无条件

在内容过滤器中指定条件是可选的。如果没有指定条件，则意味着使用 true 规则。true 规则会匹配所有邮件，并且始终会执行操作。

邮件正文或附件

包含文本：邮件正文是否包含文本或与特定模式匹配的附件？

包含智能标识符前缀：邮件正文或附件中的内容是否与带有前缀 (‘credit,' 'ssn,' 'cusip,' 或 'aba) 的智能标识符匹配？

包含内容词典中的术语：邮件正文是否包含名为 <词典名称> 的内容词典中的任何正则表达式或术语？

要启用此选项，必须已创建词典。请参阅内容词典。

需要的匹配数量。指定要使该规则求值为 true 所需的匹配数量。可以为文本、智能标识符或内容词典术语指定此阈值。

这包括传送-状态部分和关联的附件。

消息内容

包含文本：邮件正文是否包含与特定模式匹配的文本？

包含智能标识符：邮件正文中的内容是否与智能标识符匹配？智能标识符可以检测以下模式：

• 信用卡号

• 美国社会保险号

• CUSIP（统一证券识别程序委员会）号码

• ABA（美国银行协会）路由号码

包含智能标识符前缀：邮件正文中的内容是否与带有前缀 (‘credit,' 'ssn,' 'cusip,' 或 'aba) 的智能标识符匹配？

包含内容词典中的术语：邮件正文是否包含名为 <词典名称> 的内容词典中的任何正则表达式或术语？

要启用此选项，必须已创建词典。请参阅内容词典。

需要的匹配数量。指定要使该规则求值为 true 所需的匹配数量。可以为文本或智能标识符指定此阈值。

此规则仅适用于邮件的正文。它不包括附件或信头。

URL 类别

请参阅按 URL 信誉或 URL 类别过滤：条件和规则 和 关于 URL 类别。

消息大小

正文大小是否在指定的范围内？正文大小是指邮件的大小，包括信头和附件。body-size 规则选择正文大小与指定数字相匹配的邮件。

宏检测

传入或传出邮件是否包含启用宏的附件？

您可以使用宏检测条件检测所选文件类型的邮件中启用宏的附件。

附件内容

包含文本。邮件是否包含文本或另一个附件与指定模式匹配的附件？此规则类似于 body-contains() 规则，只是它会尝试避免扫描邮件的整个“正文”。也即，只扫描用户视为附件的部分。

包含智能标识符。邮件附件中的内容是否与指定的智能标识符匹配？

包含智能标识符前缀：邮件附件中的内容是否与带有前缀 (‘credit,' 'ssn,' 'cusip,' 或 'aba) 的智能标识符匹配？

包含内容词典中的术语。附件是否包含名为 <词典名称> 的内容词典中的任何正则表达式或术语？

要搜索词典术语，必须已创建词典。请参阅内容词典。

需要的匹配数量。指定要使该规则求值为 true 所需的匹配数量。可以为文本、智能标识符或内容词典匹配指定此阈值。

附件文件信息

文件名。邮件是否包含其文件名与特定模式匹配的附件？

文件名包含内容词典中的术语。邮件是否包含其文件名包含名为 <词典名称> 的内容词典中的任何正则表达式或术语的附件？

要启用此选项，必须已创建词典。请参阅内容词典。

文件类型。邮件是否具有其文件类型基于指纹与特定模式匹配的附件（与 UNIX 的 file 命令类似）？

MIME 类型。邮件是否具有特定 MIME 类型的附件？该规则与 attachment-type 规则类似，不同之处在于该规则会评估 MIME 附件指定的 MIME 类型。（如果没有明确指明文件类型，则邮件网关不会尝试根据其扩展名来“猜测”文件的类型。）

文件散列列表。邮件是否包含与特定文件 SHA-256 值匹配的附件？从下拉列表中选择所需的文件散列列表。

图像分析。邮件是否具有与指定的图像判定匹配的图像附件？有效的图像分析判定包括：可疑、不当、可疑或不当、不可扫描或者正常。

外部威胁源：文件是否与选定外部威胁源来源的威胁信息相匹配？

选择文件散列异常列表：（可选）选择您不希望邮件网关检测威胁的已在允许之列的文件散列列表。

有关详细信息，请参阅将邮件网关配置为使用外部威胁源。

附件已损坏。此邮件是否具有已损坏的附件？

附件保护

包含受密码保护或加密的附件。

（例如，使用此条件来识别可能不可扫描的附件）

包含未受密码保护或加密的附件。

主题信头

主题信头：主题信头是否与特定模式匹配？

包含内容词典中的术语：主题信头是否包含名为 <词典名称> 的内容词典中的任何正则表达式或术语？

要搜索词典术语，必须已创建词典。请参阅内容词典。

其他信头

信头名称：邮件是否包含特定信头？

信头值：该信头的值是否与特定模式匹配？

信头值包含内容词典中的术语。指定的信头是否包含名为 <词典名称> 的内容词典中的任何正则表达式或术语？

要搜索词典术语，必须已创建词典。请参阅内容词典

有关如何显示如何使用此选项的示例，请参阅使用自定义信头将疑似垃圾邮件中的 URL 重定向到思科网络安全代理：配置示例。

信封发件人

信封发件人。信封发件人（即，<MAIL FROM>）是否与指定模式匹配？

匹配 LDAP 组。信封发件人（即，<MAIL FROM>）是否在指定的 LDAP 组中？

包含内容词典中的术语。信封发件人是否包含 dictionary name 内容词典中的任何正则表达式或术语？

要搜索词典术语，必须已创建词典。请参阅内容词典。

信封收件人

信封收件人。信封收件人（即 Envelope To <RCPT TO>）是否与指定模式匹配？

匹配 LDAP 组。信封收件人（即 Envelope To <RCPT TO>）是否在指定的 LDAP 组中？

包含内容词典中的术语。信封收件人是否包含 dictionary name 内容词典中的任何正则表达式或术语？

要搜索词典术语，必须已创建词典。请参阅内容词典。

信封发件人（即，<MAIL FROM>）是否在指定的 LDAP 组中？

接收侦听程序

邮件是否通过指定的侦听程序接收？侦听程序名称必须是系统上当前配置的侦听程序的名称。

远程 IP

邮件是否来自与指定 IP 地址或 IP 地址范围匹配的远程主机？远程 IP 规则会进行测试以确定发送该邮件的主机的 IP 地址是否与特定模式匹配。该地址可以是互联网协议版本 4 (IPv4) 或版本 6 (IPv6) 地址。IP 地址模式使用 发件人组语法中描述的允许的主机记法指定，但 SBO、IPR、dnslist 记法和特殊关键字 ALL 除外。

信誉得分

什么是发件人的 IP 信誉得分？信誉得分规则根据另一个值来检查 IP 信誉得分。

DKIM 身份验证

DKIM 身份验证已通过、部分验证、暂时无法验证且返回、永久失败还是未返回 DKIM 结果？

伪造邮件检测

是否为伪造邮件的发件人邮箱？此规则检查邮件的“发件人:”信头是否与内容字典中的任何用户相似。

选择内容词典并输入阈值（1 到 100），以将邮件视为潜在伪造邮件。

伪造的邮件检测条件将“发件人：”信头与内容词典中的用户进行比较。在此过程中，邮件网关将根据相似性为词典中的每个用户分配相似性得分。以下列出某些示例：

• 如果“发件人:”信头为 <j0hn.sim0ns@example.com>，并且内容词典包含用户“John Simons”，则邮件网关会将相似性得分 82 分配给该用户。
• 如果“发件人:”信头为 <john.simons@diff-example.com>，并且内容词典包含用户“John Simons”，则邮件网关会将相似性得分 100 分配给该用户。

相似性得分越高，邮件是伪造邮件的可能性就越大。如果相似性得分高于或等于指定的阈值，则会触发过滤器操作。

有关详细信息，请参阅伪造邮件检测。

SPF 验证

什么是 SPF 验证状态？此过滤器规则允许查询不同的 SPF 验证结果。有关 SPF 验证的详细信息，请参阅“邮件身份验证”一章。

S/MIME 网关邮件

邮件是否已经过 S/MIME 签名、加密或签名并加密？有关详细信息，请参阅S/MIME 安全服务

S/MIME 网关已验证

S/MIME 邮件是否已成功通过验证，解密或已成功解密并验证？有关详细信息，请参阅S/MIME 安全服务

邮件语言

邮件（主题和正文）是否为其中一种所选语言？此条件不会检查附件和报头中的语言。

语言检测的工作原理是什么？

邮件网关使用内置语言检测引擎来检测邮件中所采用的语言。邮件网关将提取主题和邮件正文，并将其传递到语言检测引擎。

语言检测引擎将确定提取的文本中每种语言的概率，并将其传递回邮件网关。邮件网关将概率最高的语言视为邮件的语言。在下列某种情况下，邮件网关会将邮件的语言视为“待定”：

• 如果邮件网关不支持检测到的语言
• 如果邮件网关无法检测到邮件的语言
• 如果发送到语言检测引擎的提取文本的总大小小于 50 字节。

重复边界验证

邮件是否包含重复的 MIME 边界？

如果要对包含重复 MIME 边界的邮件执行操作，请使用此条件。

地理定位

邮件是否来自选定的国家/地区？

您可以使用地理定位条件来处理来自您所选特定国家/地区的传入邮件。

域信誉

发件人域是否与指定的条件匹配？

• 发件人域信誉

• 外部威胁源

有关详细信息，请参阅将邮件网关配置为使用外部威胁源或发件人域信誉过滤

隔离

隔离 (Quarantine)。标记要保留在某一个策略隔离区中的邮件。

复制邮件：将邮件的副本发送到指定的隔离区，并继续处理原始邮件。任何其他操作都应用于原始邮件。

传送时加密

邮件继续进行下一阶段的处理。当完成所有处理后，将加密并发送邮件。

加密规则：始终加密邮件，或仅在尝试先通过 TLS 连接进行发送失败时加密邮件。有关详细信息，请参阅使用 TLS 连接作为加密备用项。

加密配置文件。完成处理后，使用指定的加密配置文件来加密邮件，然后发送邮件。此操作与思科加密设备或托管密钥服务配合使用。

主题。加密邮件的主题。默认情况下，值为 $Subject。

按内容删除附件

附件包含。丢弃邮件中包含正则表达式的所有附件。如果存档文件（zip、rar）包含的任何文件与正则表达式模式匹配，则存档文件将被丢弃。

包含智能标识符。删除包含指定的智能标识符的邮件中的所有附件。

附件包含内容词典中的术语。附件是否包含名为 <词典名称> 的内容词典中的任何正则表达式或术语？

需要的匹配数量。指定要使该规则求值为 true 所需的匹配数量。可以为文本、智能标识符或内容词典匹配指定此阈值。

替换邮件。可选注释用来修改用于替换已丢弃附件的文本。附件页脚会直接附加到邮件。

按文件信息删除附件

文件名。丢弃邮件中其文件名与指定的正则表达式匹配的所有附件。如果存档文件附件 (zip、tar) 包含匹配的文件，也将丢弃这些附件。

文件大小。丢弃邮件中按原始编码形式等于或大于指定大小（以字节为单位）的所有附件。请注意，对于存档或压缩文件，此操作不会检查解压缩后的大小，而是附件自身的实际大小。

文件类型。丢弃邮件中匹配给定文件“指纹”的所有附件。如果存档文件附件 (zip、tar) 包含匹配的文件，也将丢弃这些附件。

MIME 类型。丢弃邮件中给定 MIME 类型的所有附件。

文件散列列表。丢弃与所选文件散列列表中的文件 SHA-256 值匹配的邮件中的所有附件。从下拉列表中选择所需的文件散列列表。

图像分析判定。删除与指定的图像判定匹配的图像附件。有效的图像分析判定包括：可疑、不当、可疑或不当、不可扫描或者正常。

外部威胁源。丢弃文件被 ETF 引擎归类为恶意的邮件中的所有邮件附件。

选择一个文件散列异常列表。（可选）选择您不希望思科邮件安全网关检测威胁的已列入允许列表的文件散列列表。

有关详细信息，请参阅将邮件网关配置为使用外部威胁源。

替换邮件。可选注释用来修改用于替换已丢弃附件的文本。附件页脚会直接附加到邮件。

删除包含宏的附件

丢弃指定文件类型的所有启用宏的附件。

自定义替换消息（可选）：默认情况下，当丢弃附件时，系统生成的邮件会添加到邮件正文的底部。

以下是从邮件中丢弃启用宏的附件时系统生成的邮件示例：

A MIME attachment of type <application/vnd.ms-excel> was removed here by a drop-macro-enabled-attachments filter rule on the host <mail.example.com>.

您在自定义替换邮件 (Custom Replacement Message) 字段中输入的自定义邮件将替换系统生成的邮件。

URL Reputation

请参阅修改邮件中的 URL：在过滤器中使用 URL 信誉和 URL 类别操作 和 创建允许的 URL 过滤列表。

使用“没有分数”来指定无法确定其信誉的 URL 的操作。

URL 类别

请参阅修改邮件中的 URL：在过滤器中使用 URL 信誉和 URL 类别操作 和 关于 URL 类别。

添加免责声明文本

上方。在邮件上方（页眉）添加免责声明。

下方。在邮件下方（页脚）添加免责声明。

说明：必须已创建免责声明文本才能使用此内容过滤器操作。

有关详细信息，请参阅免责声明模板。

忽略爆发过滤器扫描

绕过对此邮件进行的爆发过滤器扫描。

绕过 DKIM 签名

绕过对此邮件进行的 DKIM 签名。

发送副本 (Bcc:)

邮件地址。采用匿名方式将此邮件的副本发送给指定的收件人。

主题。为复制的邮件添加主题。

返回路径（可选）。指定返回路径。

备用邮件主机（可选）。指定备用邮件主机。

通知

通知。向指定的收件人报告此邮件。可以有选择地通知发件人和收件人。

主题。为复制的邮件添加主题。

返回路径（可选）。指定返回路径。

使用模板。从创建的模板中选择一个模板。

包括原始邮件作为附件。添加原始邮件作为附件。

更改收件人为

邮件地址。将邮件的收件人更改为指定的邮件地址。

传送到指定的目标主机

邮件主机。将邮件的目标邮件主机更改为指定的邮件主机。

从 IP 接口发送

从 IP 接口发送。从指定的 IP 接口发送。从 IP 接口发送操作会将邮件的源主机更改为指定的源。源主机包括应从其发送邮件的 IP 接口。

删除信头

信头名称。在发送之前，从邮件中删除指定的信头。

添加/编辑信头

将新的信头插入邮件中或修改现有信头。

信头名称。新的或现有信头的名称。

指定新信头的值。在发送之前，将新信头的值插入邮件中。

附加到现有信头值的前面。在发送之前，附加到现有信头值的前面。

附加到现有信头值。在发送之前，附加到现有信头值。

从现有信头值搜索和替换。在搜索 (Search for) 字段中输入搜索词语以查找要在现有信头中替换的值。在替换为 (Replace with) 字段中输入要插入信头的值。可以使用正则表达式搜索该值。如果要从信头中删除该值，请将替换为 (Replace with) 字段留空。

伪造邮件检测

系统会从伪造邮件中去掉“发件人：”信头，并将其替换为“信封发件人”。

请参阅伪造邮件检测。

添加邮件标记

将自定义术语插入邮件以与 DLP 策略过滤配合使用。您可以将 DLP 策略配置为仅扫描包含邮件标记的邮件。邮件标记对收件人不可见。有关在 DLP 策略中使用邮件标记的信息，请参阅 防数据丢失策略。

添加日志条目

将自定义文本插入 IronPort 文本邮件日志的 INFO 级别。文本可包含操作变量。日志条目也将显示在邮件跟踪中。

添加 CEF 日志条目

将自定义文本插入到合并事件日志中。文本可包含操作变量。

如果在配置“合并事件日志”(Consolidated Event Logs) 日志订用时，“选定日志字段”(Selected Log Fields) 中包含“自定义日志条目”(Custom Log Entries)，则 CEF 日志条目会出现在“合并事件日志”(Consolidated Event Logs) 中。

例如：如果在“标签”字段中输入“label1”，在“值”字段中输入“value20”，则会在合并事件日志中添加以下字段：

ESACustomLogs={'label1': ['value20']}

传送时进行 S/MIME 签名/加密

在传送期间，对邮件执行 S/MIME 签名或加密。这意味着，邮件继续进入下一处理环节，并在完成所有处理后进行签名，或加密并传送。

S/MIME 发送配置文件：使用指定的 S/MIME 发送配置文件执行 S/MIME 签名或加密。请参阅管理 S/MIME 发送配置文件。

立即加密并传送（最终操作）

加密并传送邮件，跳过任何进一步处理。

加密规则：始终加密邮件，或仅在尝试先通过 TLS 连接进行发送失败时加密邮件。有关详细信息，请参阅使用 TLS 连接作为加密备用项。

加密配置文件。使用指定的加密配置文件来加密邮件，然后发送邮件。此操作与思科加密设备或托管密钥服务配合使用。

主题。加密邮件的主题。默认情况下，值为 $Subject。

S/MIME 签名/加密（最终操作）

执行 S/MIME 签名或加密并传送邮件，跳过任何进一步处理。

S/MIME 发送配置文件：使用指定的 S/MIME 发送配置文件执行 S/MIME 签名或加密。请参阅管理 S/MIME 发送配置文件。

退回（最终操作）

将邮件发回给发件人。

跳过保留内容过滤器（最终操作）

将邮件传送到下一处理阶段，跳过任何进一步的内容过滤器。根据配置，这可能意味着会将邮件传送给收件人、隔离区或开始进行爆发过滤器扫描。

丢弃（最终操作）

删除并丢弃邮件。

安全打印

使用“安全打印”(Safe Print) 内容过滤器操作以安全打印邮件附件。

您可以通过以下任何一种方式使用“安全打印”(Safe Print) 内容过滤器操作：

• 安全打印匹配附件 (Safe print matching attachments)：使用此选项可安全打印与已配置的内容过滤器条件匹配的所有邮件附件。

• 安全打印所有附件 (Safe print all attachments)：使用此选项可安全打印配置的内容过滤器条件成立时的所有邮件附件

选择是 (Yes) 可删除标记为不可扫描的邮件附件。

有关详细信息，请参阅如何将邮件网关配置为安全的印邮件附件。