简介
本文档介绍如何根据特定顶级域(TLD)阻止思科安全邮件中的URL。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于Cisco Secure Email。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
根据特定TLD阻止URL是保护您的电子邮件系统免受潜在威胁的有效方法。思科邮件安全网关(CES/ESA)会分析URL的信誉,并根据各种标准执行这些信誉。
但是,如果您的公司策略要求阻止某些TLD,此过程将说明如何使用邮件系统中的过滤器和词典来实现此功能。
步骤1.创建过滤器
要阻止整个TLD,您首先需要在邮件系统中创建内容过滤器。此过滤器标识并阻止包含您要限制的TLD的URL。您可以使用词典管理TLD列表并合并相关正则表达式,从而增强此过程。通过将这些正则表达式添加到词典,您可以有效地管理和应用过滤条件。
步骤2.使用正则表达式
正则表达式(regex)是识别URL中特定模式的强大工具。
为了有效阻止基于TLD的URL,您可以将这些正则表达式添加到词典。此方法可实现轻松管理和更新您的过滤条件:
1.用于阻止以HTTP或HTTPS开头的URL的正则表达式, 包括对Punycode域的支持:
(?i)https?:\/\/((xn--\w+\.)|(\w+\.))+(zip|mov)
2.使用电子邮件格式阻止URL的正则表达式,也支持Punycode:
(?i)https?:\/\/.*@((xn--\w+\.)|(\w+\.))+(zip|mov)
通过将这些正则表达式添加到词典,您可以简化过滤URL的过程,确保您的电子邮件系统有效地阻止指定的TLD。

注意:如果需要考虑Unicode字符,例如U+2215(∕)和U+2044(/),可能需要对正则表达式进行其他调整。
步骤3.在监控模式下测试
在生产环境中实施这些过滤器之前,建议在监控模式下使用它们。此方法允许您评估过滤器的有效性,而无需立即阻止电子邮件,从而避免您的电子邮件系统遭受任何意外中断。
在监控模式下,系统会记录URL与指定条件匹配的实例,使您能够观察结果并进行必要的调整。为了便于操作,您可以配置日志条目操作,以捕获有关匹配URL的相关信息。例如,您可以使用此日志条目操作:
log-entry("URL TLD: $MatchedContent")
此操作会记录与您的过滤条件匹配的特定内容,从而提供在过滤器处于活动状态时将阻止的URL的有价值见解。通过查看这些日志,您可以微调正则表达式和字典条目,以确保它们准确捕获预期的URL,而不会影响合法电子邮件。
此外,通过监控一段时间的日志,您可以评估过滤器的性能影响并根据需要进行优化。一旦您确信过滤器按预期运行,就可以从监控模式转换为主动阻止模式:

性能注意事项
对正则表达式的广泛使用可能会影响电子邮件系统的性能。因此,必须根据需要进行测试和优化。
结论
根据特定TLD阻止URL可以增强邮件系统的安全性。值得注意的是,Google引入的新TLD(例如.zip和.mov)因其与流行的文件扩展名相似而引起了安全担忧。仔细测试您的过滤器,并考虑其对性能的影响,有助于维护一个高效安全的系统。
Google Registry宣布了8个新的TLD:.dad、.phd、.prof、.esq、.foo、.zip、.mov和.nexus。但是,.zip和.mov特别受到关注,因为它们与广泛使用的文件扩展名相似,因此必须在您的安全措施中解决这些问题。
有关.zip TLD安全影响的更多见解,请参阅Talos情报博客文章:ZIP TLD信息泄漏。该资源进一步说明了与这些TLD相关的潜在风险,并强调了实施适当过滤战略的重要性。