter:russian_text)
Thu Sep 10 14:50:09 2015 Info: Message finished MID 164993 done

Er kunnen andere talen en tekensets worden gebruikt.  Raadpleeg de sectie Referenties voor meer informatie.

Schrijf een filter om naar een op teken gebaseerd woordenboek te verwijzen

De tweede optie is om de lijst met tekensets toe te voegen aan een woordenboektekstbestand en naar de lijst in het filter te verwijzen.

Voorbeeld van het toevoegen van tekens aan het woordenboek:

200147-How-to-Block-Content-Type-Based-Characte-01.png

De tekens worden nu aan het woordenboek toegewezen en in de voorwaarde-items voor het filter wordt naar het woordenboek zelf verwezen:

200147-How-to-Block-Content-Type-Based-Characte-02.png

Het gebruik van dezelfde test e-mail als hierboven, bevat het volgende in de inhoud van de e-mail:

Russian uses а, э, ы, у, o, я, е, ё, ю, и as vowels. You could create a message filter set to "Matches any of the following" that test whether "Body" "contains" "и", "Body" "contains" "ё" and so forth until you covered all of the vowels. Ssince English also uses "a" , "e" , "o", and "y" letters don't test for them. The reason for "Matches any of the following" is to logically OR them - you want the action to take place if any of those letters are found.

Als het inhoudsfilter op de bovenstaande manier is geconfigureerd met de voorwaarde voor woordenboekovereenkomsten, worden in de e-maillogbestanden soortgelijke gegevens opgenomen als in het volgende:

Thu Sep 10 15:26:08 2015 Info: Start MID 164995 ICID 266737
Thu Sep 10 15:26:08 2015 Info: MID 164995 ICID 266737 From: <end_user@test.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 ICID 266737 RID 0 To: <recpient@my_co.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 using engine: SPF Verdict Cache using cached verdict
Thu Sep 10 15:26:08 2015 Info: SPF Verdict Cache cache status: hits = 6, misses = 4, expires = 1, adds = 4, seconds saved = 0.50, total seconds = 0.85
Thu Sep 10 15:26:08 2015 Info: MID 164995 Message-ID '<BCC88307-EB91-476E-8732-334E9EE84EC8@my_co.com>'
Thu Sep 10 15:26:08 2015 Info: MID 164995 Subject 'russian test 3'
Thu Sep 10 15:26:08 2015 Info: MID 164995 ready 2316 bytes from <end_user@test.com>
Thu Sep 10 15:26:08 2015 Info: MID 164995 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Sep 10 15:26:08 2015 Info: MID 164995 AMP file reputation verdict : CLEAN
Thu Sep 10 15:26:08 2015 Info: MID 164995 using engine: GRAYMAIL negative
Thu Sep 10 15:26:08 2015 Info: MID 164995 Custom Log Entry: <====== WINDOWS-1251 DETECTED VIA DICTIONARY ======>
Thu Sep 10 15:26:08 2015 Info: MID 164995 quarantined to "Policy" (content filter:russian_text_2)
Thu Sep 10 15:26:08 2015 Info: Message finished MID 164995 done

Schrijf een inhoudsfilter met behulp van de voorwaarde "Berichttaal"

De derde optie is om de "taal van het bericht" voorwaarde te gebruiken. Het ESA gebruikt de ingebouwde taaldetectiemotor om de taal in een bericht te detecteren. Het apparaat extraheert het onderwerp en de berichttekst en geeft deze door aan de taaldetectiemachine.

De taaldetectiemachine bepaalt de waarschijnlijkheid van elke taal in de geëxtraheerde tekst en geeft deze door aan het apparaat. Het apparaat beschouwt de taal met de hoogste waarschijnlijkheid als de taal van het bericht. Het apparaat beschouwt de taal van het bericht als "onbepaald" in een van de volgende scenario's:

  • Indien de gedetecteerde taal niet door het ESA wordt ondersteund
  • Als het apparaat de taal van het bericht niet kan herkennen
  • Als de totale grootte van de geëxtraheerde tekst die naar de taaldetectie-engine is verzonden, minder dan 50 bytes bedraagt.

Opmerking: deze optie is een nieuwe functie voor AsyncOS Email Security 10.0.0-203 en nieuwer.

In het volgende voorbeeld wordt rekening gehouden met een e-mailbericht dat op Chinees/Taiwan gebaseerde tekenset bevat.  Geschreven als een content filter:

200147-How-to-Block-Content-Type-Based-Characte-03.jpeg

Als het inhoudsfilter op de hierboven beschreven wijze zou zijn geconfigureerd, zouden de e-maillogbestanden op de volgende manieren worden geregistreerd:

Tue Feb 28 06:53:18 2017 Info: Start MID 481 ICID 27
Tue Feb 28 06:53:18 2017 Info: MID 481 ICID 27 From: <end_user@test.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 ICID 27 RID 0 To: <recipient@my_co.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 Subject 'Chinese text test'
Tue Feb 28 06:53:18 2017 Info: MID 481 ready 1047 bytes from <end_user@test.com>
Tue Feb 28 06:53:18 2017 Info: MID 481 matched all recipients for per-recipient policy DEFAULT in the inbound table
Tue Feb 28 06:53:18 2017 Info: MID 481 interim verdict using engine: CASE spam negative
Tue Feb 28 06:53:18 2017 Info: MID 481 using engine: CASE spam negative
Tue Feb 28 06:53:18 2017 Info: MID 481 interim AV verdict using Sophos CLEAN
Tue Feb 28 06:53:18 2017 Info: MID 481 antivirus negative
Tue Feb 28 06:53:18 2017 Info: MID 481 using engine: GRAYMAIL negative
Tue Feb 28 06:53:18 2017 Info: MID 481 Message language: 'Chinese/Taiwan'
Tue Feb 28 06:53:18 2017 Info: MID 481 Custom Log Entry: <=========Chinese/Taiwan Language Detected=========>
Tue Feb 28 06:53:18 2017 Info: MID 481 Outbreak Filters: verdict negative
Tue Feb 28 06:53:18 2017 Info: MID 481 quarantined to "Policy" (content filter:Chinese_text)
Tue Feb 28 06:53:18 2017 Info: Message finished MID 481 done

  

Referenties

  • Microsoft geeft namen aan voor de tekenset (.NET-naam) in hun Identificatiecodes codepagina die bij het schrijven en configureren van filters kan worden gebruikt.

Opmerking: ANSI-codepagina's kunnen op verschillende computers verschillend zijn of kunnen voor één computer worden gewijzigd, wat leidt tot gegevenscorruptie. Voor de meest consistente resultaten moeten toepassingen Unicode gebruiken, zoals UTF-8 of UTF-16, in plaats van een specifieke codepagina.

  • Mozillazine bevat diepgaande details voor Content-type: header, buitenlandse letters, vreemde woorden, en meer, in hun artikel voor Vreemde taal spam

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
10-Feb-2017
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten