创建邮件过滤器

接下来，您需要创建邮件过滤器以利用刚创建的词典“VALID_INTERNAL_DOMAINS”:

1. 连接到ESA的命令行界面(CLI)。
2. 运行命令Filters。
3. 运行命令New创建新的邮件过滤器。
4. 复制并粘贴此过滤器示例，根据需要编辑实际的发件人组名称：
   
   
   

   mark_spoofed_messages:
   if(
        (mail-from-dictionary-match("VALID_INTERNAL_DOMAINS", 1)) 
    OR  (header-dictionary-match("VALID_INTERNAL_DOMAINS","From", 1))) 
    AND ((sendergroup != "RELAYLIST") 
    AND (sendergroup != "MY_TRUSTED_SPOOF_HOSTS")
     ) 
   {
   insert-header("X-Spoof", "");
   } 

5. 返回主CLI提示符并运行Commit以保存配置。
6. 导航到GUI > Mail Policies > Incoming Content Filters
7. 创建对欺骗报头X-Spoof执行操作的传入内容过滤器：

   1. 添加其他信头

   2. 报头名称：X-Spoof

   3. 报头存在单选按钮

   4. 添加操作：duplicate-quarantine(Policy)。 
      

      注意：此处显示的“复制邮件”功能保留邮件的副本，并继续向收件人发送原始邮件。 

      
      
      
      
      
      
8. 通过GUI > Mail Policies > Incoming Mail Policies将内容过滤器链接到传入邮件策略。
9. 提交并确认更改。

向MY_TRUSTED_SPOOF_HOSTS添加欺骗异常

最后，您需要将欺骗异常（IP地址或主机名）添加到MY_TRUSTED_SPOOF_HOSTS发件人组。 

1. 通过Web GUI导航：邮件策略> HAT概述
2. 单击并打开MY_TRUSTED_SPOOF_HOSTS发件人组。
3. 单击Add Sender... 以添加IP地址、范围、主机名或部分主机名。
4. 单击Submit保存发件人更改。
5. 最后，单击Commit Changes以保存配置。

示例：

验证

验证伪装邮件是否被隔离

发送测试消息，指定其中一个域作为信封发件人。通过对邮件执行邮件跟踪，验证过滤器是否按预期工作。预期的结果是邮件被隔离，因为您尚未为允许假冒的发件人创建任何例外。 

Thu Apr 23 07:09:53 2015 Info: MID 102 ICID 9 RID 0 To: <xxxx_xxxx@domain.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 Subject 'test1'
Thu Apr 23 07:10:07 2015 Info: MID 102 ready 177 bytes from <user_1@example.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:10:11 2015 Info: MID 102 interim verdict using engine: CASE spam negative
Thu Apr 23 07:10:11 2015 Info: MID 102 using engine: CASE spam negative
Thu Apr 23 07:10:11 2015 Info: MID 102 interim AV verdict using Sophos CLEAN
Thu Apr 23 07:10:11 2015 Info: MID 102 antivirus negative
Thu Apr 23 07:10:12 2015 Info: MID 102 quarantined to "Policy" (message filter:quarantine_spoofed_messages)
Thu Apr 23 07:10:12 2015 Info: Message finished MID 102 done

验证是否正在传送欺骗异常消息

欺骗例外发件人是上面过滤器中引用的发件人组中的IP地址。

引用RELAYLIST的原因是ESA用它来发送出站邮件。由RELAYLIST发送的邮件通常是出站邮件，若不包含，则会产生误报，或以上过滤器隔离的出站邮件。

添加到MY_TRUSTED_SPOOF_HOSTS的欺骗异常IP地址的邮件跟踪示例。预期操作为deliver而不是quarantine。（此IP允许伪装）。

Thu Apr 23 07:25:57 2015 Info: Start MID 108 ICID 11
Thu Apr 23 07:25:57 2015 Info: MID 108 ICID 11 From: <user_1@example.com>
Thu Apr 23 07:26:02 2015 Info: MID 108 ICID 11 RID 0 To: <user_xxxx@domain.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 Subject 'test2'
Thu Apr 23 07:26:10 2015 Info: MID 108 ready 163 bytes from <user_1@example.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:26:10 2015 Info: MID 108 interim AV verdict using Sophos CLEAN
Thu Apr 23 07:26:10 2015 Info: MID 108 antivirus negative
Thu Apr 23 07:26:10 2015 Info: MID 108 queued for delivery
Thu Apr 23 07:26:10 2015 Info: Delivery start DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: Message done DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: MID 108 RID [0] Response '2.0.0 t58EVG9N031598 Message accepted for delivery'
Thu Apr 23 07:26:11 2015 Info: Message finished MID 108 done

相关信息

• ESA欺骗邮件过滤
• 使用发件人验证进行欺骗保护