内容过滤器概述
使用内容过滤器可自定义其他内容安全功能(例如防病毒扫描或 DLP)的标准例行处理之外的邮件处理。例如,如果内容需要隔离以便稍后进行检查,或者公司策略要求某些邮件在传送前需进行加密,则您可以使用内容过滤器。
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
本章包含以下部分:
使用内容过滤器可自定义其他内容安全功能(例如防病毒扫描或 DLP)的标准例行处理之外的邮件处理。例如,如果内容需要隔离以便稍后进行检查,或者公司策略要求某些邮件在传送前需进行加密,则您可以使用内容过滤器。
内容过滤器与邮件过滤器类似,只不过在邮件管道中的应用位置较为靠后 - 在邮件过滤之后,在为每个匹配的邮件策略将一封邮件“拆分”为多封独立的邮件之后(有关详细信息,请参阅邮件拆分),以及对邮件进行反垃圾邮件和防病毒扫描之后应用。
内容过滤器将扫描传入或外发邮件。不能定义同时扫描两类邮件的过滤器。邮件网关针对每类邮件配有一个单独的内容过滤器“主列表”。该主列表还确定设备以什么顺序运行内容过滤器。但是,各个邮件策略可在邮件与策略相匹配时,确定将执行哪些特定的过滤器。
内容过滤器按用户(发件人或收件人)扫描邮件。
内容过滤器包含以下组件:
Command or Action | Purpose | |
---|---|---|
Step 1 |
(可选)定义内容过滤器的支持功能。 |
创建要与您的内容过滤器配合使用的以下任何项目:
|
Step 2 |
定义传入或传出内容过滤器。 |
内容过滤器可能由下列各项组成: |
Step 3 |
定义要为其设置内容安全规则的用户组。 |
创建传入或传出邮件策略。 |
Step 4 |
将内容过滤器分配给要将过滤器用于其传入或传出邮件的用户组。 |
请参阅 邮件策略 |
条件为“触发”条件,可确定邮件网关是否对符合相关邮件策略的邮件使用过滤器。为内容过滤器指定条件是可选的。无条件的内容过滤器将应用于符合相关邮件策略的所有邮件。
在内容过滤器条件中,添加在邮件正文或附件中搜索特定模式的过滤器规则时,可以为必须找到模式的次数指定最小阈值。当 AsyncOS 扫描邮件时,它会将在邮件和附件中找到的匹配数“得分”加总。如果未达到最小阈值,则正则表达式不会求值为 True。可以为文本、智能标识符或内容词典术语指定此阈值。
可以为每个过滤器定义多个条件。当定义了多个条件时,可以选择是以逻辑 OR(“以下任一条件...”)还是逻辑 AND(“以下所有条件”)的形式将条件联系在一起。
情况 |
说明 |
||||||
---|---|---|---|---|---|---|---|
无条件 |
在内容过滤器中指定条件是可选的。如果没有指定条件,则意味着使用 true 规则。true 规则会匹配所有邮件,并且始终会执行操作。 |
||||||
邮件正文或附件 |
包含文本:邮件正文是否包含文本或与特定模式匹配的附件?
包含智能标识符前缀:邮件正文或附件中的内容是否与带有前缀 (‘credit,' 'ssn,' 'cusip,' 或 'aba) 的智能标识符匹配? 包含内容词典中的术语:邮件正文是否包含名为 <词典名称> 的内容词典中的任何正则表达式或术语? 要启用此选项,必须已创建词典。请参阅内容词典。
需要的匹配数量。指定要使该规则求值为 true 所需的匹配数量。可以为文本、智能标识符或内容词典术语指定此阈值。 这包括传送-状态部分和关联的附件。 |
||||||
消息内容 |
包含文本:邮件正文是否包含与特定模式匹配的文本? 包含智能标识符:邮件正文中的内容是否与智能标识符匹配?智能标识符可以检测以下模式:
包含智能标识符前缀:邮件正文中的内容是否与带有前缀 (‘credit,' 'ssn,' 'cusip,' 或 'aba) 的智能标识符匹配? 包含内容词典中的术语:邮件正文是否包含名为 <词典名称> 的内容词典中的任何正则表达式或术语? 要启用此选项,必须已创建词典。请参阅内容词典。
需要的匹配数量。指定要使该规则求值为 true 所需的匹配数量。可以为文本或智能标识符指定此阈值。 此规则仅适用于邮件的正文。它不包括附件或信头。 |
||||||
URL 类别 |
|||||||
消息大小 |
正文大小是否在指定的范围内?正文大小是指邮件的大小,包括信头和附件。body-size 规则选择正文大小与指定数字相匹配的邮件。 |
||||||
宏检测 |
传入或传出邮件是否包含启用宏的附件? 您可以使用宏检测条件检测所选文件类型的邮件中启用宏的附件。 |
||||||
附件内容 |
包含文本。邮件是否包含文本或另一个附件与指定模式匹配的附件?此规则类似于 body-contains() 规则,只是它会尝试避免扫描邮件的整个“正文”。也即,只扫描用户视为附件的部分。 包含智能标识符。邮件附件中的内容是否与指定的智能标识符匹配? 包含智能标识符前缀:邮件附件中的内容是否与带有前缀 (‘credit,' 'ssn,' 'cusip,' 或 'aba) 的智能标识符匹配? 包含内容词典中的术语。附件是否包含名为 <词典名称> 的内容词典中的任何正则表达式或术语? 要搜索词典术语,必须已创建词典。请参阅内容词典。
需要的匹配数量。指定要使该规则求值为 true 所需的匹配数量。可以为文本、智能标识符或内容词典匹配指定此阈值。 |
||||||
附件文件信息 |
文件名。邮件是否包含其文件名与特定模式匹配的附件? 文件名包含内容词典中的术语。邮件是否包含其文件名包含名为 <词典名称> 的内容词典中的任何正则表达式或术语的附件? 要启用此选项,必须已创建词典。请参阅内容词典。
文件类型。邮件是否具有其文件类型基于指纹与特定模式匹配的附件(与 UNIX 的 file 命令类似)? MIME 类型。邮件是否具有特定 MIME 类型的附件?该规则与 attachment-type 规则类似,不同之处在于该规则会评估 MIME 附件指定的 MIME 类型。(如果没有明确指明文件类型,则邮件网关不会尝试根据其扩展名来“猜测”文件的类型。) 文件散列列表。邮件是否包含与特定文件 SHA-256 值匹配的附件?从下拉列表中选择所需的文件散列列表。
图像分析。邮件是否具有与指定的图像判定匹配的图像附件?有效的图像分析判定包括:可疑、不当、可疑或不当、不可扫描或者正常。 外部威胁源:文件是否与选定外部威胁源来源的威胁信息相匹配? 选择文件散列异常列表:(可选)选择您不希望邮件网关检测威胁的已在允许之列的文件散列列表。 有关详细信息,请参阅将邮件网关配置为使用外部威胁源。 附件已损坏。此邮件是否具有已损坏的附件?
|
||||||
附件保护 |
包含受密码保护或加密的附件。 (例如,使用此条件来识别可能不可扫描的附件) 包含未受密码保护或加密的附件。 |
||||||
主题信头 |
主题信头:主题信头是否与特定模式匹配? 包含内容词典中的术语:主题信头是否包含名为 <词典名称> 的内容词典中的任何正则表达式或术语? 要搜索词典术语,必须已创建词典。请参阅内容词典。
|
||||||
其他信头 |
信头名称:邮件是否包含特定信头? 信头值:该信头的值是否与特定模式匹配? 信头值包含内容词典中的术语。指定的信头是否包含名为 <词典名称> 的内容词典中的任何正则表达式或术语? 要搜索词典术语,必须已创建词典。请参阅内容词典
有关如何显示如何使用此选项的示例,请参阅使用自定义信头将疑似垃圾邮件中的 URL 重定向到思科网络安全代理:配置示例。 |
||||||
信封发件人 |
信封发件人。信封发件人(即,<MAIL FROM>)是否与指定模式匹配? 匹配 LDAP 组。信封发件人(即,<MAIL FROM>)是否在指定的 LDAP 组中? 包含内容词典中的术语。信封发件人是否包含 dictionary name 内容词典中的任何正则表达式或术语? 要搜索词典术语,必须已创建词典。请参阅内容词典。
|
||||||
信封收件人 |
信封收件人。信封收件人(即 Envelope To <RCPT TO>)是否与指定模式匹配? 匹配 LDAP 组。信封收件人(即 Envelope To <RCPT TO>)是否在指定的 LDAP 组中? 包含内容词典中的术语。信封收件人是否包含 dictionary name 内容词典中的任何正则表达式或术语? 要搜索词典术语,必须已创建词典。请参阅内容词典。
信封发件人(即,<MAIL FROM>)是否在指定的 LDAP 组中? |
||||||
接收侦听程序 |
邮件是否通过指定的侦听程序接收?侦听程序名称必须是系统上当前配置的侦听程序的名称。 |
||||||
远程 IP |
邮件是否来自与指定 IP 地址或 IP 地址范围匹配的远程主机?远程 IP 规则会进行测试以确定发送该邮件的主机的 IP 地址是否与特定模式匹配。该地址可以是互联网协议版本 4 (IPv4) 或版本 6 (IPv6) 地址。IP 地址模式使用 发件人组语法中描述的允许的主机记法指定,但 SBO、IPR、dnslist 记法和特殊关键字 ALL 除外。 |
||||||
信誉得分 |
什么是发件人的 IP 信誉得分?信誉得分规则根据另一个值来检查 IP 信誉得分。 |
||||||
DKIM 身份验证 |
DKIM 身份验证已通过、部分验证、暂时无法验证且返回、永久失败还是未返回 DKIM 结果? |
||||||
伪造邮件检测 |
是否为伪造邮件的发件人邮箱?此规则检查邮件的“发件人:”信头是否与内容字典中的任何用户相似。 选择内容词典并输入阈值(1 到 100),以将邮件视为潜在伪造邮件。 伪造的邮件检测条件将“发件人:”信头与内容词典中的用户进行比较。在此过程中,邮件网关将根据相似性为词典中的每个用户分配相似性得分。以下列出某些示例:
相似性得分越高,邮件是伪造邮件的可能性就越大。如果相似性得分高于或等于指定的阈值,则会触发过滤器操作。
有关详细信息,请参阅伪造邮件检测。 |
||||||
SPF 验证 |
什么是 SPF 验证状态?此过滤器规则允许查询不同的 SPF 验证结果。有关 SPF 验证的详细信息,请参阅“邮件身份验证”一章。
|
||||||
S/MIME 网关邮件 |
邮件是否已经过 S/MIME 签名、加密或签名并加密?有关详细信息,请参阅S/MIME 安全服务 |
||||||
S/MIME 网关已验证 |
S/MIME 邮件是否已成功通过验证,解密或已成功解密并验证?有关详细信息,请参阅S/MIME 安全服务 |
||||||
邮件语言 |
邮件(主题和正文)是否为其中一种所选语言?此条件不会检查附件和报头中的语言。 语言检测的工作原理是什么? 邮件网关使用内置语言检测引擎来检测邮件中所采用的语言。邮件网关将提取主题和邮件正文,并将其传递到语言检测引擎。 语言检测引擎将确定提取的文本中每种语言的概率,并将其传递回邮件网关。邮件网关将概率最高的语言视为邮件的语言。在下列某种情况下,邮件网关会将邮件的语言视为“待定”:
|
||||||
重复边界验证 |
邮件是否包含重复的 MIME 边界? 如果要对包含重复 MIME 边界的邮件执行操作,请使用此条件。
|
||||||
地理定位 |
邮件是否来自选定的国家/地区? 您可以使用地理定位条件来处理来自您所选特定国家/地区的传入邮件。
|
||||||
域信誉 |
发件人域是否与指定的条件匹配?
有关详细信息,请参阅将邮件网关配置为使用外部威胁源或发件人域信誉过滤 |
该操作是邮件网关针对与内容过滤器的条件匹配的邮件进行的操作。有许多不同类型的操作可用,包括修改邮件、将其隔离或丢弃。对邮件执行的“最终操作”为传送或丢弃,这会强制邮件安全设备立即执行该操作并放弃所有进一步的处理,例如爆发过滤器或 DLP 扫描。
必须为每个内容过滤器至少定义一个操作。
系统会按顺序对邮件执行操作,因此在为内容过滤器定义多个操作时,请考虑操作顺序。
为匹配附件内容条件、邮件正文或附件条件、邮件正文条件或附件内容条件的邮件配置隔离区操作时,可以查看被隔离邮件中的匹配内容。显示邮件正文时,匹配的内容将以黄色突出显示。另外,还可以使用 $MatchedContent 操作变量在邮件主题中包括匹配的内容。有关详细信息,请参阅“文本资源”一章。
仅可为每个过滤器定义一个最终操作,而且最终操作必须是列出的最后一项操作。退回、传送和丢弃都是最终操作。为内容过滤器输入操作时,GUI 和 CLI 会强制将最终操作放在最后。
另请参阅操作变量。
操作 |
说明 |
||||||||
---|---|---|---|---|---|---|---|---|---|
隔离 |
隔离 (Quarantine)。标记要保留在某一个策略隔离区中的邮件。 复制邮件:将邮件的副本发送到指定的隔离区,并继续处理原始邮件。任何其他操作都应用于原始邮件。 |
||||||||
传送时加密 |
邮件继续进行下一阶段的处理。当完成所有处理后,将加密并发送邮件。 加密规则:始终加密邮件,或仅在尝试先通过 TLS 连接进行发送失败时加密邮件。有关详细信息,请参阅使用 TLS 连接作为加密备用项。 加密配置文件。完成处理后,使用指定的加密配置文件来加密邮件,然后发送邮件。此操作与思科加密设备或托管密钥服务配合使用。 主题。加密邮件的主题。默认情况下,值为 $Subject。 |
||||||||
按内容删除附件 |
附件包含。丢弃邮件中包含正则表达式的所有附件。如果存档文件(zip、rar)包含的任何文件与正则表达式模式匹配,则存档文件将被丢弃。 包含智能标识符。删除包含指定的智能标识符的邮件中的所有附件。 附件包含内容词典中的术语。附件是否包含名为 <词典名称> 的内容词典中的任何正则表达式或术语? 需要的匹配数量。指定要使该规则求值为 true 所需的匹配数量。可以为文本、智能标识符或内容词典匹配指定此阈值。 替换邮件。可选注释用来修改用于替换已丢弃附件的文本。附件页脚会直接附加到邮件。 |
||||||||
按文件信息删除附件 |
文件名。丢弃邮件中其文件名与指定的正则表达式匹配的所有附件。如果存档文件附件 (zip、tar) 包含匹配的文件,也将丢弃这些附件。 文件大小。丢弃邮件中按原始编码形式等于或大于指定大小(以字节为单位)的所有附件。请注意,对于存档或压缩文件,此操作不会检查解压缩后的大小,而是附件自身的实际大小。 文件类型。丢弃邮件中匹配给定文件“指纹”的所有附件。如果存档文件附件 (zip、tar) 包含匹配的文件,也将丢弃这些附件。 MIME 类型。丢弃邮件中给定 MIME 类型的所有附件。 文件散列列表。丢弃与所选文件散列列表中的文件 SHA-256 值匹配的邮件中的所有附件。从下拉列表中选择所需的文件散列列表。
图像分析判定。删除与指定的图像判定匹配的图像附件。有效的图像分析判定包括:可疑、不当、可疑或不当、不可扫描或者正常。 外部威胁源。丢弃文件被 ETF 引擎归类为恶意的邮件中的所有邮件附件。 选择一个文件散列异常列表。(可选)选择您不希望思科邮件安全网关检测威胁的已列入允许列表的文件散列列表。 有关详细信息,请参阅将邮件网关配置为使用外部威胁源。 替换邮件。可选注释用来修改用于替换已丢弃附件的文本。附件页脚会直接附加到邮件。 |
||||||||
删除包含宏的附件 |
丢弃指定文件类型的所有启用宏的附件。
自定义替换消息(可选):默认情况下,当丢弃附件时,系统生成的邮件会添加到邮件正文的底部。 以下是从邮件中丢弃启用宏的附件时系统生成的邮件示例: A MIME attachment of type <application/vnd.ms-excel> was removed here by a drop-macro-enabled-attachments filter rule on the host <mail.example.com>. 您在自定义替换邮件 (Custom Replacement Message) 字段中输入的自定义邮件将替换系统生成的邮件。 |
||||||||
URL Reputation |
请参阅修改邮件中的 URL:在过滤器中使用 URL 信誉和 URL 类别操作 和 创建允许的 URL 过滤列表。 使用“没有分数”来指定无法确定其信誉的 URL 的操作。
|
||||||||
URL 类别 |
请参阅修改邮件中的 URL:在过滤器中使用 URL 信誉和 URL 类别操作 和 关于 URL 类别。
|
||||||||
添加免责声明文本 |
上方。在邮件上方(页眉)添加免责声明。 下方。在邮件下方(页脚)添加免责声明。 说明:必须已创建免责声明文本才能使用此内容过滤器操作。 有关详细信息,请参阅免责声明模板。 |
||||||||
忽略爆发过滤器扫描 |
绕过对此邮件进行的爆发过滤器扫描。 |
||||||||
绕过 DKIM 签名 |
绕过对此邮件进行的 DKIM 签名。 |
||||||||
发送副本 (Bcc:) |
邮件地址。采用匿名方式将此邮件的副本发送给指定的收件人。 主题。为复制的邮件添加主题。 返回路径(可选)。指定返回路径。 备用邮件主机(可选)。指定备用邮件主机。 |
||||||||
通知 |
通知。向指定的收件人报告此邮件。可以有选择地通知发件人和收件人。 主题。为复制的邮件添加主题。 返回路径(可选)。指定返回路径。 使用模板。从创建的模板中选择一个模板。 包括原始邮件作为附件。添加原始邮件作为附件。 |
||||||||
更改收件人为 |
邮件地址。将邮件的收件人更改为指定的邮件地址。 |
||||||||
传送到指定的目标主机 |
邮件主机。将邮件的目标邮件主机更改为指定的邮件主机。
|
||||||||
从 IP 接口发送 |
从 IP 接口发送。从指定的 IP 接口发送。从 IP 接口发送操作会将邮件的源主机更改为指定的源。源主机包括应从其发送邮件的 IP 接口。 |
||||||||
删除信头 |
信头名称。在发送之前,从邮件中删除指定的信头。 |
||||||||
添加/编辑信头 |
将新的信头插入邮件中或修改现有信头。 信头名称。新的或现有信头的名称。 指定新信头的值。在发送之前,将新信头的值插入邮件中。 附加到现有信头值的前面。在发送之前,附加到现有信头值的前面。 附加到现有信头值。在发送之前,附加到现有信头值。 从现有信头值搜索和替换。在搜索 (Search for) 字段中输入搜索词语以查找要在现有信头中替换的值。在替换为 (Replace with) 字段中输入要插入信头的值。可以使用正则表达式搜索该值。如果要从信头中删除该值,请将替换为 (Replace with) 字段留空。 |
||||||||
伪造邮件检测 |
系统会从伪造邮件中去掉“发件人:”信头,并将其替换为“信封发件人”。 请参阅伪造邮件检测。 |
||||||||
添加邮件标记 |
将自定义术语插入邮件以与 DLP 策略过滤配合使用。您可以将 DLP 策略配置为仅扫描包含邮件标记的邮件。邮件标记对收件人不可见。有关在 DLP 策略中使用邮件标记的信息,请参阅 防数据丢失策略。 |
||||||||
添加日志条目 |
将自定义文本插入 IronPort 文本邮件日志的 INFO 级别。文本可包含操作变量。日志条目也将显示在邮件跟踪中。 |
||||||||
添加 CEF 日志条目 |
将自定义文本插入到合并事件日志中。文本可包含操作变量。
如果在配置“合并事件日志”(Consolidated Event Logs) 日志订用时,“选定日志字段”(Selected Log Fields) 中包含“自定义日志条目”(Custom Log Entries),则 CEF 日志条目会出现在“合并事件日志”(Consolidated Event Logs) 中。 例如:如果在“标签”字段中输入“label1”,在“值”字段中输入“value20”,则会在合并事件日志中添加以下字段:
|
||||||||
传送时进行 S/MIME 签名/加密 |
在传送期间,对邮件执行 S/MIME 签名或加密。这意味着,邮件继续进入下一处理环节,并在完成所有处理后进行签名,或加密并传送。 S/MIME 发送配置文件:使用指定的 S/MIME 发送配置文件执行 S/MIME 签名或加密。请参阅管理 S/MIME 发送配置文件。 |
||||||||
立即加密并传送(最终操作) |
加密并传送邮件,跳过任何进一步处理。 加密规则:始终加密邮件,或仅在尝试先通过 TLS 连接进行发送失败时加密邮件。有关详细信息,请参阅使用 TLS 连接作为加密备用项。 加密配置文件。使用指定的加密配置文件来加密邮件,然后发送邮件。此操作与思科加密设备或托管密钥服务配合使用。 主题。加密邮件的主题。默认情况下,值为 $Subject。 |
||||||||
S/MIME 签名/加密(最终操作) |
执行 S/MIME 签名或加密并传送邮件,跳过任何进一步处理。 S/MIME 发送配置文件:使用指定的 S/MIME 发送配置文件执行 S/MIME 签名或加密。请参阅管理 S/MIME 发送配置文件。 |
||||||||
退回(最终操作) |
将邮件发回给发件人。 |
||||||||
跳过保留内容过滤器(最终操作) |
将邮件传送到下一处理阶段,跳过任何进一步的内容过滤器。根据配置,这可能意味着会将邮件传送给收件人、隔离区或开始进行爆发过滤器扫描。 |
||||||||
丢弃(最终操作) |
删除并丢弃邮件。 |
||||||||
安全打印 |
使用“安全打印”(Safe Print) 内容过滤器操作以安全打印邮件附件。 您可以通过以下任何一种方式使用“安全打印”(Safe Print) 内容过滤器操作:
选择是 (Yes) 可删除标记为不可扫描的邮件附件。
有关详细信息,请参阅如何将邮件网关配置为安全的印邮件附件。 |
添加到由内容过滤器处理的邮件的信头可包含变量,当执行相应操作时,这些变量会自动替换为原始邮件中的信息。这些特殊变量称为操作变量。邮件网关支持以下操作变量:
变量 |
语法 |
说明 |
---|---|---|
所有信头 |
|
替换为邮件信头。 |
正文大小 |
|
替换为邮件的大小(以字节为单位)。 |
日期 |
|
替换为当前日期,采用 MM/DD/YYYY 格式。 |
已丢弃的文件名 |
|
仅返回最近丢弃的文件名。 |
已丢弃的文件名 |
|
与 $filenames 相同,但显示已丢弃的文件的列表。 |
已删除的文件类型 |
|
与 $filetypes 相同,但显示已丢弃的文件类型的列表。 |
信封发件人 |
|
替换为邮件的信封发件人(即,<MAIL FROM>)。 |
信封收件人 |
|
替换为邮件的所有信封收件人(信封目标,<RCPT TO>)。 |
文件名 |
|
替换为邮件附件文件名的逗号分隔列表。 |
文件大小 |
|
替换为邮件附件文件大小的逗号分隔列表。 |
文件类型 |
|
替换为邮件附件文件类型的逗号分隔列表。 |
过滤器名称 |
|
替换为所处理过滤器的名称。 |
GMTimeStamp |
|
替换为当前时间和日期,即电子邮件的“接收时间:”(Received:) 行中的时间,采用 GMT 时间。 |
HAT 组名 |
|
替换为注入邮件时发件人匹配的发件人组的名称。如果发件人组没有名称,则插入字符串“>Unknown<”。 |
邮件流策略 |
|
替换为注入邮件时应用于发件人的 HAT 策略的名称。如果未使用预定义的策略名称,则插入字符串“>Unknown<”。 |
匹配的内容 |
|
替换为内容扫描过滤器触发的一个或多个值。匹配的内容可以是内容词典匹配、智能标识符或与正则表达式的匹配。 |
信头 |
|
如果原始邮件包含匹配的信头,则替换为被引用信头的值。请注意,也可以使用双引号。 |
主机名 |
|
替换为邮件网关的主机名。 |
内部邮件 ID |
|
替换为邮件 ID,或内部用来标识邮件的“MID”。请勿与 RFC822 的“Message-Id”值(使用 $Header 检索该值)混淆。 |
接收侦听程序 |
|
替换为接收邮件的侦听程序的昵称。 |
接收接口 |
|
替换为接收邮件的接口的昵称。 |
远程 IP 地址 |
|
替换为将邮件发送给邮件网关的系统的 IP 地址。 |
远程主机地址 |
|
替换为将邮件发送到邮件网关的系统的主机名。 |
SenderBase 信誉得分 |
|
替换为发件人的 SenderBase 信誉得分。如果没有信誉得分,会替换为“无”。 |
主题 |
|
替换为邮件的主题。 |
时间 |
|
替换为本地时区中的当前时间。 |
时间戳 |
|
替换为当前时间和日期,即电子邮件的“接收时间:”(Received:) 行中的时间,采用本地时区时间。 |
准备工作
Step 1 |
点击邮件策略 (Mail Policies) > 传入邮件策略 (Incoming Mail Policies) 或 邮件策略 (Mail Policies) > 传出邮件策略 (Outgoing Mail Policies)。 |
Step 2 |
点击添加过滤器 (Add Filter)。 |
Step 3 |
输入过滤器的名称和描述。 |
Step 4 |
(交叉参考)点击可编辑者(角色)(Editable By [Roles]) 链接,选择策略管理员,然后点击确定 (OK)。 属于策略管理员用户角色的委派管理员可以编辑此内容过滤器,以及在其邮件策略中使用该内容过滤器。 |
Step 5 |
(可选)添加条件来触发过滤器。 |
Step 6 |
为邮件网关添加要对匹配过滤器条件的邮件执行的操作。
|
Step 7 |
提交并确认更改。 |
Step 1 |
依次点击邮件策略 (Mail Policies) > 传入邮件策略 (Incoming Mail Policies)。 或 邮件策略 (Mail Policies) > 传出邮件策略 (Outgoing Mail Policies)。 |
Step 2 |
点击默认策略行中的内容过滤器安全服务链接。 |
Step 3 |
在“内容过滤”(Content Filtering) 安全服务页面上,将“默认策略的内容过滤”(Content Filtering for Default Policy) 从“禁用内容过滤器”(Disable Content Filters) 更改为“启用内容过滤器(自定义设置)”(Enable Content Filters [Customize settings])。 在主列表中定义的内容过滤器(在内容过滤器概述中创建)会显示在此页面上。将值更改为“启用内容过滤器(自定义设置)”(Enable Content Filters [Customize settings]) 时,每个过滤器的复选框将变为已启用状态。 |
Step 4 |
针对要启用的每个内容过滤器选中启用 (Enable) 复选框。 |
Step 5 |
提交并确认更改。 |
准备工作
Step 1 |
依次点击邮件策略 (Mail Policies) > 传入邮件策略 (Incoming Mail Policies)。 或 邮件策略 (Mail Policies) > 传出邮件策略 (Outgoing Mail Policies)。 |
Step 2 |
点击要将内容过滤器应用到的邮件策略所对应的内容过滤器安全服务(“内容过滤器”[Content Filters] 列)的链接。 |
Step 3 |
在“内容过滤”(Content Filtering) 安全服务页面上,将“策略的内容过滤:工程”(Content Filtering for Policy: Engineering) 从“启用内容过滤(继承默认策略设置)”(Enable Content Filtering [Inherit default policy settings]) 更改为“启用内容过滤(自定义设置)”(Enable Content Filtering [Customize settings])。 |
Step 4 |
选择要使用的内容过滤器对应的复选框。 |
Step 5 |
提交并确认更改。 |
为过滤器规则和操作输入文本时,以下元字符在正则表达式匹配中具有特殊含义:^ $ * + ? { [ ] \ | ( )
如果不想使用正则表达式,则应使用“\”(反斜线)来转义任何这些字符。例如:“\*警告\*”
使用“传入或传出内容过滤器”(Incoming or Outgoing Content Filters) 页面创建顺序编号为 1 的新内容过滤器。
使用“传入或传出邮件策略”(Incoming or Outgoing Mail Policies) 页面为默认策略启用新的内容过滤器。
为其余所有策略启用该内容过滤器。
可以在一个内容过滤器中混搭多个字符集。要获取有关显示和输入采用多个字符编码的文本的帮助,请参考网络浏览器文档。大多数浏览器都可同时显示多个字符集。