使用郵件過濾器

下載選項

  • PDF     (542.7 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (301.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (139.8 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2020 年 2 月 28 日
文件 ID:215301

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文介紹有關郵件安全裝置(ESA)上的郵件過濾器的最佳實踐和實施。報文過濾器允許建立特殊規則,描述如何處理在ESA接收和處理符合特定條件的報文。 

必要條件

  • 對ESA過濾器操作有基本的瞭解
  • 熟悉ESA上的命令列介面(CLI)

使用郵件過濾器的優點

與內容過濾器相比,使用郵件過濾器有兩個主要優勢:

  1. 它們會套用至接近工作隊列處理管線開頭的訊息。因此,我們有可能在使用任何主要掃描引擎(例如:反垃圾郵件、防病毒、AMP等)之前過濾郵件,從而節省大量資源。
  2. 它們將對傳入和傳出流量執行操作,而對於內容過濾器,您需要為傳入和傳出建立一個過濾器。 


此外,還有一些條件無法使用內容過濾器進行配置,而內容過濾器只能透過郵件過濾器完成。

示例:如果要求根據ESA的Sendergroup定義條件,則該選項僅在「消息過濾器」中可用。

注意:非最終郵件過濾器操作是累積性的。如果郵件與多個過濾器匹配,其中每個過濾器指定不同的操作,則所有操作都會累積並執行。但是,如果一條消息與指定相同操作的多個過濾器匹配,則會覆蓋先前的操作並強制執行最終的過濾器操作。

郵件過濾器的操作

當AsyncOS處理消息過濾器時,AsyncOS掃描的內容、處理順序和所採取的操作基於以下幾個因素:

  • 郵件過濾器按配置順序進行處理(從上到下,從第一個到最後一個)
  • 當郵件內容到達過濾器時,將對郵件內容處理郵件過濾器。
  • 當匹配正規表示式時,可以配置「分數」以計算在執行過濾器操作之前必須匹配的時間。這可以讓您對不同術語的響應「權衡」。
  • 郵件過濾器連結條件中的主要替代項為: (AND / OR / IF / ELSE)

建立郵件篩選

首先,我們從CLI發出filters命令以進入消息過濾器的配置模式。然後選項為:

  • 新建:此選項用於開始建立新過濾器。選取此選項後,會接著顯示「篩選名稱」,然後是語法。
  • DELETE:此選項可根據需要刪除現有篩選器。發出此命令後,您可以輸入要刪除的序列號過濾器名稱
  • IMPORT:您可以導入儲存在裝置目錄中的過濾器相關檔案。
  • EXPORT:此選項允許導出過濾器的相關檔案,以便導入到其他目標
  • MOVE:此選項可讓您根據偏好設定修改篩選器的順序
  • SET:此選項允許我們將過濾器的狀態從「活動」更改為「非活動」,反之亦然
  • LIST:此選項將顯示ESA中存在的所有已建立的過濾器
  • DETAIL:此選項可讓我們檢視所建立的過濾器的元件,例如條件和定義的操作。
  • LOGCONFIG:此選項顯示為郵件過濾器建立的日誌檔名稱,這些郵件過濾器的操作被定義為存檔(「資料夾名稱」)
  • ROLLOVERNOW:此選項可覆蓋資料夾中所有由於郵件過濾器中定義的存檔操作而建立的日誌

過濾器可以在ESA的所有模式(如集群電腦)下建立。

ESA對電子郵件應用過濾器的配置首選項標準如下所示:

第1首選項:電腦模式

第2偏好設定:群組模式

第三案偏好設定:叢集模式

要建立郵件過濾器,我們需要組合使用多種語法來定義條件和操作(例如,IPsec和IPsec):

範例:

if (recv-listener == 'InboundMail' or recv-int == 'notmain')

{

skip-filters();

}

else

{

quarantine(“Policy”);

}

.

上面的過濾器說明,如果接收偵聽程式為「InboundMail」或接收介面為「notmain」,則操作是跳過任何剩餘郵件過濾器。

如果條件不匹配,則隔離至策略。此值定義在其他值之後。 

實用提示

有時,在郵件過濾器中使用的語法可能會令人困惑,但內容過濾器可能是同樣的簡單參考點。

我們可以使用在「郵件過濾器」中所需的條件和操作建立內容過濾器。提交篩選後,在下一頁中,我們會在篩選區段頂端看到3個標籤,即:

  • 說明
  • 規則
  • 政策

當我們按一下Rules頁籤時,該頁籤將顯示過濾器使用的語法,並且可以使用相同內容建立郵件過濾器。這是根據我們的要求縮小篩選條件語法範圍的最簡單方法。

在郵件過濾器中使用的正規表示式

  • Carat (^):包含脫字元符號(^)的規則只與字串的開頭匹配。

範例^和我是工程師一樣

  • 貨幣符號($):包含貨幣符號字元($)的規則僅與字串的結尾相符

示例.com$將匹配google.com和yahoo.com

  • 句點字元(.):包含句點字元(.)的規則會比對任何字元(新行除外)。

示例:正規表示式^...admin$與字串macadmin以及字串sunadmin匹配,但不與win32admin匹配。

  • 星號(*)指令:包含星號(*)的規則與「零個或多個先前指令的符合項」相符。 特別是,句號與星號(.*)的序列會比對任何字元序列(不包含新行)。

示例:正規表示式^P.*Piper$匹配以下所有字串:Piper、Peter Piper、P.Piper

  • 反斜線特殊字元(\):反斜線字元會轉義特殊字元。因此,序列\.只匹配文本句點,序列\$只匹配文本貨幣符號,序列\^只匹配文本脫字元號。

示例:正規表示式^ik\\.ac\\.uk$只與字串ik.ac.uk匹配

  • 不區分大小寫((?i)):表示規則運算式其餘部分的語彙基元(?i)應視為不區分大小寫模式。

示例:正規表示式(?i)cisco匹配Cisco、CISCO以及cisco

  • 或(|):「或」運算子。如果A和B是規則運算式,運算式「A|B」將會比對任何符合「A」或「B」的字串。

範例:運算式「foo|bar」將符合foo或bar,但不符合foobar。

相關資訊

Cisco郵件安全裝置-最終使用手冊

修訂記錄

修訂 發佈日期 意見
1.0
28-Feb-2020
初始版本
TAC Authored

由思科工程師貢獻

  • Partha Chakraborty
    Cisco CX Engineer
  • Dennis McCabe Jr
    Cisco CX Engineer

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品