Inleiding
U kunt vinden dat bepaalde spammers zeer grote berichten zonder bijlagen in hen zullen verzenden om voorbij antispam scannen te krijgen. Als zij een bericht kunnen verzenden dat groter is dan de antispam max scangrootte van de ESA antispam engine, zal antispam scanning worden overgeslagen voor dat bericht. Op het moment van schrijven van dit artikel, raden we niet aan om de antispam max scangrootte te verhogen boven 2MB, tenzij anders aanbevolen. Hierdoor kunnen berichten van meer dan 2 MB in de meeste gevallen gemakkelijk antispam omzeilen.
In dit artikel wordt een concept uitgelegd om actie te ondernemen op dit soort berichten door gebruik te maken van een berichtfilter.
Vereisten
- Toegang via opdrachtregel tot de e-mail security applicatie (ESA).
- Basiskennis van het schrijven van berichtfilters.
- Basiskennis van Regular Expression (RegEx).
Het berichtfilter maken
In deze sectie gaan we de berichtfilter aanmaken. Dit berichtfilter komt overeen met alle berichten die meer dan 2 MB groot zijn en geen bijlage bevatten:
- Open een teksteditor en kopieer/plak het volgende berichtfilter:
large_spam_no_attachment:
if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
Opmerking: U moet een Policy, Virus and Outbreak (PVO) quarantaine creëren die overeenkomt met de naam van de quarantaine die wordt gebruikt in de quarantaine-actie van de berichtenfilter om de berichtfilter te laten functioneren zoals hij is. Anders moet u een ander actietype gebruiken. Zodra deze PVO quarantaine is gecreëerd en de berichtenfilter wordt toegepast op de ESA, raden we u ten zeerste aan om de PVO quarantaine te bewaken en quarantaine berichten vrij te geven of te verwijderen als dat nodig is.
- Vanaf hier kunt u dit berichtfilter aanpassen aan uw specifieke vereisten. Als uw antispam max scangrootte is ingesteld op 1MB, kunt u de body-size reduceren tot 1MB.
- U kunt ook willen dat dit berichtfilter alleen van toepassing is op berichten van een bepaalde afzendergroep of luisteraar. Het volgende zijn twee extra voorbeelden die voor uw doeleinden zouden kunnen werken:
large_spam_no_attachment:
if (recv-listener == "IncomingMail") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
large_spam_no_attachment:
if (sendergroup != "RELAYLIST") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
- Als u nog wijzigingen wilt aanbrengen, is het raadzaam het berichtfiltergedeelte te bekijken in de ESR-eindgebruikershandleiding. De handleiding bevat secties met een lijst van voorwaarden en acties die kunnen worden gebruikt.
Breng het berichtfilter op de ESE aan
In dit deel gaan we de berichtfilter die in de vorige paragraaf is gecreëerd, toepassen op de ESA. Berichtfilters kunnen alleen via de opdrachtregel op de ESE worden toegepast. U hebt dus toegang nodig tot de ESA via de opdrachtregel.
- Log in op de ESA via de opdrachtregel.
- Voer de volgende gemarkeerde opdrachten uit om het berichtfilter op de ESE toe te passen:
ironport.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- IMPORT - Import a filter script from a file.
[]> NEW
Enter filter script. Enter '.' on its own line to end.
large_spam_no_attachment:
if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
.
1 filters added.
- Vanaf hier kunt u het berichtfilter bekijken en ervoor zorgen dat het actief en geldig is. U kunt dat doen door de volgende opdrachten uit te voeren:
ironport.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> LIST
Num Active Valid Name
1 Y Y large_spam_no_attachment
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> DETAIL
Enter the filter name, number, or range:
[]> 1
Num Active Valid Name
1 Y Y large_spam_no_attachment
large_spam_no_attachment: if (body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
- Voer de opdracht commit uit en voeg alle relevante commit commentaren toe:
ironport.example.com> commit
Please enter some comments describing your changes:
[]> Applied large_spam_no_attachment message filter
Aanvullende bronnen
ESA-eindgebruikershandleiding
Feedback