要为最小匹配次数指定阈值，请指定得出 true 值的模式和最小匹配数：

if(<filter rule>('<pattern>',<minimum threshold>)){

例如，要指定 body‑contains 过滤器规则必须至少找到值“公司机密”两次，请使用以下语法：

if(body-contains('Company Confidential',2)){

默认情况下，在保存内容扫描过滤器时，AsyncOS 会编译过滤器，并默认为其分配阈值 1（如果您未分配值）。

您可以为内容词典中的值指定最小模式匹配数量。有关内容词典的详细信息，请参阅“文本资源”一章。

邮件可能包含多个部分。为搜索邮件正文或附件中模式的过滤器规则时指定阈值时，AsyncOS 通过计算邮件部分和附件的匹配数量确定阈值“得分”。AsyncOS 将汇总邮件所有部分的匹配，确定匹配是否达到阈值，除非邮件过滤器指定特定 MIME 部分（例如 attachment‑contains 过滤器规则）。例如，您设置了阈值为 2 的 body‑contains 邮件过滤器。您收到一封正文包含一个匹配、附件包含一个匹配的邮件。对此邮件评分时，AsyncOS 会对两个匹配求和，做出邮件达到阈值得分的判断。

同样，如果您有多个附件，AsyncOS 会汇总每个附件的得分来计算匹配的得分。例如，您设置了阈值为 3 的 attachment‑contains 过滤器规则。您收到一封包含两个附件的邮件，并且每个附件包含两个匹配，那么 AsyncOS 对此邮件的评分为四，并做出已达到阈值得分的判断。

为避免重复计数，如果同样的内容有两种不同的表示（纯文本和 HTML），AsyncOS 不会汇总重复部分中的匹配。相反，它会比较每个部分的匹配，并选择最大值。之后，AsyncOS 会将此值与多部分邮件其他部分的得分相加得出总得分。

例如，您配置了 body-contains 过滤器规则，并将阈值设为 4。您收到包含纯文本、HTML 和两个附件的邮件。邮件的结构如下：

multipart/mixed

        multipart/alternative

                text/plain

                text/html

        application/octet-stream

        application/octet-stream

body-contains 过滤器规则将通过首先对邮件的 text/plain 和 text/html 部分评分来确定此邮件的得分。然后比较这些得分的结果，并从结果中选择最高分。接下来，将此结果与每个附件的得分相加得出最终得分。假设该邮件有以下数量的匹配：

multipart/mixed

        multipart/alternative

                text/plain (2 matches)

                text/html (2 matches)

        application/octet-stream (1 match)

        application/octet-stream

因为，AsyncOS 比较　text/plain　和　text/html 部分的匹配，返回得分 3，而该得分未达到触发过滤器规则的最小阈值。

使用内容词典时，您可以对术语进行“加权”，这样可以使某些术语更轻易地触发过滤器操作。例如，您可能希望不要对术语“银行”触发邮件过滤器。但是，如果术语“银行”与术语“账号”结合，并附有美国银联转帐号，您可能希望触发过滤器操作。为此，您可以使用加权词典，增加某些术语组合的重要性。当邮件过滤器使用内容词典计算过滤器规则的匹配得分时，过滤器将使用这些权重确定最终得分。例如，假设您创建了包含以下内容和权重的内容词典：

将此内容词典与 dictionary-match 或 attachment-dictionary-match 邮件过滤器规则结合使用时，AsyncOS 会将术语的权重与邮件中每个匹配术语匹配次数的总“得分”相加。例如，如果术语“帐号”在邮件正文中出现三次，AsyncOS 会在总得分中加 6。如果邮件过滤器的阈值设为 6，AsyncOS 将做出已达到阈值得分的判断。或者，如果每个术语在邮件中出现一次，总值将为 6，此得分会触发过滤器操作。

可以使用过滤器在非 ASCII 编码的邮件内容（信头和正文）中搜索字符串和模式。具体而言，系统支持在以下对象的非 ASCII 字符集中执行正则表达式 (regex) 搜索：

• 邮件信头
• MIME 附件文件名字符串
• 邮件正文：
  • 不含 MIME 信头的正文（即传统邮件）
  • 包含表明编码的 MIME 信头，但不含 MIME 部分的正文
  • 表明编码的多部分 MIME 邮件
  • 所有以上未在 MIME 信头中表明编码的对象

可以使用正则表达式 （regexes） 匹配邮件的任何部分或正文，包括匹配的附件。附件类型包括文本、HTML、MS Word、Excel 等。可接受的字符集包括 gb2312、HZ、EUC、JIS、Shift-JIS、Big5 以及 Unicode。可通过内容过滤器 GUI 创建包含正则表达式的邮件过滤器规则，或使用文本编辑器生成文件并随后导入系统。有关详细信息，请参阅使用 CLI 管理邮件过滤器和配置扫描行为。

如果要完全匹配一个字符串，而不是一个前缀，正则表达式必须以插入符 (^) 开头，以美元符号 ($) 结尾。

Note	与空字符串匹配时，不要使用 “”，因为这实际上会匹配所有字符串。请使用 “^$”。有关示例，请参阅Subject 规则中的第二个示例

另外，如果您要与句点的字母表达匹配，必须在正则表达式中使用转义句点。例如，正则表达式 sun.com 与字符串 thegodsunocommando 匹配，但正则表达式 ^sun\.com$ 只与字符串 sun.com. 匹配。

从技术上来说，使用的正则表达式样式是 Python re Module 样式正则表达式。有关 Python 样式的正则表达式的更详细讨论，请查阅 Python 正则表达式使用方法，其网址为：http://www.python.org/doc/howto/

在某些语言中，不存在词语或字边界或大小写概念。

在区域设置或编码未知的情况下，取决于何为/何不为构成单词的字符（在正则表达式中以“\w”表示）等概念的复杂正则表达式会带来一些问题。

可使用序列 == 对正则表达式进行匹配测试，使用序列 != 进行不匹配测试。例如：

rcpt-to ==
 "^goober@dev\\.null\\....$" (matching)

rcpt-to != "^goober@dev\\.null\\....$" (non-matching)

正则表达式区分大小写，另有说明除外。因此，如果正则表达式搜索 foo，将不匹配模式 FOO，甚至 Foo。

本示例展示执行相同操作的两个过滤器，但是第一个过滤器占用的 CPU 较多。第二个过滤器使用的正则表达式更为有效。

attachment-filter: if ((recv-listener == "Inbound") AND ((((((((((((((((((((((((((((((((((((((((((((((attachment-filename ==

"\\.386$") OR (attachment-filename == "\\.exe$")) OR (attachment-filename == "\\.ad$")) OR 
(attachment-filename == "\\.ade$")) OR (attachment-filename == "\\.adp$")) OR 
(attachment-filename == "\\.asp$")) OR (attachment-filename == "\\.bas$")) OR 
(attachment-filename == "\\.bat$")) OR (attachment-filename == "\\.chm$")) OR 
(attachment-filename == "\\.cmd$")) OR (attachment-filename == "\\.com$")) OR 
(attachment-filename == "\\.cpl$")) OR (attachment-filename == "\\.crt$")) OR 
(attachment-filename == "\\.exe$")) OR (attachment-filename == "\\.hlp$")) OR 
(attachment-filename == "\\.hta$")) OR (attachment-filename == "\\.inf$")) OR 
(attachment-filename == "\\.ins$")) OR (attachment- filename == "\\.isp$")) OR 
(attachment-filename == "\\.js$")) OR (attachment-filename == "\\.jse$")) OR 
(attachment- filename == "\\.lnk$")) OR (attachment-filename == "\\.mdb$")) OR 
(attachment-filename == "\\.mde$")) OR (attachment-filename == "\\.msc$")) OR 
(attachment-filename == "\\.msi$")) OR (attachment-filename == "\\.msp$")) OR 
(attachment-filename == "\\.mst$")) OR (attachment-filename == "\\.pcd$")) OR 
(attachment-filename == "\\.pif$")) OR (attachment-filename == "\\.reg$")) OR 
(attachment-filename == "\\.scr$")) OR (attachment-filename == "\\.sct$")) OR 
(attachment-filename == "\\.shb$")) OR (attachment-filename == "\\.shs$")) OR 
(attachment-filename == "\\.url$")) OR (attachment-filename == "\\.vb$")) OR 
(attachment-filename == "\\.vbe$")) OR (attachment-filename == "\\.vbs$")) OR 
(attachment-filename == "\\.vss$")) OR (attachment-filename == "\\.vst$")) OR 
(attachment-filename == "\\.vsw$")) OR (attachment-filename == "\\.ws$")) OR 
(attachment-filename == "\\.wsc$")) OR (attachment-filename == "\\.wsf$")) OR 
(attachment-filename == "\\.wsh$"))) { bounce(); }

在这种情况下，AsyncOS 需要启动正则表达式引擎 30 次，对每个附件类型以及 recv-listener 各启动一次。

但是，如果按如下所示编写过滤器：

attachment-filter: if (recv-listener == "Inbound") AND (attachment-filename == "\\.
(386|exe|ad|ade|adp|asp|bas|bat|chm|cmd|com|cpl|crt|exe|hlp|hta|inf|ins|isp|js|jse|l
nk|mdb|mde|msc|msi|msp|mst|pcd|pif|reg|scr|sct|shb|shs|
url|vb|vbe|vbs|vss|vst|vsw|ws|wsc|wsf|wsh)$") {

正则引擎仅需要启动两次，而且事实证明过滤器更易于维护，因为您无需担心是否添加了“()”, 拼写错误。与上述相比，这应该能够降低 CPU 占用率。

根据 PDF 的生成方式，PDF 可能不包含空格或换行符。在这种情况下，扫描引擎会根据词语在页面上的位置尝试插入逻辑空格和换行符。例如，使用多个字体或字体大小输入词语时，PDF 代码显示的方式会导致扫描引擎难以确定词语和换行符。尝试将正则表达式与以这种方式构建的 PDF 文件匹配时，扫描引擎会返回意外的结果。

例如，在 PowerPoint 文档中输入每个字母都使用不同字体和字号的单词。读取此应用生成的 PDF 文件时，扫描引擎会插入逻辑空格和换行符。鉴于 PDF 的结构，引擎可能会将单词“callout”解读为“call out”或“c a l lout”。尝试根据正则表达式匹配其中一个表示时，可能找不到“callout”的匹配。

在过滤器规则中使用智能标识符时，请在过滤器规则中输入扫描正文或附件文件的智能标识符关键字，并将关键字放入引号中，如下文示例所示：

ID_Credit_Cards:

if(body-contains("*credit")){

notify("legaldept@example.com");

}
.

您还可以在内容过滤器和内容词典中使用智能标识符。

Note	不能将智能标识符关键字与常规正则表达式或另一个关键字结合使用。例如，模式 *credit|*ssn 可能无效。

Note	为尽可能减少 *SSN 智能标识符产生的误报，有必要将 *ssn 智能标识符与其他过滤条件搭配使用。其中一个可搭配使用的过滤器是“only-body-contains”过滤条件。这样，只有当搜索字符串在邮件正文的任何 MIME 部分都存在时，表达式的值才为 true。例如，您可以创建以下过滤器：

SSN-nohtml: if only-body-contains(“*ssn”) { duplicate-quarantine(“Policy”);}

Note

邮件网关会检测在邮件内容中添加或不添加作为前缀的关键字（“ credit”、“ ssn”、“ cusip”或“ aba”）的智能标识符。 例如：如果邮件包含以下任何格式的社会保险号，则邮件网关会将社会保险号检测为智能标识符： （“ XXX-XX-XXXX”，“ ssn XXX-XX-XXXX”，“ ssn：XXX-XX-XXXX”等）。 示例：不带前缀的智能标识符 创建以下过滤器以检测在智能标识符之前不存在关键字的智能标识符。 ID_Credit_Cards: if(body-contains("*credit", 1)) { notify("legaldept@example.com"); } 位置 “ credit”表示信用卡号智能标识符， “1” 表示要使该规则求值为 true 所需的匹配数量。 示例：带前缀的智能标识符 创建以下过滤器以仅在智能标识符之前存在关键字（（'credit，''ssn，''cusip，'或'aba'）时检测智能标识符。 ID_Credit_Cards: if(body-contains("*credit", 1, “prefix”)) { notify("legaldept@example.com"); } 位置 “ credit”表示信用卡号智能标识符， “1” 表示要使该规则求值为 true 所需的匹配数量， “prefix”表示仅当智能标识符具有以智能标识符为前缀的关键字时，规则才为 true。

true 规则匹配所有邮件。例如，下列规则将所测试任意邮件的 IP 接口改为外部接口。

externalFilter:

   if (true)

   {

        alt-src-host('external');

   }

valid 规则会在邮件包含不可解析/无效 MIME 部分时返回 false，反之返回 true。例如，以下规则会丢弃测试的所有不可分析的邮件。

not-valid-mime:

if not valid

{

drop();

}

subject 规则选择主题信头的值与给定正则表达式匹配的邮件。

例如，以下过滤器会删除主题以短语 Make Money... 开头的所有邮件

not-valid-mime:

if not valid

{

drop();

}

您可以指定在信头的值中搜索非 ASCII字符。

处理信头时，注意信头的当前值包括在处理过程中所做的更改（如使用添加、删除或修改邮件标题的过滤操作做出的更改）。有关详细信息，请参阅邮件信头规则和求值。

如果信头为空或邮件缺失信头，以下过滤器会返回 true：

EmptySubject_To_filter:

if (header('Subject') != ".") OR

(header('To') != ".") {

drop();

}

Note	如果“Subject”和“To”信头为空，此过滤器会返回 true，如果信头缺失，同样也会返回 true。如果邮件没有指定的信头，过滤器仍会返回 true。

rcpt-to 规则会选择所有信封收件人与给定正则表达式匹配的邮件。例如，以下过滤器会丢弃发送地址包含字符串“scarface”的所有邮件。

Note	rcpt-to 规则的正则表达式不区分大小写。

scarfaceFilter:

if (rcpt-to == 'scarface')

{

drop();

}

Note	rcpt-to 规则基于邮件。如果一个邮件有多个收件人，那么一个收件人与指定操作规则匹配，即可将指定操作应用至发送给所有收件人的邮件。

rcpt-to-group 规则选择信封收件人属于给定 LDAP 组的邮件。例如，以下过滤器会删除发送地址属于 LDAP 组“ExpiredAccounts”的邮件。

expiredFilter:

if (rcpt-to-group == 'ExpiredAccounts')

{

drop();

}

Note	rcpt-to-group 规则基于邮件。如果一个邮件有多个收件人，那么一个收件人与指定操作规则匹配，即可将指定操作应用至发送给所有收件人的邮件。

mail-from 规则选择信封发件人与给定正则表达式匹配的邮件。例如，以下过滤器会立即传送 admin@yourdomain.com 发送的所有邮件。

Note	mail-from 规则的正则表达式不区分大小写。注意，以下示例中的句点字符进行了转义。

kremFilter:

if (mail-from == '^admin@yourdomain\\.com$')

{

skip-filters();

}

mail-from-group 规则选择信封发件人属于运算符右侧 LADP 组（或在不等式中，发件人的邮件地址不在特定 LDAP 组）的邮件。例如，以下过滤器会立即传送邮件地址在 LDAP 组“KnownSenders”的人员所发送的任何邮件。

SenderLDAPGroupFilter:

if (mail-from-group == 'KnownSenders')

{

skip-filters();

}

sendergroup 邮件过滤器会根据侦听程序主机访问表 (HAT) 中匹配的发件人组选择邮件。本规则使用“==”（匹配）或“！=”（不匹配）测试是否与给定正则表达式（表达式右侧）匹配。例如，如果邮件的发件人组与内部正则表达式匹配，以下邮件过滤器规则会得出值 true，并将邮件发送到备用邮件主机。

senderGroupFilter:

if (sendergroup == "Internal")

{

alt-mailhost("[172.17.0.1]");

}

正文大小是指邮件的大小，包括信头和附件。body-size 规则选择正文大小可与给定数字相比的邮件。例如，以下过滤器会退回正文大小超过 5 MB的所有邮件。

BigFilter:

if (body-size > 5M)

{

bounce();

}

body-size 可以通过以下方式比较：

body-size < 10M

body-size <= 10M

body-size > 10M

body-size >= 10M

body-size == 10M

body-size != 10M

为方便起见，大小的单位可以用后缀指定：

10b

13k

5M

40G

remote-ip 规则将测试发送邮件的主机的 IP 地址是否匹配特定模式。IP 地址可以是 Internet 协议第 4 版 (IPv4) 或 Internet 协议第 6 版 (IPv6) 地址。可以使用“发件人组语法”中介绍的允许的主机符号指定 IP 地址模式，SBO、IPR、dnslist 符号和特殊关键字 ALL 除外。

允许的主机符号只能识别 IP 地址的序列和数字范围（而不是主机名）。例如，以下过滤器会退回未从 10.1.1 形式的 IP 地址注入的任何邮件。X，其中，其中 X 为 50、51、52、53、54 或 55。

notMineFilter:

if (remote-ip != '10.1.1.50-55')

{

bounce();

}

recv-listener 规则选择指定侦听程序接收的邮件。侦听程序名称必须是系统中当前配置的某个侦听程序的昵称。例如，以下过滤器会立即传送来自侦听程序 expedite 的任何邮件。

expediteFilter:

if (recv-listener == 'expedite')

{

skip-filters();

}

recv-int 规则选择指定接口接收的邮件。接口名称必须是系统中当前配置的某个接口的昵称。例如，以下过滤器会退回来自接口 outside 的所有邮件。

outsideFilter:

if (recv-int == 'outside')

{

bounce();

}

date 规则会对照指定的时间和日期检查当前时间和日期。日期规则与包含 MM/DD/YYYY hh:mm:ss 格式的时间戳的字符串进行比较。此规则可用于以美国日期格式指定在特定时间前后执行操作。（请注意，如果是使用非美国日期格式搜索邮件，则可能有问题。）以下邮件过滤器会退回来自 campaign1@yourdomain.com 的在 2003 年 7 月 28 日下午 1 点后注入的所有邮件：

TimeOutFilter:

if ((date > '07/28/2003 13:00:00') and (mail-from ==

'campaign1@yourdomain\\.com'))

{

bounce();

}

Note	不要将 date 规则与 $Date 邮件过滤操作变量混为一谈。

header() 规则检查邮件信头中是否存在必须以（“header name”）格式指定的特定信头。此规则可视为正则表达式（类似于 subject 规则），也可以使用不含比较的单独形式。如单独使用，规则会在于邮件中找到信头时返回“true”，找不到信头时返回“false”。例如，以下示例检查是否存在信头 X-Sample，以及信头值是否包含字符串“sample text”。如果发现匹配，邮件就会被退回。

FooHeaderFilter:

if (header('X-Sample') == 'sample text')

{

bounce();

}

您可以指定在信头的值中搜索非 ASCII 字符。

以下示例展示不包含比较的信头规则。在这种情况下，如果发现 X-DeleteMe 信头，则从邮件中删除信头。

DeleteMeHeaderFilter:

if header('X-DeleteMe')

{

strip-header('X-DeleteMe');

}

处理信头时，注意信头的当前值包括在处理过程中所做的更改（如使用添加、删除或修改邮件标题的过滤操作做出的更改）。有关详细信息，请参阅邮件信头规则和求值。

random 规则生成一个介于零和 N-1 的随机数，其中 N 是规则后面括号中的整数值。正如 header() 规则，本规则可以在比较中使用，也可以以“一元”形式单独使用。如果生成的随机数为非零值，一元形式的规则将求出 true 值。例如，以下两个过滤器实际上相同，一半时间选择虚拟网关地址 A，另一半时间选择虚拟网关地址 B：

load_balance_a:

if (random(10) < 5) 
{

alt-src-host('interface_a');
} 

else 

{

alt-src-host('interface_b');

}

load_balance_b:

if (random(2)) 

{

alt-src-host('interface_a');

} 

else 

{

alt-src-host('interface_b');

}

rcpt-count 规则按照与 body-size 规则类似的方式，将邮件的收件人数量与整数值进行对比。这可防止用户将邮件同时发送给多名收件人，或确保此类大规模传送活动通过特定虚拟网关地址。以下示例通过特定虚拟网关地址发送任何收件人数超过 100 人的邮件：

large_list_filter:

if (rcpt-count > 100) {

alt-src-host('mass_mailing_interface');

}

addr-count() 邮件过滤器规则采用一个或多个信头字符串，计算每行中的收件人数，并返回收件人的累积数量。此过滤器与 rcpt-count 过滤器规则的不同之处在于，它的作用对象是邮件正文信头，不是信封收件人。以下示例展示将收件人长列表替换为“undisclosed-recipients”别名的过滤器规则：

count: if (addr-count("To", "Cc") > 30) 
{
 strip-header("To");
 strip-header("Cc");
 insert-header("To", "undisclosed-recipients");
}

body-contains() 规则扫描传入邮件及其所有附件，以确定是否存在规则参数定义的特定模式。这包括传送状态部分和关联附件。body-contains() 规则不执行多行匹配。可在“扫描行为”(Scan Behavior ) 页面或在 CLI 中使用 scanconfig 命令修改扫描逻辑，定义具体应该扫描或不扫描哪些 MIME 类型。您还可以指定扫描得出 true 值需要扫描引擎找到的最小匹配数。

默认情况下，系统扫描所有附件，除 MIME 类型为 video/*、audio/*、image/* 的附件之外。系统扫描存档附件 - 包含多个文件的 .zip、.bzip、.compress、.tar 或 .gzip 附件。您可以设置要扫描的“嵌套”存档附件数（如 .zip 中包含的 .zip。）

有关详细信息，请参阅 配置扫描行为。

执行正文扫描时，AsyncOS 会扫描正文文本和附件是否存在正则表达式。您可以为表达式分配一个最小阈值，如果扫描引擎发现最少次数的正则表达式，则表达式的值为 true。

AsyncOS 会对邮件的不同 MIME 部分求值，并扫描任何属于文本内容的 MIME 部分。如果 MIME 类型在第一部分指定文本，AsyncOS 会识别文本部分。AsyncOS 将根据邮件中指定的编码确定编码，并将文本转换为 Unicode，然后在 Unicode 中搜索正则表达式。如果邮件中未指定编码，AsyncOS 将使用您在“扫描行为”(Scan Behavior) 页面或使用 scanconfig 命令指定的编码。

有关 AsyncOS 如何在扫描邮件过程中对 MIME 求值的详细信息，请参阅邮件正文与邮件附件。

如果 MIME 部分不属于文本内容，AsyncOS 将从 .zip 或 .tar 存档文件中提取文件，或对压缩文件进行解压缩。提取数据后，扫描引擎会确定文件的编码并以 Unicode 编码形式返回文件中的数据。AsyncOS 然后会在 Unicode 中搜索正则表达式。

以下示例在正文文本和附件中搜索短语“Company Confidential”。示例指定两个实例的最小阈值，因此，如果找到短语的两个或多个实例，扫描引擎会退回所有匹配邮件，并通知法律部门此次尝试：

ConfidentialFilter:

if (body-contains('Company Confidential',2)) {

notify ('legaldept@example.domain');

bounce();

}

如仅扫描邮件的正文，请使用 only-body-contains：

disclaimer:

if (not only-body-contains('[dD]isclaimer',1) ) {

notify('hresource@example.com');

}

encrypted 规则检查邮件内容中是否包含加密数据。它不会对加密数据进行解码，仅检查邮件内容中是否存在加密数据。这可以防止用户发送加密邮件。

Note	encrypted 规则只能检测邮件内容中的加密数据，不检测加密的附件。

encrypted 规则与 true 规则的相似之处在于，它不使用参数，也无法进行比较。如果发现加密数据，此规则会返回true，如果未找到加密数据，返回 false。由于此功能需要扫描邮件，它将使用您在“扫描行为”(Scan Behavior) 页面或使用 scanconfig 命令定义的扫描设置。有关配置这些选项的详细信息，请参阅配置扫描行为。

下列过滤器检查所有通过侦听程序发送的邮件，因此，如果邮件中包含加密数据，该邮件将密件抄送到法律部门然后被退回:

prevent_encrypted_data:

if (encrypted) {

bcc ('legaldept@example.domain');

bounce();

}

attachment-type 规则会检查邮件中每个附件的 MIME 类型，确定附件是否匹配指定模式。模式必须采用“扫描行为”(Scan Behavior) 页面或 scanconfig 命令中的形式（如配置扫描行为所述），因此可能会使用星号替换斜线 (/) 的任意一侧，以作为通配符。如果邮件中包含与指定 MIME 类型匹配的附件，此规则会返回“true”。

由于此功能需要扫描邮件，它将应用配置扫描行为所述的所有选项。

有关可以使用哪些邮件过滤器规则来管理邮件附件的详细信息，请参阅附件扫描。

下列过滤器检查所有通过侦听程序发送的邮件，如果邮件中包含 MIME 类型为 video/* 的附件，邮件会被退回：

bounce_video_clips:

if (attachment-type == 'video/*') {

bounce();

}

attachment-filename 规则会检查邮件中每个附件的文件名，确定文件名是否匹配给定正则表达式。比较文件名时区分大小写。但是，比较会检查空格，如果文件名以空格结尾，过滤器就会跳过附件。如果邮件的其中一个附件与文件名匹配，此规则会返回“true”。

请注意以下问题：

• 每个附件的文件名从 MIME 信头头中捕获。MIME 信头中的文件名可能包含行尾空格。
• 如果附件是存档文件，邮件网关会从存档文件中收集文件名，并相应地应用扫描配置规则（请参阅配置扫描行为）。
  • 如果附件是单个压缩文件（不论文件扩展名如何），设备不会视其为存档文件，不会收集压缩文件的文件名。这意味着文件不被 attachment-filename 规则处理。通过 gzip 压缩的可执行程序 (.exe) 便是这类文件。
  • 对于包括一个压缩文件的 foo.exe.gz 等附件，可使用正则表达式搜索压缩文件中的特定文件类型。请参阅附件文件名和存档文件中的单个压缩文件。

有关可以使用哪些邮件过滤器规则来管理邮件附件的详细信息，请参阅附件扫描。

下列过滤器检查所有通过侦听程序发送的电子邮件，如果邮件中包含文件名为 *.mp3 的附件，邮件会被退回：

block_mp3s:

if (attachment-filename == '(?i)\\.mp3$') {

bounce();

}

dnslist() 规则会查询使用 DNSBL 方法（有时称为“ip4r 查询”）进行查询的公共 DNS 列表服务器。传入连接的 IP 地址被放入括号中并以反写的形式（即 IP 1.2.3.4.4 变成 4.3.2.1)添加为服务器名称的前缀（如果服务器名称不以 1 开头，则添加句点将服务器名称与 IP 地址隔开）。然后执行 DNS 查询，系统会返回 DNS 失败响应（表示在服务器列表中找不到连接的 IP 地址）或 IP 地址（表示找到该地址）。返回的 IP 地址的格式 通常 是 127.0.0.x，其中 x 几乎可以是从 0 到 255 之间的任何数字（不允许 IP 地址范围）。实际上，有些服务器会根据列入原因返回不同的数字，其他服务器则会对所有匹配返回相同的结果。

正如 header() 规则，dnslist() 规则也可用于一元或二进制比较。本质上，此规则会在收到响应时返回 true 值，在收不到响应时返回 false 值（例如，如果无法与 DNS 服务器通信）。

如果发件人已通过思科担保发件人信息服务计划进行担保，则以下过滤器会立即传送邮件：

allowedlist_bondedsender:

if (dnslist('query.bondedsender.org')) {

skip-filters();

}

或者，您可以使用等于 (==) 或不等于 (!=) 表达式，将结果与字符串进行比较。

下列过滤器丢弃了服务器对其做出出“127.0.0.2”响应的邮件。如果响应是其他结果，规则会返回“false”，过滤器会被忽略。

blockedlist:

if (dnslist('dnsbl.example.domain') == '127.0.0.2') {

drop();

}

reputation 规则根据另一个值检查 IP 信誉得分。支持所有比较运算符，例如，>、==、<= 等。如果邮件根本没有 IP 信誉得分（由于从未检查过该得分，或由于系统收不到 IP 信誉服务查询服务器的响应），所有信誉比较都会失败（数字不会大于、小于、等于或不等于任何值）。您可以使用下文介绍的 no-reputation 规则，检查 IP 信誉得分是否为“无”(None)。以下示例将邮件的“Subject:”行调整为，在 IP 信誉服务返回的信誉得分小于阈值 -7.5 时添加前缀“*** BadRep ***”。

note_bad_reps:

if (reputation < -7.5) {
strip-header ('Subject');
insert-header ('Subject', '*** BadRep $Reputation *** $Subject');
}

有关详细信息，请参阅“发件人信誉过滤”一章。另请参阅绕过反垃圾邮件系统操作

IP 信誉规则的值介于 -10 和 10 之间，但也可能会返回值 NONE。要指定查找值 NONE，请使用 no-reputation 规则。

none_rep:

if (no-reputation) {

strip-header ('Subject');

insert-header ('Subject', '*** Reputation = NONE *** $Subject');

}

如果邮件正文包含“dictonary_name”词典中的任何正则表达式或术语，则 dictionary-match(< dictonary_name >) 规则将返回 true 值。如果词典不存在，此规则的值为 false。有关定义词典的详细信息（包括大小写和词边界设置），请参阅“文本资源”一章。

当思科扫描包含“secret_words”词典中任何词语的邮件时，下列过滤器将密件抄送管理员。

copy_codenames:

if (dictionary-match ('secret_words')) {

bcc('administrator@example.com');

}

以下示例将邮件发送到“策略”(Policy) 隔离区，如果邮件正文中包含“secret_words”词典中的任何词语。与 only-body-contains 条件不同的是，body-dictionary-match 条件不要求所有内容部分均与词典匹配。每个内容部分的得分（考虑到多部分/备用部件）相加。

quarantine_data_loss_prevention:

if (body-dictionary-match ('secret_words'))

{

quarantine('Policy');

}

在以下过滤器中，主题与指定词典中某个术语匹配的邮件被隔离：

quarantine_policy_subject:

if (subject-dictionary-match ('gTest'))

{

quarantine('Policy');

}

此示例匹配“to”信头中的邮件地址，并密件抄送管理员：

headerTest:

if (header-dictionary-match ('competitorsList', 'to'))

{

bcc('administrator@example.com');

}

attachment-dictionary-match(<dictonary_name>) 规则的原理与上文的 dictionary-match 规则相似，不同的是本规则搜索附件中的匹配项。

下列过滤器会将邮件发送到 Policy 隔离区，如果邮件附件包含“secret_words”词典中的任何词语。

quarantine_codenames_attachment:

if (attachment-dictionary-match ('secret_words'))

{

quarantine('Policy');

}

header-dictionary-match(<dictonary_name>, <header>) 规则的原理与上文的 dictionary-match 规则相似，不同的是本规则在信头中搜索 <header > 中指定的匹配项。信头名称不区分大小写，因此，“subject”和“Subject”都适用。

下列过滤器会将邮件发送到“策略”(Policy) 隔离区，如果邮件的“cc”信头包含“ex_employees”词典中的任何词语。

quarantine_codenames_attachment:

if (header-dictionary-match ('ex_employees', 'cc'))

{

quarantine('Policy');

}

您可以在词典术语中使用通配符。不必转义邮件地址中的句点。

收到 SPF/SIDF 验证邮件时，您可能会根据 SPF/SIDF 验证结果采取不同的操作。spf-status 规则会根据不同的 SPF 证结果执行检查。有关详细信息，请参阅验证结果。

Note	如果您配置了没有 SPF 身份的 SPF 验证邮件过滤器规则，并且如果邮件包含具有不同判定的不同 SPF 身份，则邮件中的某个判定与该规则匹配时，将触发该规则。

您可以使用以下语法检查 SPF/SIDF 验证结果：

if (spf-status == "Pass")

如果您希望在一个条件中检查多个状态判断，可以使用以下语法：

if (spf-status == "PermError, TempError")

此外，您还可以使用以下语法，根据 HELO、MAIL FROM 以及 PRA 身份检查验证结果：

if (spf-status("pra") == "Fail")

以下示例展示 spf-status 过滤器的实际应用：

skip-spam-check-for-verified-senders:

if (sendergroup == "TRUSTED" and spf-status == "Pass"){

skip-spamcheck();

}

quarantine-spf-failed-mail:

if (spf-status("pra") == "Fail") {

if (spf-status("mailfrom") == "Fail"){

# completely malicious mail

quarantine("Policy");

} else {

if(spf-status("mailfrom") == "SoftFail") {

# malicious mail, but tempting

quarantine("Policy");

}

}

} else {

if(spf-status("pra") == "SoftFail"){

if (spf-status("mailfrom") == "Fail"

or spf-status("mailfrom") == "SoftFail"){

# malicious mail, but tempting

quarantine("Policy");

}

}

}

stamp-mail-with-spf-verification-error:

if (spf-status("pra") == "PermError, TempError"


or spf-status("mailfrom") == "PermError, TempError"

or spf-status("helo") == "PermError, TempError"){

# permanent error - stamp message subject

strip-header("Subject");

insert-header("Subject", "[POTENTIAL PHISHING] $Subject"); }

.

以下示例展示使用 spf-passed 规则隔离未标记为 spf-passed 的邮件：

quarantine-spf-unauthorized-mail:

if (not spf-passed) {

quarantine("Policy");

}

Note	不同于 spf‑status 规则，spf‑passed 规则将 SPF/SIDF 验证值简化为简单的布尔值。以下验证结果在 spf‑passed 规则中被视为未通过：None、Neutral、Softfail、TempError、PermError 以及 Fail。要基于更为精细的结果对邮件执行操作，请使用 spf‑status 规则。

S/MIME 网关邮件规则检查邮件是否经过 S/MIME 签名、加密或签名并加密。下列邮件过滤器检查邮件是否为 S/MIME 邮件，并在使用 S/MIME 的验证或解密失败时对邮件进行隔离。

quarantine_smime_messages:
if (smime-gateway-message and not smime-gateway-verified) {
quarantine("Policy"); 
}

有关详细信息，请参阅 S/MIME 安全服务。

S/MIME 网关邮件验证规则检查邮件是否成功通过验证、解密或已成功解密并验证。下列邮件过滤器检查邮件是否为 S/MIME 邮件，并在使用 S/MIME 的验证或解密失败时对邮件进行隔离。

quarantine_smime_messages:
if (smime-gateway-message and not smime-gateway-verified) {
quarantine("Policy"); 
}

有关详细信息，请参阅S/MIME 安全服务

workqueue-count 规则根据指定值检查队列计数。支持所有比较运算符，例如，>、==、<= 等。

下列过滤器检查队列计数，并在队列超过指数目时跳过垃圾邮件检查。

wqfull:

if (workqueue-count > 1000) {

skip-spamcheck();

}

有关 SPF/SIDF 的详细信息，请参阅SPF 和 SIDF 验证概述。

如果您的邮件网关使用 SMTP 身份验证发送邮件，smtp-auth-id-matches (<target> [, <sieve-char>]) 规则将根据发件人的 SMTP 身份验证用户 ID 检查邮件的信头和信封发件人，确定传出邮件是否包含欺骗性的信头。系统可使用此过滤器隔离或阻止潜在欺骗邮件。

smtp-auth-id-matches 规则会将 SMTP 身份验证 ID 与以下对象进行对比：

过滤器执行非严格匹配。不区分大小写。如果提供 sieve-char 可选参数，对比将忽略地址中指定字符后面的最后一部分。例如，如果参数中包含 + 字符，过滤器将忽略地址 address joe+folder@example.com 中 + 字符后面的部分。如果地址是 joe+smith+folder@example.com，过滤器仅忽略 +folder 部分。如果 SMTP 身份验证用户 ID 字符串是简单的用户名，而不是完全限定的邮件地址，过滤器将仅检查对象的用户名部分，确定是否存在匹配。必须使用单独的规则验证域。

此外，您可以使用 $SMTPAuthID 变量将 STMP 身份验证用户 ID 插入信头。

下表展示使用 smtp-auth-id-matches 过滤器规则对比 SMTP 身份验证用户 ID 和邮件地址以及他们是否匹配的情景：

下列过滤器检查在 SMTP 验证会话期间创建的所有邮件，确定“From”信头中的地址和信封发件人是否与 SMTP 身份验证用户 ID 匹配。如果地址和 ID 匹配，过滤器将验证域。如果不匹配，邮件网关将隔离邮件。

Msg_Authentication:

if (smtp-auth-id-matches("*Any"))

{

# Always include the original authentication credentials in a

# special header.

insert-header("X-Auth-ID","$SMTPAuthID");

if (smtp-auth-id-matches("*FromAddress", "+") and

smtp-auth-id-matches("*EnvelopeFrom", "+"))

{

# Username matches. Verify the domain

if header('from') != "(?i)@(?:example\\.com|alternate\\.com)" or

mail-from != "(?i)@(?:example\\.com|alternate\\.com)"

{

# User has specified a domain which cannot be authenticated

quarantine("forged");

}

} else {

# User claims to be an completely different user

quarantine("forged");

}

}

已签名规则检查邮件是否已签名。该规则将返回布尔值，表明邮件是否已签名。此规则将评估签名是否根据 ASN.1 DER 编码规则编码，以及是否采用 CMS SignedData 结构类型（RFC 3852 第 5.1节）。它并不验证签名是否与内容匹配，也不检查证书的有效性。

以下示例使用已签名规则将信头插入签名邮件：

signedcheck: if signed { insert-header("X-Signed", "True"); }

以下示例使用已签名规则删除来自特定发件人组未签名邮件的附件：

Signed: if ((sendergroup == "NOTTRUSTED") AND NOT signed) {

html-convert();

if (attachment_size > 0)

{

drop_attachments("");

}

}

signed-certificate 规则选择 X.509 证书颁发机构或邮件签署人与指定正则表达式匹配的 S/MIME 邮件。此规则仅支持 X.509 证书。

规则语法为 signed-certificate (<字段> [<运算符> <正则表达式>])，其中：

• <字段> 是带引号的字符串“issuer”或“signer”，
• <运算符> 是 == 或 !=，
• <正则表达式> 是匹配“issuer”或“signer”的值。

使用多个签名对邮件签名时，如果其中任何一个颁发机构或签署人匹配正则表达式，规则会返回 true。此规则的简短形式 signed-certificate(“issuer”) 和 signed-certificate(“signer”) 会在 S/MIME 邮件包含颁发机构或签署人时返回 true。

如果在给定时间点检测到满足以下条件的指定数量邮件，信头重复规则将得出 true 值：

• 在前一小时内检测到主题相同的邮件。
• 在前一小时内检测来自同一信封发件人的邮件。

您可以使用此规则检测大量邮件。例如，政治运动会通过某些网站向机构发送大量邮件。反垃圾邮件引擎将此类邮件处理为正常邮件，不会停止邮件传送。

此规则的语法是 header-repeats (<target>, <threshold> [, <direction>])，其中：

• <target> 是 subject 或 mail-from。AsyncOS 会计入目标的重复值。
• <threshold> 是前一小时内收到的指定对象值相同的邮件的数量，超出该数量后，规则将得出 true 值。
• <direction> 是传入和/或传出。如果未指定方向，规则求值时将对传入或外发邮件计数。

只要信头重复规则得出 true 值，设备就会发送系统警告。请参阅系统警告。

Note	如果信头字段包含逗号或分号分隔值，规则在跟踪时会考虑整个字符串。此规则忽略主题信头为空的邮件。

信头重复规则将不断变化的邮件总数量精确到一分钟内。因此，达到设置阈值后，触发规则可能会出现一分钟的延迟。

使用 URL 信誉规则定义基于邮件中所有 URL 信誉得分的邮件操作。有关重要详细信息，请参阅防御恶意或不需要的 URL中的按 URL 信誉或 URL 类别过滤：条件和规则

在这些规则中：

• Msg_filter_name 为邮件过滤器的名称。
• allowedlist 为已定义 URL 列表的名称（通过 urllistconfig 命令定义）。指定允许列表为可选。

使用 URL 类别定义基于邮件中 URL 类别的邮件操作。有关重要详细信息，请参阅防御恶意或不需要的 URL中的按 URL 信誉或 URL 类别过滤：条件和规则。

使用 url-category 规则时，过滤器语法如下：

<msg_filter_name>: if url-category ([‘<category-name1>’,’<category-name2>’,..., ‘<category-name3>’],’<url_allowed_list>’,'<include_attachments>','<include_message_body_subject>')

<action>

其中：

• msg_filter_name 是此邮件过滤器的名称。
• action 是任何邮件过滤器操作。
• category-name 是 URL 类别。使用逗号分隔多个类别。要获得正确的类别名称，请查看内容过滤器中的 URL 类别条件或操作。有关类别的说明和示例，请参阅关于 URL 类别。
• url_allowed_list 为已定义 URL 列表的名称（通过 urllistconfig 命令定义）。
• include_attachments 用于扫描邮件附件中的 URL。值“1”表示已启用对邮件附件的 URL 扫描，值“0”表示未启用对邮件附件的 URL 扫描。

• include_message_body_subject 用于扫描邮件正文和主题中的 URL。值“1”表示已启用对邮件正文和主题的 URL 扫描，值“0”表示未启用对邮件正文和主题的 URL 扫描。

如果邮件中包含损坏的附件，则损坏的附件规则的值为 true。损坏的附件是扫描引擎不可扫描且识别为已损坏的附件。

您可能希望基于邮件语言采取不同的邮件操作。例如，您可能需要：

• 将俄语中的免责声明添加到使用俄语的邮件中
• 丢弃无法确定其语言的邮件

使用邮件语言规则根据邮件主题和正文的语言来执行邮件操作。

Note	此条件不会检查附件和信头使用的语言。

可以使用宏检测规则来检测指定文件类型的邮件中启用了宏的附件。

注	如果存档或嵌入文件包含宏，则会从邮件中删除父文件。

注	如果任何附件（例如 Excel 或 Word）不包含任何宏，但具有宏扩展名（例如 .xlsm 或 .docm），它们仍将被视为具有宏的文件。这些文件将被关联的过滤器标记为启用宏的附件。

您可能希望检测带有伪造发件人地址（“发件人:”信头）的欺诈邮件，并对此类邮件执行操作。

使用 forged-email-detection 规则检测此类邮件。在配置此规则时，必须指定内容词典以及将邮件视为潜在伪造邮件的阈值（1 到 100）。

forged-email-detection 规则将“发件人:”信头与内容词典中的用户进行比较。在此过程中，邮件网关将根据相似性为词典中的每个用户分配相似性得分。以下列出某些示例：

• 如果“发件人:”信头为 <j0hn.sim0ns@example.com>，并且内容词典包含用户“John Simons”，则邮件网关会将相似性得分 82 分配给该用户。
• 如果“发件人:”信头为 <john.simons@diff-example.com>，并且内容词典包含用户“John Simons”，则邮件网关会将相似性得分 100 分配给该用户。

相似性得分越高，邮件是伪造邮件的可能性就越大。如果相似性得分高于或等于指定的阈值，则会触发过滤器操作。

有关详细信息，请参阅伪造邮件检测。

<filter_name>: if (forged-email-detection(“<content_dictionary>”, threshold)) {<action>;}

FED_CF: if (forged-email-detection("Execs", 70)) { fed("from", ""); }

可以使用 duplicate_boundaries 规则检测包含重复 MIME 边界的邮件。

Note	基于附件的规则（例如，attachment-contains）或操作（例如，drop-attachments-where-contains）将无法处理格式错误的邮件（具有重复的 MIME 边界）。

<filter_name>: if (duplicate_boundaries){<action>;}

DuplicateBoundaries: if (duplicate_boundaries) { quarantine("Policy"); }

可以使用格式不正确的信头规则检测包含格式错误的 MIME 信头的邮件。

<filter_name>: if (malformed-header){<action>;}

quarantine_malformed_headers: if (malformed-header)
{
quarantine("Policy");
}

您可以使用地理位置规则来处理来自您所选特定国家/地区的传入邮件。

<msg_filter_name>: if (geolocation-rule (['country_name-1', 'country_name-2',...
,’country_name-n'])) {<action>}

Quarantine_Incoming_Messages_from_Country1_and_Country2: if (geolocation-rule
(['Country1', 'Country2'])) {quarantine("Policy");}

例如，使用以下邮件过滤器规则语法来检测使用 ETF 引擎的邮件中的恶意域，并对此类邮件执行适当的操作。

语法：

quarantine_msg_based_on_ETF: if (domain-external-threat-feeds (['etf_source1'],
 ['mail-from', 'from'], <'domain_exception_list'>)) { quarantine("Policy"); }

位置

• ‘domain-external-threat-feeds' 是域信誉邮件过滤器规则。

• ‘etf_source1' 是用于在邮件的信头中检测恶意域的 ETF 源。

• ‘mail-from','from' 是用于检查域信誉的所需信头。

• 'domain_exception_list' 是域例外列表的名称。如果不存在域例外列表，它将显示为 ""。

示例

在以下示例中，如果 ETF 引擎检测到 'Errors To:' 自定义信头中的域为恶意域，则该邮件将被隔离。

Quaranting_Messages_with_Malicious_Domains: if domain-external-threat-feeds 
(['threat_feed_source'], ['Errors-To'], "")) {quarantine("Policy");}

您可以使用域信誉规则根据 SDR 过滤邮件，并对此类邮件执行相应的操作：

• 发件人域判定

• 发件人域有效期

• 发件人域不可扫描

可以在 attachment-filetype 和 drop-attachments-by-filetype rules 中指定某一种文件类型（如“exe”文件）或公共组的附件。AsyncOS 按下表中列出的组对附件分组。

如果您创建的邮件过滤器使用 != 运算符匹配不含特定文件类型附件的邮件，那么如果存在至少一个想要过滤的文件类型的附件，过滤器便会对邮件执行操作。例如，下列过滤器会删除附件类型不是 .exe 文件类型的所有邮件：

exe_check: if (attachment-filetype != "exe") {

drop();

}

如果一封邮件包含多个附件，那么如果至少一个附件为 .exe 文件，邮件网关便会删除该邮件，即使其他附件不是 .exe 文件。

系统支持包含 ISO-2022 样式字符编码（信头值的编码方式）的操作变量扩展，并支持通知中的国际文本。它们将结合生成可作为 UTF-8 可打印引用消息发送的通知。

skip-filters 操作可确保邮件跳过邮件过滤器的任何进一步处理，并继续通过邮件管道。如果邮件网关执行此类扫描，触发 skip-filters 操作的邮件将进行反垃圾邮件扫描和防病毒扫描。skip-filters 操作是邮件过滤器的默认最终操作。

下列过滤器首先通知 customercare@example.com，随即传送目标为 boss@admin 的所有邮件。

bossFilter:

if(rcpt-to == 'boss@admin$')

{

notify('customercare@example.com');

skip-filters();

}

drop 操作会丢弃邮件，不进行任何传送。邮件不会退回给发件人、不会发送到原定收件人，也不会做任何进一步处理。

下列过滤器首先通知 george@whitehouse.gov，之后删除主题以 SPAM 开头的所有邮件。

spamFilter:

if(subject == '^SPAM.*')

{

notify('george@whitehouse.gov');

drop();

}

bounce 操作会将邮件发送回给发件人（信封发件人），不做进一步处理。

下列过滤器退回来自以 @yahoo\\.com 结尾的邮件地址的所有邮件。

yahooFilter:

if(mail-from == '@yahoo\\.com$')

{

bounce();

}

encrypt 操作使用配置的加密配置文件向邮件收件人传送加密邮件。

下列过滤器对主题中包含词语 [encrypt] 的邮件进行加密：

Encrypt_Filter:

if ( subject == '\\[encrypt\\]' )

{

encrypt('My_Encryption_Profile');

}

Note	必须将网络中的加密设备或托管密钥服务配置为使用此过滤器操作。同时，还必须配置使用此过滤器操作的加密配置文件。

在传送过程中，smime-gateway-deferred 操作使用指定的发送配置文件，对邮件执行 S/MIME 签名或加密。这意味着，邮件继续进入下一处理环节，并在完成所有处理后进行签名，或加密并传送。

在传送过程中，下列过滤器对所有来自特定发件人的外发邮件进行 S/MIME 加密：

smime-deferred:if(mail-from == "user@example.com"){smime-gateway-deferred("smime-encrypt");}

smime-gateway 操作使用指定的发送配置文件对邮件执行 S/MIME 签名或加密，并进行传送，跳过任何后续处理。

下列过滤器对来自特定发件人的所有外发邮件执行 S/MIME 签名，并立即传送这些邮件：

smime-deliver-now:if(mail-from == "user@example.com"){smime-gateway("smime-sign");}

notify 和 notify-copy 操作会将邮件的邮件摘要发送到指定邮件地址。notify-copy 操作还会发送原始邮件的副本，类似于 bcc-scan 操作。通知摘要包括：

• 邮件传输协议会话中针对邮件的信封发件人和信封收件人（MAIL FROM 和 RCPT TO）命令内容。
• 邮件的邮件信头。
• 邮件匹配的邮件过滤器的名称。

您可以指定收件人、主题行、源地址和通知模板。下列过滤器选择大小超过 4 MB 的邮件，每发现一个匹配邮件向 admin@example.com 发送一封通知邮件，并最终删除邮件：

bigFilter:

if(body-size >= 4M)

{

notify('admin@example.com');

drop();

}

或

bigFilterCopy:

if(body-size >= 4M)

{

notify-copy('admin@example.com');

drop();

}

信封收件人参数可以是任何有效的邮件地址（例如，上述示例中的 admin@example.com），也可以是指定邮件的所有信封收件人的操作变量 $EnvelopeRecipients（请参阅操作变量）：

bigFilter:

if(body-size >= 4M)

{

notify('$EnvelopeRecipients');

drop();

}

notify 操作还支持最多三个额外的可选参数，通过这些参数可指定主题信头、信封发件人和可用于通知邮件的预定义文本资源。这些参数必须按顺序出现，因此，如果要设置信封发件人或指定通知模板，必须提供主题。

主题参数可能包含可替换为原始邮件中数据的操作变量（请参阅操作变量）。主题参数默认设置为 Message Notification。

信封发件人参数可以是任何有效的邮件地址，也可以是将邮件的退回路径设为原始邮件路径的操作变量 $EnvelopeFrom。

通知模板参数是现有通知模板的名称。有关详细信息，请参阅通知。

此示例对上一示例进行了扩展，只是将主题改为 [bigFilter] Message too large，将退回路径设为原始发件人，并使用“message.too.large”模板：

bigFilter:

if (body-size >= 4M)

{

notify('admin@example.com', '[$FilterName] Message too large',

'$EnvelopeFrom', 'message.too.large');

drop();

}

您还可以使用 $MatchedContent 操作变量通知发件人或管理员已触发内容过滤器。$MatchedContent 操作变量可显示触发过滤器的内容。例如，以下过滤器会在邮件包含 ABA 帐户信息时通知管理员。

ABA_filter:

if (body-contains ('*aba')){

notify('admin@example.com','[$MatchedContent]Account Information Displayed');

}

bcc 操作会将邮件的匿名副本发送给指定收件人。操作有时被称为邮件复制。由于原始邮件中并未提到抄送，且匿名副本决不会成功退回给收件人，邮件的原始发件人和收件人不一定知晓已发送副本。

下列过滤器将 johnny 发送至 sue 的每一封邮件密件抄送给 mom@home.org：

momFilter:

if ((mail-from == '^johnny$') and (rcpt-to == '^sue$'))

{

bcc('mom@home.org');

}

bcc 操作还支持最多三个额外的可选参数，通过这些参数可指定在抄送邮件上使用的主题信头、信封发件人以及备用邮件主机。这些参数必须按顺序出现，因此，如果要设置信封发件人必须提供主题。

主题参数可能包含可替换为原始邮件中数据的操作变量（请参阅操作变量）。默认情况下，这将设置为原始邮件的主题（相当于 $Subject）。

信封发件人参数可以是任何有效的邮件地址，也可以是将邮件的退回路径设为原始邮件路径的操作变量 $EnvelopeFrom。

此示例将主题设为 [Bcc] <original subject>，将退回路径设为 badbounce@home.org，扩展了上一示例：

momFilter:

if ((mail-from == '^johnny$') and (rcpt-to == '^sue$'))

{

bcc('mom@home.org', '[Bcc] $Subject', 'badbounce@home.org');

}

The alt-mailhost is the fourth parameter:

momFilterAltM:

if ((mail-from == '^johnny$') and (rcpt-to == '^sue$'))

{

bcc('mom@home.org', '[Bcc] $Subject', '$EnvelopeFrom',

'momaltmailserver.example.com');

}

Caution

Bcc()、notify() 以及 bounce() 过滤器操作会忽视网络中的病毒。密件抄送过滤器操作会创建一封新邮件，也即原始邮件的完整副本。通知过滤器操作会创建一封包含原始邮件信头的新邮件。信头可能包含病毒，尽管很少出现这种情况。退回过滤器操作会创建一封包含原始邮件前 10k 内容的新邮件。在这三种情况下，新邮件将不做防病毒或反垃圾邮件扫描处理。

要发送到多个主机，您可以多次调用 bcc() 操作：

multiplealthosts:

if (recv-listener == "IncomingMail")

{

insert-header('X-ORIGINAL-IP', '$remote_ip');

bcc ('$EnvelopeRecipients', '$Subject', '$EnvelopeFrom', '10.2.3.4');

bcc ('$EnvelopeRecipients', '$Subject', '$EnvelopeFrom', '10.2.3.5');

bcc ('$EnvelopeRecipients', '$Subject', '$EnvelopeFrom', '10.2.3.6');

}

quarantine(‘quarantine_name’) 操作将标记出应放入隔离区队列的邮件。有关隔离区的详细信息，请参阅“隔离区”一章。duplicate-quarantine ( ‘quarantine_name’) 操作会立即将邮件的副本发送到指定隔离区，而原始邮件将继续通过邮件管道。隔离区名称区分大小写。

在标记为放入隔离区的同时，邮件继续通过邮件管道的其余部分。当邮件到达管道末尾时，如果此邮件被标记为放入一个或多个隔离区，邮件将加入这些队列。否则，邮件将被传送。请注意，如果邮件没有到达管道末尾，邮件不会被放入隔离区。

相应地，如果邮件过滤器包含 quarantine() 操作，在此之后还有 bounce() 或 drop() 操作，邮件不会被放入隔离区，因为最终操作阻止邮件到达管道末尾。果邮件过滤器包含隔离区操作，但邮件稍后被反垃圾邮件或防病毒扫描或内容过滤器丢弃，也会发生上述情况。skip-filters() 操作会导致邮件跳过任何剩余邮件过滤器，但内容过滤器可能仍然适用。例如，如果邮件过滤器将邮件标记为放入隔离区，并包括 skip-filters() 操作，那么邮件将跳过所有剩余的邮件过滤器，并被隔离，除非邮件管道中的另一个操作导致邮件被丢弃。

在下面的示例中，如果邮件包含“secret_word”词典中的任何词语，邮件将被发送至 Policy 隔离区。

quarantine_codenames:

if (dictionary-match ('secret_words'))

{

quarantine('Policy');

}

在下面的示例中， 假定公司制定了丢弃所有 .mp3 文件附件 的正式策略。如果入站邮件包含 .mp3 附件，那么该附件将被剥离，其余信息（原始正文和剩余附件）将发送到原始收件人。一个包含所有附件的原始邮件副本将被隔离（发送到“策略”[Policy] 隔离区。）如果 有必要接收被阻止的附件， 原始收件人需请求从隔离区释放邮件。

strip_all_mp3s:

if (attachment-filename == '(?i)\\.mp3$') {

duplicate-quarantine('Policy');

drop-attachments-by-name('(?i)\\.mp3$');

}

alt-rcpt-to 操作会在传送时将邮件的所有收件人改为指定收件人。

下列过滤器将发送信封收件人地址中包含 .freelist.com 的所有邮件，并将邮件的所有收件人更改为 system-lists@myhost.com：

freelistFilter:

if(rcpt-to == '\\.freelist\\.com$')

{

alt-rcpt-to('system-lists@myhost.com');

}

alt-mailhost 操作将选定邮件的所有收件人的 IP 地址改为给定的数字 IP 地址或主机名。

Note	alt-mailhost 操作可防止反垃圾邮件扫描引擎归类为垃圾邮件的邮件被隔离。alt-mailhost 操作将覆盖 quarantine 操作并将邮件发送到指定的邮件主机。

下列过滤器将所有邮件的收件人地址重定向到主机 example.com。

localRedirectFilter:

if(true)

{

alt-mailhost('example.com');

}

因此，定向到 joe@anywhere.com 的邮件被传送至位于 example.com，且信封收件人地址为 joe@anywhere.com 的邮件主机。注意，smtproutes 命令指定的所有额外路由信息仍会影响邮件的传送。（请参阅路由本地域的邮件。）

Note	alt-mailhost 操作不支持指定端口号。因此，请添加 SMTP 路由。

下列过滤器将所有邮件重定向到 192.168.12.5：

local2Filter:

if(true)

{

alt-mailhost('192.168.12.5');

}

alt-src-host 操作会将邮件的源主机改为指定的源。源主机包括邮件来源的 IP 接口或 IP 接口组。如果选择一组 IP 接口，系统会在传送邮件时轮询组中所有作为源接口的 IP 接口。实际上，此操作可以在一个邮件网关上创建多个虚拟网关地址。有关详细信息，请参阅使用 Virtual Gateway™ 技术为所有托管的域配置邮件网关。

IP 接口只能改为系统当前配置的 IP 接口或接口组。下列过滤器使用出站（传送）IP 接口 outbound2 为来自 IP 地址为 1.2.3.4 的远程主机的所有邮件创建虚拟网关。

externalFilter:

if(remote-ip == '1.2.3.4')

{

alt-src-host('outbound2');

}

下列过滤器对从 IP 地址为 1.2.3.4 的远程主机接收的所有邮件使用 IP 接口组 Group1。

groupFilter:

if(remote-ip == '1.2.3.4')

{

alt-src-host('Group1');

}

archive 操作可在邮件网关上将原始邮件（包括所有邮件信头和收件人）保存为 mbox 格式的文件。此操作将使用保存邮件的日志文件名称参数。系统会在您创建过滤器时自动创建使用指定文件名的日志订用，您也可以指定现有的过滤器日志文件。过滤器和过滤器日志文件创建后，可以使用 filters -> logconfig 子命令编辑过滤器日志选项。

Note	logconfig 命令是 filters 的子命令。有关如何使用此子命令的完整说明，请参阅使用 CLI 管理邮件过滤器。

mbox 格式是标准的 UNIX 邮箱格式，而且有多种实用程序可帮助您更轻松地查看邮件。对于大多数 UNIX 系统，您可以键入“mail -f mbox.filename”来查看文件。mbox 格式是纯文本，因此可使用简单的文本编辑器来查看邮件的内容。

在下面的示例中，如果信封发件人与 joesmith@yourdomain.com 匹配，则将邮件副本保存至名为 joesmith 的日志：

logJoeSmithFilter:

if(mail-from == '^joesmith@yourdomain\\.com$')

{

archive('joesmith');

}

strip-header 操作会检查邮件是否存在特定信头，并从邮件中删除这些行，然后再传送邮件。存在多个信头时，操作会删除所有信头实例（例如“接收时间：”(Received:) 信头）。

在下面的示例中，所有邮件在传送前均被删除信头 X-DeleteMe：

stripXDeleteMeFilter:

if (true)

{

strip-header('X-DeleteMe');

}

处理信头时，注意信头的当前值包括在处理过程中所做的更改（如使用添加、删除或修改邮件标题的过滤操作做出的更改）。有关详细信息，请参阅邮件信头规则和求值。

insert-header 操作可将新的信头插入到邮件中。AsyncOS 不验证插入的信头是否符合标准；必须确保生成的邮件符合互联网邮件标准。

在下面的示例中，如果在邮件中找不到信头，则插入名为 X-Company 且值设为 My Company Name 的信头：

addXCompanyFilter:

if (not header('X-Company'))

{

insert-header('X-Company', 'My Company Name');

}

Insert-header() 操作允许在信头文本中使用非 ASCII 字符，但信头名称必须是 ASCII（合规要求）。传输代码采用可打印的引用格式，以最大限度地提高可读性。

Note	strip-headers 和 insert-header 操作可以结合使用，重写原始邮件的所有邮件信头。在某些情况下，可以使用多个相同的信头（如 接收时间：(Received:) ）；而在某些情况下，多个相同的信头实例可能会困扰 MUA（如多个“主题：”(Subject:)信头）。

处理信头时，注意信头的当前值包括在处理过程中所做的更改（如使用添加、删除或修改邮件标题的过滤操作做出的更改）。有关详细信息，请参阅邮件信头规则和求值。

edit-header-text 操作支持使用正则表达式替换功能重写指定的信头文本。过滤器匹配信头中的正则表达式，并将其替换为指定正则表达式。

例如，邮件包含下列主题信头：

Subject: SCAN Marketing Messages

下列过滤器删除信头中的“SCAN”文本，同时保留文本“Marketing Messages”：

Remove_SCAN: if true

{

edit-header-text (‘Subject’, ‘^SCAN\\s*’,’’);

}

过滤器处理邮件后返回下列信头：

Subject: Marketing Messages

edit-body-text() 邮件过滤器与 Edit-Header-Text() 过滤器相似，但该过滤器作用于邮件正文，不是其中一个信头。

edit-body-text() 邮件过滤器使用下列语法，其中第一个参数是要搜索的正则表达式，第二个参数是替换文本：

Example: if true {

edit-body-text("parameter 1","parameter 2");

}

edit-body-text() 邮件过滤器仅作用于邮件正文部分有关判断 MIME 部分为邮件“正文”还是邮件“附件”的详细信息，请参阅邮件正文与邮件附件。

以下示例展示 URL 从邮件中删除，并替换为文本“URL REMOVED”：

URL_Replaced: if true {

edit-body-text("(?i)(?:https?|ftp)://[^\\s\">]+", "URL REMOVED");

}

以下示例展示社会保险号码从邮件正文删除，并替换为文本“XXX-XX-XXXX”：

ssn: if true {

edit-body-text("(?!000)(?:[0-6]\\d{2}|7(?:[0-6]\\d|7[012]))([
-]?)(?!00)\\d\\d\\1(?!0000)\\d{4}",

"XXX-XX-XXXX");

}

Note	此时无法在 edit-body-text() 过滤器中使用智能标识符。

RFC 2822 定义了邮件的文本格式，但现在文本格式有了一定扩展（如 MIME）以便传输 RFC 2822 邮件中的其他内容。AsyncOS 现在可以使用 html-convert() 邮件过滤器通过以下语法将 HTML 转换为纯文本：

Convert_HTML_Filter:

if (true)

{

html-convert();

}

思科邮件过滤器将判断给定 MIME 部分属于邮件“正文”还是“附件”。html-convert() 过滤器仅作用于邮件正文部分。有关邮件正文和附件的详细信息，请参阅邮件正文与邮件附件。

html-convert() 过滤器会根据文件格式使用不同的方法，将 HTML 从文档中删除。

如果邮件是纯文本 (text/plain)，邮件将原样通过过滤器。如果邮件是简单的 HTML 邮件 (text/html)，所有 HTML 标签将从邮件中删除，所产生的正文将替换 HTML 邮件。邮件中的行没有重新格式化，并且 HTML 不会显示为纯文本。如果邮件的结构是 MIME（采用多部分/备用结构），且同时包含内容相同的 text/plain 部分和 text/html 部分，过滤器将删除邮件的 text/html 部分，保留 text/plain 部分。对于其他 MIME 类型（例如多部分/混合），过滤器将删除 HTML 正文部分的 HTML 标记，并将 HTML 正文重新插入邮件。

如存在邮件过滤器，html-convert() 过滤器操作仅将邮件标记为需要处理，但不会立即更改邮件结构。所有处理完成后，对邮件的更改才会生效。这样便于其他过滤器操作处理修改之前的原始邮件正文。

bounce-profile 操作为邮件分配预配置的退回配置文件。（请参阅定向退回的邮件。）如果邮件无法发送，则使用通过退回配置文件配置的退回选项。使用此功能将覆盖从侦听程序的配置中分配给邮件的退回配置文件（如果已分配）。

在下面的过滤器示例中，为信头为 X-Bounce-Profile: fastbounce 的所有外发邮件分配退回配置文件“fastbounce”：

fastbounce:

if (header ('X-Bounce-Profile') == 'fastbounce') {

bounce-profile ('fastbounce');

}

skip-spamcheck 操作会指示系统允许邮件绕开系统上配置的任何基于内容的反垃圾邮件过滤。如果未配置基于内容的反垃圾邮件过滤，或如果从未将邮件标记为首先进行垃圾邮件扫描，此操作不会对邮件进行处理。

以下示例允许高 IP 信誉得分的邮件绕过基于内容的反垃圾邮件过滤功能：

allowed_list_on_reputation:

if (reputation > 7.5)

{

skip-spamcheck();

}

如果您不想在某些邮件上应用灰色邮件操作，可使用下列邮件过滤器操作绕过这类操作：

以下示例指定在侦听程序“private_listener”上接收的邮件必须绕过针对社交网络邮件的灰色邮件操作。

internal_mail_is_safe:

if (recv-listener == 'private_listener')

{

skip-socialcheck();

}

skip-viruscheck 操作指示系统允许邮件绕过系统上配置的所有病毒防护系统。如果未配置防病毒系统，或如果从未将邮件标记为首先进行病毒扫描，此操作不会对邮件进行处理。

以下示例指定在侦听程序“private_listener”上接收的邮件应绕过反垃圾邮件和防病毒系统。

internal_mail_is_safe:

if (recv-listener == 'private_listener')

{

skip-spamcheck();

skip-viruscheck();

}

skip-ampcheck 操作指示系统允许邮件绕过系统上配置的文件信誉过滤和文件分析。如果未配置文件信誉过滤和文件分析，或如果从未将邮件标记为首先进行文件信誉过滤和文件分析扫描，此操作不会对邮件进行处理。

以下示例指定包含 PDF 附件的邮件应绕过文件信誉过滤和文件分析。

skip_amp_scan:
if (attachment-filetype == 'pdf') 
{
skip-ampcheck();
}

skip-vofcheck 操作指示系统允许邮件绕过病毒爆发过滤器扫描。如果病毒爆发过滤器扫描未启用，此操作不会对邮件进行处理。

以下示例指定在侦听程序“private_listener”上接收的邮件应绕过爆发过滤器扫描。

internal_mail_is_safe:

if (recv-listener == 'private_listener') Outbreak Filters

{

skip-vofcheck();

}

tag-message 操作会在外发邮件中插入自定义术语，以便使用 DLP 策略过滤。您可以将 DLP 策略配置为仅扫描包含邮件标记的邮件。邮件标记对收件人不可见。标签名称可以包含 [a-zA-Z0-9_-.] 字符集中字符的任意组合。.

有关配置 DLP 邮件过滤策略的信息，请参阅“防数据丢失”一章。

以下示例将邮件标记插入主题中包含“[Encrypt]”的邮件。然后，您可以创建 DLP 策略，如果思科邮件加密可用，则该策略将在传送具有此邮件标记的邮件之前对其进行加密。

Tag_Message:

if (subject == '^\\[Encrypt\\]')

{

tag-message('Encrypt-And-Deliver');

}

log-entry 操作在信息级别向文本邮件日志中插入自定义文本。文本可包含操作变量。您可以使用此操作插入用于调试的文本，以及解释邮件过滤器为何执行某一操作的信息。日志条目也将显示在邮件跟踪中。

以下示例插入了解释邮件因为涉嫌包含公司机密信息而被退回的日志条目：

CompanyConfidential:

if (body-contains('Company Confidential'))

{

log-entry('Message may have contained confidential information.');

bounce();

}

cef-log-entry 操作会将自定义文本插入合并事件日志中。文本可包含操作变量。如果在配置“合并事件日志”(Consolidated Event Logs) 日志订用时，“选定日志字段”(Selected Log Fields) 中包含“自定义日志条目”(Custom Log Entries)，则 CEF 日志条目会出现在“合并事件日志”(Consolidated Event Logs) 中。

以下示例插入一个标签为“confidential”、值为“true”的 CEF 日志条目，该日志条目在合并事件日志中显示如下：ESACustomLogs={'confidential': ['true']}

CEFLogEntryExample:

if (body-contains('Company Confidential'))

{

cef-log-entry("confidential", "true");
}

使用邮件中的 URL 信誉得分修改 URL 或其行为。有关重要详细信息和示例，请参阅防御恶意或不需要的 URL中的修改邮件中的 URL：在过滤器中使用 URL 信誉和 URL 类别操作

这些操作不需要规则。

在 URL 信誉操作中：

• msg_filter_name 为邮件过滤器的名称。
• min_score 和 max_score 是操作应用范围的最小和最大得分。适用范围包括您指定的值。

最小和最大得分必须介于 -10.0 和 10.0 之间。

• 要在信誉服务不提供得分的情况下指定操作，请使用操作的相应“no - reputation”版本，如以下小节所示。
• allowedlist 为已定义 URL 列表的名称（通过 urllistconfig 命令定义）。指定允许列表为可选。
• 不输入 Preserve_signed，而输入 0 或 1：
  • 1 - 将此操作仅应用于未签名邮件
  • 0 - 将此操作应用于所有邮件

如不指定 preserve_signed 值，操作将仅应用于未签名邮件。

使用邮件中的 URL 类别修改 URL 或其行为。有关重要详细信息，请参阅防御恶意或不需要的 URL中的修改邮件中的 URL：在过滤器中使用 URL 信誉和 URL 类别操作

这些操作不需要规则。

在所有 URL 类别操作中：

• msg_filter_name 是邮件过滤器的名称。
• category-name 是 URL 类别。使用逗号分隔多个类别。要获得正确的类别名称，请查看内容过滤器中的 URL 类别条件或操作。有关类别的说明和示例，请参阅关于 URL 类别。
• url_allowed_list 为已定义 URL 列表的名称（通过 urllistconfig 命令定义）。
• unsigned-only：输入 0 或 1。
  • 1 - 将此操作仅应用于未签名邮件
  • 0 - 将此操作应用于所有邮件

无操作操作执行 no-op 或 no 操作。如果您不想在邮件过滤器使用通知、隔离或丢弃等其他操作，可以使用此操作。例如，如要了解所创建的新邮件过滤器的行为，您可以使用无操作操作。在邮件过滤器可用后，可以使用“邮件过滤器报告”(Message Filters report) 页面监控新邮件过滤器的行为，并根据需要优化过滤器。

以下示例展示如何使用邮件过滤器中的无操作操作。

new_filter_test: if header-repeats ('subject', X, 'incoming') {no-op();}

系统会从伪造邮件中去掉“发件人：”信头，并将其替换为“信封发件人”。

以下邮件过滤器会将邮件中的“发件人：”信头与词典中的术语进行比较，如果内容词典中的某术语的匹配分数大于或等于 70，则邮件过滤器会删除“发件人：”信头并将其替换为信封发件人。

FED_CF: if (forged-email-detection("Execs", 70)) { fed("from", ""); }

在这些示例中，AsyncOS 会在附件包含指定内容时插入信头。

在以下示例中，系统对邮件中的所有附件进行关键字扫描。如果所有附件都包含关键字，插入自定义 X-Header：

attach_disclaim:

if (every-attachment-contains('[dD]isclaimer') ) {

insert-header("X-Example-Approval", "AttachOK");

}

在下面的示例中，系统对附件进行二进制数据模式扫描。过滤器使用 attachment-binary-contains 过滤器规则搜索表示 PDF 文档已加密的模式。如果二进制数据中 存在模式，则插入自定义信头：

match_PDF_Encrypt:

if (attachment-filetype == 'pdf' AND

attachment-binary-contains('/Encrypt')){

strip-header (‘Subject’);

insert-header (‘Subject’, ‘[Encrypted] $Subject’);

}

在以下示例中，系统从邮件中删除“可执行程序”组附件（.exe、.dll 和 .scr）、在邮件中添加文本，同时列出被删除文件的文件名（使用 $dropped_filename 操作变量）。注意，drop-attachments-by-filetype 操作将检查附件，并根据文件的指纹删除附件，而不是只根据三个字母的文件扩展名。另外，可以指定单个文件类型（“mpeg”），也可以引用所有文件类型对象（“Media”）：

strip_all_exes: if (true) {

drop-attachments-by-filetype ('Executable', “Removed attachment:

$dropped_filename”);

}

在下面的示例中，系统从信封发件人不属于域 example.com 的邮件中删除同一“可执行程序”组附件（.exe、.dll 以及 .scr）。

strip_inbound_exes: if (mail-from != "@example\\.com$") {

drop-attachments-by-filetype ('Executable');

}

在以下示例中，将从其信封发件人不在域 example.com 内的邮件中删除文件类型的特定成员（“wmf”）以及附件的同一“可执行文件”组（.exe、.dll 和 .scr）。

strip_inbound_exes_and_wmf: if (mail-from != "@example\\.com$") {

drop-attachments-by-filetype ('Executable');

drop-attachments-by-filetype ('x-wmf');

}

在以下示例中，系统添加了更多附件名称，对“可执行程序”预定义附件组进行了扩展。（注意，此操作不检查附件的文件类型。）

strip_all_dangerous: if (true) {

drop-attachments-by-filetype ('Executable');

drop-attachments-by-name('(?i)\\.(cmd|pif|bat)$');

}

drop-attachments-by-name 操作支持非 ASCII 字符。

Note	drop-attachments-by-name 操作将根据从 MIME 信头捕获的文件名匹配正则表达式。从 MIME 信头中捕获的文件名可能包含行尾空格。

在下面的示例中，如果附件不是 .exe 可执行程序类型，邮件将被丢弃。但是，如果至少有一个文件类型属于过滤类型的附件，过滤器便会对邮件执行操作。例如，下列过滤器会删除附件类型不是 .exe 文件类型的所有邮件：

exe_check: if (attachment-filetype != "exe") {

drop();

}

如果一封邮件包含多个附件，那么如果至少一个附件为 .exe 文件，邮件网关便会删除该邮件，即使其他附件不是 .exe 文件。

drop-attachments-where-dictionary-match 操作将根据词典术语匹配删除附件。如果 MIME 部分中的术语被视为词典术语的附件匹配（且达到用户定义的阈值），则从邮件中删除附件。以下示例展示如果在附件中检测到“secret_words”词典中的词语将丢弃附件。注意，匹配的阈值设为一：

Data_Loss_Prevention: if (true) {

drop-attachments-where-dictionary-match("secret_words", 1);

}

attachment-protected 过滤器测试邮件中的任何附件是否受密码保护。您可以在传入邮件上使用此过滤器，确保附件可以扫描。根据定义，包含一个加密对象和未加密对象的压缩文件将被视为受保护。同样，未设打开密码的 PDF 文件不被视为受保护，即使使用密码限制复制或打印。以下示例展示受保护附件被发送到“策略”(Policy) 隔离区：

quarantine_protected:

if attachment-protected

{

quarantine("Policy");

}

attachment-unprotected 过滤器测试邮件中的任何附件是否不受密码保护。此邮件过滤器是对 attachment‑protected 过滤器的补充。您可以在外发邮件上使用此过滤器，检测未受保护的外发邮件。以下示例展示 AsyncOS 在外发侦听程序上检测未受保护的附件，并隔离邮件：

quarantine_unprotected:

if attachment-unprotected

{

quarantine("Policy");

}

set [seqnum|filtname|range] active|inactive

将标识的过滤器设为给定状态。有效的状态包括：

• 活动：将选定过滤器的状态设为活动。
• 非活动：将选定过滤器的状态设为非活动。

以下条件可能会导致错误：

• 不存在使用指定 filtname 的过滤器。
• 不存在使用指定序列号的过滤器。

Note	您可以根据语法判断过滤器是否处于非活动状态；标签（过滤器的名称）后面的冒号改为感叹号 (! )。从 CLI 手动输入或导入的包含此语法的过滤器将自动被标记为非活动。例如，系统将显示 mailfrompm!，不显示 mailfrompm:。

此过滤器基于主题中是否包含指定词语决定是否发送通知：

search_for_sensitive_content:


if (Subject == "(?i)plaintiff|lawsuit|judge" ) {


notify ("admin@company.com");


}

此过滤器会对发送给竞争对手的邮件进行扫描和密件抄送。注意，您可以使用词典和 header-dictionary-match() 规则指定更灵活的竞争对手列表（请参阅词典规则）：

competitorFilter:

if (rcpt-to == '@competitor1.com|@competitor2.com') {

bcc-scan('legal@example.com');

}

使用此过滤器可以阻止来自特定地址的邮件：

block_harrasing_user:

if (mail-from == "ex-employee@hotmail\\.com") {

notify ("admin@company.com");

drop ();

}

仅记录和删除包含匹配文件类型的邮件：

drop_attachments:

if (mail-from != "user@example.com") AND (attachment-filename ==

'(?i)\\.(asp|bas|bat|cmd|cpl|exe|hta|ins|isp|js)$')

{

archive("Drop_Attachments");

insert-header("X-Filter", "Dropped by: $FilterName MID: $MID");

drop-attachments-by-name("\\.(asp|bas|bat|cmd|cpl|exe|hta|ins|isp|js)$");

}

查找“To”信头超大的邮件。

使用 archive() 行验证操作是否恰当，同时启用或禁用 drop() 增强安全：

toTooBig:

if(header('To') == "^.{500,}") {

archive('tooTooBigdropped');

drop();

}

识别空白“From:”信头

此过滤器可以减少各种形式的“from”地址空白的邮件：

blank_mail_from_stop:

if (recv-listener == "InboundMail" AND header("From") == "^$|<\\s*>") {

drop ();

}

如果您还希望删除空白信封发件人的邮件，请使用以下过滤器：

blank_mail_from_stop:

if (recv-listener == "InboundMail" AND (mail-from == "^$|<\\s*>" OR header ("From") ==
"^$|<\\s*>"))

{

drop ();
}

IP 信誉过滤器：

note_bad_reps:
if (reputation < -2) {
strip-header ('Subject');

insert-header ('Subject', '***BadRep $Reputation *** $Subject');
}

更改某些域的IP 信誉得分阈值：

mod_ipr:
if ( (rcpt-count == 1) AND (rcpt-to == "@domain\\.com$") AND (reputation < -2) ) {
drop ();
}

此过滤器指定邮件正文的大小范围，并查找匹配正则表达式的附件（与“eadme.zip”、“readme.exe”、“attach.exe”等文件匹配）：

filename_filter:
if ((body-size >= 9k) AND (body-size <= 20k)) {
if (body-contains ("(?i)(readme|attach|information)\\.(zip|exe)$")) {
drop ();

}

}

务必记录信头（请参阅“日志记录”一章），以便在邮件日志中显示信头：

Check_ipr:

if (true) {

insert-header('X-ipr', '$Reputation');

}

显示接受连接的邮件流策略：

Policy_Tracker:

if (true) {

insert-header ('X-HAT', 'Sender Group $Group, Policy $Policy applied.');

}

退回所有来自 2 个以上唯一域、收件人超过 50 个的出站邮件：

bounce_high_rcpt_count:

if ( (rcpt-count > 49) AND (rcpt-to != "@example\\.com$") ) {

bounce-profile ("too_many_rcpt_bounce"); bounce ();

}

使用虚拟网关对流量分段。假定系统上有两个接口，分别是“public1”和“public2”，默认传送接口为“public1”。这会迫使所有出站流量通过第二个接口；因为退回和其他类似邮件不通过过滤器，而是通过 public1 传送：

virtual_gateways:

if (recv-listener == "OutboundMail") {

alt-src-host ("public2");

}

使用同一侦听程序发送和接收邮件。此过滤器可将公共侦听程序“listener1”上收到的所有邮件发送到接口“listener1”（需要为配置的每个公共侦听程序设置唯一过滤器）：

same_listener:

if (recv-inj == 'listener1') {

alt-src-host('listener1');

}

将过滤器设置为应用到单个侦听程序。例如，指定执行邮件过滤处理的特定侦听程序，而不在系统范围内执行处理。

textfilter-new:

if (recv-inj == 'inbound' and body-contains("some spammy message")) {

alt-rcpt-to ("spam.quarantine@spam.example.com");

}

删除带有欺骗域的邮件（假装来自内部地址；与单个侦听程序结合使用）。下面的 IP 地址表示 mycompany.com 的虚构域：

DomainSpoofed:

if (mail-from == "mycompany\\.com$") {

if ((remote-ip != "1.2.") AND (remote-ip != "3.4.")) {

drop();

}

}

和上文相似，但与多个侦听程序结合使用：

domain_spoof:

if ((recv-listener == "Inbound") and (mail-from == "@mycompany\\.com")) {

archive('domain_spoof');

drop ();

}

摘要: 反域伪装过滤器：

reject_domain_spoof:

if (recv-listener == "MailListener") {

insert-header("X-Group", "$Group");

if ((mail-from == "@test\\.mycompany\\.com") AND (header("X-Group") != "RELAYLIST")) {

notify("me@here.com");

drop();

strip-header("X-Group");

}

此过滤器用于检测、终止和确定导致邮件循环的因素。此过滤器可以帮助确定 Exchange 服务器或其他位置的配置问题。

External_Loop_Count:

if (header("X-ExtLoop1")) {


if (header("X-ExtLoopCount2")) {

if (header("X-ExtLoopCount3")) {

if (header("X-ExtLoopCount4")) {

if (header("X-ExtLoopCount5")) {

if (header("X-ExtLoopCount6")) {

if (header("X-ExtLoopCount7")) {

if (header("X-ExtLoopCount8")) {

if (header("X-ExtLoopCount9")) {

notify ('joe@example.com');

drop();

}

else {insert-header("X-ExtLoopCount9", "from
$RemoteIP");}}

else {insert-header("X-ExtLoopCount8", "from $RemoteIP");}}

else {insert-header("X-ExtLoopCount7", "from $RemoteIP");}}

else {insert-header("X-ExtLoopCount6", "from $RemoteIP");}}

else {insert-header("X-ExtLoopCount5", "from $RemoteIP");}}

else {insert-header("X-ExtLoopCount4", "from $RemoteIP");}}

else {insert-header("X-ExtLoopCount3", "from $RemoteIP");}}

else {insert-header("X-ExtLoopCount2", "from $RemoteIP");}}

else {insert-header("X-ExtLoop1", "1"); 

}

Note	默认情况下，AsyncOS 会自动检测邮件循环并在经过 100 次循环后删除邮件。