Introdução
Você pode descobrir que determinados spammers enviarão mensagens muito grandes sem anexos para passar pela varredura antispam. Se eles puderem enviar uma mensagem maior que o tamanho máximo de varredura antispam do mecanismo antispam ESA, a varredura antispam será ignorada para essa mensagem. No momento em que este artigo foi escrito, não recomendamos o aumento do tamanho máximo de varredura antispam acima de 2 MB, a menos que seja recomendado de outra forma. Por causa disso, as mensagens acima de 2 MB de tamanho podem facilmente ignorar o antispam na maioria dos casos.
Este artigo explicará um conceito para executar ações nesses tipos de mensagens utilizando um filtro de mensagens.
Requisitos
- Acesso via linha de comando ao ESA (Email Security Appliance, dispositivo de segurança de e-mail).
- Conhecimento básico de como gravar filtros de mensagem.
- Conhecimento básico de expressão regular (RegEx).
Criando o filtro de mensagens
Nesta seção, criaremos o filtro de mensagens. Este filtro de mensagens corresponderá a todas as mensagens com mais de 2 MB e que não contenham anexos:
- Abra um editor de texto e copie/cole o seguinte filtro de mensagens:
large_spam_no_attachment:
if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
Note: Você precisará criar uma quarentena de política, vírus e epidemia (PVO) que corresponda ao nome da quarentena usada na ação de quarentena do filtro de mensagens para que o filtro de mensagens funcione como está. Caso contrário, você deve usar um tipo de ação diferente. Quando essa quarentena PVO for criada e o filtro de mensagens for aplicado ao ESA, recomendamos que você monitore a quarentena PVO e libere ou exclua as mensagens em quarentena conforme necessário.
- A partir daqui, talvez você queira alterar esse filtro de mensagem para se ajustar aos seus requisitos específicos. Por exemplo, se o tamanho máximo da varredura antispam for definido como 1 MB, você poderá reduzir o tamanho do corpo para 1 MB.
- Você também pode desejar que esse filtro de mensagens se aplique somente a mensagens de um grupo de remetente ou ouvinte específico. A seguir estão dois exemplos adicionais que podem funcionar para suas finalidades:
large_spam_no_attachment:
if (recv-listener == "IncomingMail") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
large_spam_no_attachment:
if (sendergroup != "RELAYLIST") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
- Se você quiser fazer alterações adicionais, eu recomendaria revisar a seção do filtro de mensagens no Guia de uso final do ESA. Há seções no guia que fornecem uma lista de condições e ações que podem ser usadas.
Aplicar o filtro de mensagens ao ESA
Nesta seção, aplicaremos ao ESA o filtro de mensagens criado na seção anterior. Os filtros de mensagens só podem ser aplicados ao ESA através da linha de comando. Portanto, você precisará de acesso de linha de comando ao ESA.
- Efetue login no ESA via linha de comando.
- Execute os seguintes comandos destacados para aplicar o filtro de mensagens ao ESA:
ironport.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- IMPORT - Import a filter script from a file.
[]> NEW
Enter filter script. Enter '.' on its own line to end.
large_spam_no_attachment:
if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
.
1 filters added.
- A partir daqui, talvez você queira exibir o filtro de mensagens e verificar se ele está ativo e válido. Você pode fazer isso executando os seguintes comandos:
ironport.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> LIST
Num Active Valid Name
1 Y Y large_spam_no_attachment
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> DETAIL
Enter the filter name, number, or range:
[]> 1
Num Active Valid Name
1 Y Y large_spam_no_attachment
large_spam_no_attachment: if (body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
- Execute o comando commit e adicione quaisquer comentários de commit relevantes:
ironport.example.com> commit
Please enter some comments describing your changes:
[]> Applied large_spam_no_attachment message filter
Recursos adicionais
Guia do usuário final do ESA