Introdução
Você pode encontrar que determinados spammer enviarão mensagens muito grandes sem acessórios neles a fim obter a exploração passada do antispam. Se podem enviar uma mensagem que seja maior do que o tamanho máximo da exploração do antispam do motor do antispam ESA, a exploração do antispam será saltada para essa mensagem. Até à data de escrever este artigo, nós não recomendamos aumentar o tamanho máximo da exploração do antispam acima de 2MB a menos que recomendados de outra maneira. Devido a isso, as mensagens acima de 2MB em tamanho podem facilmente contornear o antispam na maioria dos casos.
Este artigo explicará um conceito para tomar a ação nestes tipos de mensagem utilizando um filtro da mensagem.
Requisitos
- Acesso da linha de comando à ferramenta de segurança do email (ESA).
- Conhecimento básico de como escrever filtros da mensagem.
- Conhecimento básico da expressão regular (RegEx).
Criando o filtro da mensagem
Nesta seção, nós estamos indo criar o filtro da mensagem. Este filtro da mensagem combinará todas as mensagens que estão sobre 2MB em tamanho e não contém um acessório:
- Abra um editor de texto e copie-o/pasta o filtro do seguinte mensagem:
large_spam_no_attachment:
if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
Note: Você precisará de criar uma quarentena da política, do vírus e da manifestação (PVO) que combine o nome da quarentena usada na ação da quarentena do filtro da mensagem para que o filtro da mensagem funcione como é. Se não, você deve usar um tipo diferente da ação. Uma vez que esta quarentena PVO é criada e o filtro da mensagem está aplicado ao ESA, nós recomendamos fortemente que você monitora a quarentena PVO e liberamos ou suprimimos de mensagens quarantined como necessário.
- De aqui, você pode querer alterar este filtro da mensagem para caber suas exigências específicas. Por exemplo, se seu tamanho máximo da exploração do antispam é ajustado a 1MB, você pode reduzir o corpo-tamanho para baixo a 1MB.
- Você pode igualmente querer este filtro da mensagem aplicar-se somente às mensagens de um sendergroup ou de um ouvinte particular. Os seguintes são dois exemplos adicionais que poderiam trabalhar para suas finalidades:
large_spam_no_attachment:
if (recv-listener == "IncomingMail") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
large_spam_no_attachment:
if (sendergroup != "RELAYLIST") AND ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
- Se você quer fazer quaisquer mudanças adicionais, eu recomendaria rever a seção do filtro da mensagem no guia da utilização final ESA. Há as seções no guia que fornecem uma lista de circunstâncias e de ações que podem ser usadas.
Aplique o filtro da mensagem ao ESA
Nesta seção, nós estamos indo aplicar o filtro da mensagem criado na seção anterior ao ESA. Os filtros da mensagem podem somente ser aplicados ao ESA através da linha de comando. Assim, você precisará o acesso da linha de comando ao ESA.
- Log no ESA através da linha de comando.
- Execute os seguintes comandos destacados aplicar o filtro da mensagem ao ESA:
ironport.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- IMPORT - Import a filter script from a file.
[]> NEW
Enter filter script. Enter '.' on its own line to end.
large_spam_no_attachment:
if ((body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
.
1 filters added.
- De aqui, você pode querer ver o filtro da mensagem e assegurá-lo é ativo e válido. Você pode fazer aquele executando os comandos seguintes:
ironport.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> LIST
Num Active Valid Name
1 Y Y large_spam_no_attachment
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> DETAIL
Enter the filter name, number, or range:
[]> 1
Num Active Valid Name
1 Y Y large_spam_no_attachment
large_spam_no_attachment: if (body-size > 2097152) AND NOT (attachment-size > 0)) {
quarantine("large_spam");
log-entry("*****This is a large message with no attachments*****");
}
- Execute o comando commit e adicionar todo o relevante comprometem comentários:
ironport.example.com> commit
Please enter some comments describing your changes:
[]> Applied large_spam_no_attachment message filter
Recursos adicionais
Guia do utilizador final ESA
Feedback