Filtern nach Schlüsselwörtern

 

Gilt für: Forefront Security for Exchange Server

Letzte Änderung des Themas: 2009-07-22

Beim Filtern nach Schlüsselwörtern können Nachrichten mit einer Reihe von Filtertools überprüft werden. Dazu gehören:

  • Filtern nach Schlüsselwörtern (nur Transportscanauftrag)

  • Listen zulässiger Absender

  • Andere Filterlisten (zum Organisieren der Filter)

Filtern nach Schlüsselwörtern ist dazu gedacht, ungewünschte E-Mail-Nachrichten durch Analyse des Inhalts des Nachrichtentexts zu identifizieren, während die Nachrichten vom Transportscanauftrag transportiert werden. Durch Erstellen von Schlüsselwortlisten können Sie Nachrichten anhand einer Vielzahl von Wörtern, Ausdrücken und Sätzen filtern.

Für eine maximale Flexibilität können Sie Ihre eigenen Listen mit zu scannenden Schlüsselwörtern erstellen. So können Sie individuelle Filterlisten für die Verwendung durch unterschiedliche Scanaufträge verwalten.

So erstellen Sie eine neue Schlüsselwortliste
  1. Klicken Sie im Navigationsbereich auf Filtern.

  2. Klicken Sie auf das Symbol Filterlisten.

  3. Wählen Sie im Bereich Listentypen die Option Schlüsselwörter aus.

  4. Klicken Sie im Bereich Listennamen auf die Schaltfläche Hinzufügen.

  5. Geben Sie einen Namen für die neue Liste ein, und drücken Sie dann die EINGABETASTE. Die leere Liste wird im Bereich Listennamen angezeigt.

  6. Klicken Sie auf die Schaltfläche Bearbeiten. Das Dialogfeld Filterliste bearbeiten wird angezeigt. Fügen Sie der Filterliste Inhalt hinzu.

  7. Klicken Sie im Bereich In Filter einschließen auf die Schaltfläche Hinzufügen.

  8. Geben Sie ein Wort oder einen Ausdruck ein, das bzw. der in die Filterliste eingeschlossen werden soll. Drücken Sie anschließend die EINGABETASTE. Es können beliebig viele Wörter oder Ausdrücke verwendet werden, Sie müssen sie jedoch jeweils separat eingeben.

    Der Bereich Aus Filter ausschließen wird für die Eingabe von Schlüsselwörtern oder Ausdrücken verwendet, die niemals in der Schlüsselwortliste enthalten sein sollen. Dies verhindert, dass diese Wörter oder Sätze aus Versehen beim Importieren einer Liste aus einer Textdatei hinzugefügt werden. Weitere Informationen zum Importieren von Dateien finden Sie unter "Importieren von Elementen in eine Filterliste".

  9. Klicken Sie auf OK, wenn Sie alle gewünschten Elemente hinzugefügt haben.

  10. Klicken Sie auf Speichern.

Nachdem Sie eine Schlüsselwortliste erstellt haben, müssen Sie sie konfigurieren.

So aktivieren Sie eine Schlüsselwortliste
  1. Klicken Sie im Navigationsbereich auf Filtern.

  2. Klicken Sie auf das Symbol Schlüsselwort. Der Arbeitsbereich Filtern nach Schlüsselwörtern wird angezeigt.

  3. Wählen Sie den Transportscanauftrag aus. (Filtern nach Schlüsselwörtern ist nur mit dem Transportscanauftrag möglich.)

  4. Wählen Sie im Bereich Schlüsselwortfelder die Option Nachrichtentext aus.

  5. Wählen Sie eine der von Ihnen erstellten Filterlisten aus.

  6. Legen Sie den Filter mithilfe des Felds Filter auf Aktiviert fest.

  7. Legen Sie die gewünschte Aktion fest. Weitere Informationen finden Sie unter Aktionen für das Filtern nach Schlüsselwörtern.

  8. Geben Sie an, ob Sie Benachrichtigungen senden möchten.

  9. Geben Sie an, ob Sie identifizierte Dateien unter Quarantäne stellen möchten. Bei aktivierter Quarantäne werden gelöschte Anlagen und entfernte Nachrichten gespeichert, sodass sie wiederhergestellt werden können. Entfernte wurminfizierte Nachrichten können jedoch nicht wiederhergestellt werden.

  10. Geben Sie an, welche Kombination der E-Mail-Typen Eingehend, Ausgehend und Intern gescannt werden soll.

  11. Speichern Sie Ihre Änderungen.

Filter für Rassen- oder sexuelle Diskriminierung, Spam und andere benutzerdefinierte Listen müssen individuell erstellt werden. Informationen zu Filtern für Obszönitäten finden Sie unter Beispiellisten.

Sie müssen die Aktion auswählen, die Forefront Security für Exchange Server bei Erkennen einer Übereinstimmung mit Ihren Filterkriterien ausführen soll.

HinweisHinweis:
Sie müssen die Aktion für jeden von Ihnen konfigurierten Inhaltsfilter festlegen. Die Aktionseinstellung ist nicht global.

Zur Aktionsauswahl gehören:

 

Überspringen: nur erkennen

Zeichnet die Anzahl der Nachrichten auf, die den Filterkriterien entsprechen, ermöglicht Nachrichten jedoch eine normale Weiterleitung. Wurde jedoch Beschädigte komprimierte Dateien löschen, Beschädigte Uuencode-Dateien löschen oder Verschlüsselte komprimierte Dateien löschen unter Allgemeine Optionen ausgewählt, wird das Element bei Übereinstimmung mit einer dieser Bedingungen gelöscht.

Entfernen: Nachricht eliminieren

Löscht die Nachricht aus dem E-Mail-System. Wenn Sie diese Option auswählen, wird eine Warnung angezeigt, die Ihnen mitteilt, dass es eine Filterentsprechung gibt. Die Nachricht wird entfernt und kann nicht wiederhergestellt werden. Klicken Sie auf Ja, um den Vorgang fortzusetzen.

Identifizieren: Nachricht kennzeichnen

Die Betreffzeile oder der Nachrichtenheader der erkannten Nachrichten kann mit einem benutzerdefinierbaren Wort oder Ausdruck gekennzeichnet werden, sodass diese später für die Verteilung in Ordner durch den Benutzerposteingang oder für andere Zwecke von Forefront Server Security Administrator identifiziert werden können. Diese Kennzeichnung kann für jeden Scanauftrag angepasst werden, indem Sie im Arbeitsbereich Einstellungen für Scan-Auftrag auf die Schaltfläche Kennzeichnungstext klicken und den Text ändern. Dieselbe Kennzeichnung wird jedoch für alle Filter verwendet, die diesem bestimmten Scanauftrag zugeordnet sind.

HinweisHinweis:
Filtern nach Schlüsselwörtern in Forefront Security für Exchange Server scannt sowohl reinen Text als auch den Textinhalt von HTML-Nachrichten. Wenn mit Forefront Security für Exchange Server eine Übereinstimmung sowohl im HTML- als auch im reinen Text gefunden wird, wird über zwei Erkennungen im Virusvorkommenprotokoll und der Quarantänedatenbank berichtet.

Im Folgenden sind die Syntaxregeln für eine Schlüsselwortliste aufgelistet:

  1. Jedes Element (Textzeile) wird als Suchanfrage angesehen.

  2. Anfragen verwenden den OR-Operator. Es wird als positive Erkennung angesehen, wenn es sich bei einem Eintrag um eine Entsprechung handelt.

  3. Abfragen können Operatoren enthalten, die Texttoken trennen. Solche Abfragen werden als Ausdrücke bezeichnet. Die folgenden logischen Operatoren werden unterstützt. Zwischen einem Operator und einem Schlüsselwort muss ein Leerzeichen vorhanden sein. In den Beispielen ist dieses durch das Zeichen • dargestellt:

    • _AND_ (Logical AND). Beispiel: Äpfel•_AND_•Birnen.

    • _NOT_ (Negation). Beispiel: Äpfel•_AND__NOT_•Birnen.

    • _ANDNOT_ (Wie _AND__NOT_). Beispiel: Äpfel•_ANDNOT_•Birnen.

    • _WITHIN[#]OF_ (Nähe). Wenn sich die zwei Begriffe innerhalb einer angegebenen Anzahl an Wörtern zueinander befinden, besteht eine Übereinstimmung. Beispiel: kostenloses•_WITHIN[10]OF_•Angebot. (Wenn sich "kostenloses" maximal 10 Wörter von "Angebot" entfernt befindet, wird diese Abfrage als wahr angesehen.)

    • _HAS[#]OF_ (Häufigkeit). Gibt die Mindesthäufigkeit an, die ein Text angezeigt werden muss, damit die Abfrage als wahr angesehen wird. Beispiel: _HAS[4]OF_•schnell reich werden. Wenn der Satz "schnell reich werden" mehr als vier Mal im Text gefunden wird, ist diese Abfrage wahr. Dieser Operator wird bedingungslos angenommen und hat einen Standardwert von 1, wenn nichts anderes angegeben ist.

    • Mehrere Operatoren _AND_, _NOT_, _HAS[#]OF_ und _WITHIN[#]OF_ sind in einer einzelnen Abfrage zulässig. Die Priorität der Operatoren ist (von höchster zu niedrigster):

      1) _WITHIN[#]OF_

      2) _HAS[#]OF_

      3) _NOT_

      4) _AND_

    Die Priorität kann nicht mit Klammern überschrieben werden.

  4. Die logischen Operatoren müssen in Großbuchstaben eingegeben werden.

  5. Teilsätze können als Schlüsselwörter verwendet werden. Beispielsweise "Apfelsaft" oder "schnell reich werden".

  6. Mehrere Leerzeichen (leere Zeichen, Zeilenvorschubzeichen, Wagenrücklaufzeichen, horizontale und vertikale Tabulatoren) werden als ein Leerzeichen zu Zwecken der Übereinstimmung behandelt. "A••••B" wird beispielsweise als "A•B" angesehen und stimmt mit dem Ausdruck "A•B" überein.

  7. In HTML-codierten Nachrichtentexten wird die Zeichensetzung (alle nicht alphanumerischen Zeichen) als Worttrennzeichen ähnlich wie Leerzeichen behandelt. Daher können Wörter, die von HTML-Tags umgeben sind, vom Filter richtig erkannt werden. Beachten Sie jedoch, dass der Filter <html> eine Übereinstimmung mit <html>, jedoch nicht mit html findet.

Beispiele (das Zeichen • stellt ein Leerzeichen dar):

  • Äpfel•_AND_•Orangen•_AND_•Zitronen•_WITHIN[50]OF_•preiswert

  • vertrauliches•_WITHIN[10]OF_•Projekt•_AND_•reife•_WITHIN[25]OF_•Bananen

  • _HAS[2]OF_•schnell•_WITHIN[20]OF_•reich werden

Mit dieser Einstellung können Sie angeben, wie viele Übereinstimmungen für eindeutige Schlüsselwörter gefunden werden müssen, damit die Aktion durchgeführt wird. Der Standardwert ist 1.

Beispiel: Sie haben die Mindestanzahl eindeutiger Schlüsselwortübereinstimmungen auf 3 festgelegt. Das Wort "wunderbar", das in der Liste enthalten ist, kommt 3 Mal vor. Allerdings wird kein weiteres Wort aus der Liste angezeigt. Es liegt keine Übereinstimmung mit dem Schlüsselwortfilter vor, da nur für ein Wort aus der Liste eine Übereinstimmung gefunden wurde.

Die Einstellung Beim Filtern nach Schlüsselworten Groß- und Kleinschreibung beachten unter Allgemeine Optionen veranlasst Forefront Security für Exchange Server, Vergleiche unter Beachtung der Groß- und Kleinschreibung für alle Schlüsselwortfilter zu verwenden. Standardmäßig beachten alle Vergleiche die Groß- und Kleinschreibung nicht. Weitere Informationen finden Sie unter "Allgemeine Optionen" in Forefront Server Security Administrator (FSSAClient).

Als Hilfe für das Filtern nach Obszönitäten wurden Beispiellisten in verschiedenen Sprachen bereitgestellt. Diese stellen eine optionale Komponente von FSE dar und müssen getrennt installiert werden.

Wenn Sie eine oder mehrere dieser Listen installieren möchten, gehen Sie wie folgt vor:

So installieren Sie die Beispiellisten
  1. Suchen Sie im Installationsordner die Datei KeywordInstaller.msi, und doppelklicken Sie darauf.

    HinweisHinweis:
    Auf Computern mit einer Nur-Administrator-Installation bzw. ohne ein Forefront Security-Produkt ist die MSI-Datei nicht vorhanden.
  2. Sie müssen den Lizenzvertrag und die Verzichtserklärung lesen und Ihre Zustimmung erklären.

  3. Es wird eine Liste der verfügbaren Dateien angezeigt. Sie können beliebig viele Dateien in verschiedenen Sprachen auswählen. Die ausgewählten Dateien werden in einem Ordner namens Example Keywords im Datenbankverzeichnis abgelegt (standardmäßig C:\Programme(x86)\Microsoft Forefront Security\Exchange Server\Data).

  4. Nach der Extraktion der Dateien müssen Sie sie in die Filter importieren. Weitere Informationen zum Importieren von Dateien finden Sie unter Importieren von Elementen in eine Filterliste.

HinweisHinweis:
Sie sollten alle ausgewählten Dateien auf Wörter überprüfen, die in Ihrer Umgebung völlig harmlos sind. Dies gilt vor allem, wenn Sie Dateien für mehrere Sprachen verwenden. Überprüfen Sie die importierte Liste, und entscheiden Sie, ob Sie übereinstimmende Wörter entfernen möchten. Ist ein bestimmtes Wort in einer Sprache inakzeptabel, in einer anderen jedoch harmlos, müssen Sie sich entscheiden, was wichtiger ist: alles zu erfassen (Standard, wenn Sie alle Wörter in allen ausgewählten Listen übernehmen) und dabei falsche Treffer zu riskieren oder möglicherweise etwas nicht zu erkennen, indem Sie Wörter aus der Liste löschen (und so falsche Treffer vermeiden).

Forefront Security für Exchange Server ermöglicht es, Listen zulässiger Absender festzulegen, sodass Administratoren Listen sicherer E-Mail-Adressen oder -Domänen verwalten können, die keiner Filterung unterzogen werden. Die Absenderadresse oder Domäne wird mithilfe von Forefront Security für Exchange Server mit der Liste zulässiger Absender verglichen. Wenn die E-Mail-Adresse oder -Domäne in der Liste zulässiger Absender enthalten ist, werden alle für die Liste aktivierten Filtervorgänge umgangen.

So erstellen Sie eine Liste zulässiger Absender
  1. Klicken Sie im Bereich FILTERN des Navigationsbereichs auf Filterlisten.

  2. Wählen Sie im Bereich Listentypen die Option Zulässige Absender aus.

  3. Klicken Sie im Bereich Listennamen auf die Schaltfläche Hinzufügen, geben Sie einen Namen für die neue Liste im dafür vorgesehenen Textfeld ein, und drücken Sie dann die EINGABETASTE, um die Liste zu speichern.

  4. Wenn der neue Listenname ausgewählt ist, klicken Sie auf die Schaltfläche Bearbeiten. Das Dialogfeld Filterliste bearbeiten wird angezeigt. Geben Sie E-Mail-Adressen oder E-Mail-Domänen ein, die in die Liste der zulässigen Absender aufgenommen werden sollen.

  5. Klicken Sie unter dem Bereich In Filter einschließen auf die Schaltfläche Hinzufügen. Geben Sie die E-Mail-Adresse oder -Domäne in das Textfeld ein, und drücken Sie dann die EINGABETASTE. Benutzeradressen sollten im folgenden Format eingegeben werden: user@customer.com. E-Mail-Domänennamen sollten im folgenden Format eingegeben werden: *domain.

  6. Geben Sie jede Adresse oder Domäne einzeln ein.

  7. Wenn Sie den Vorgang abgeschlossen haben, schließen Sie das Dialogfeld durch Klicken auf die Schaltfläche OK.

  8. Klicken Sie auf Speichern.

  9. Klicken Sie zum Aktivieren der Liste im Bereich FILTERN des Navigationsbereichs auf Zulässige Absender, wählen Sie den Transportscanauftrag aus, wählen Sie im Arbeitsbereich Absenderlisten den Listennamen aus, und legen Sie Listenstatus auf Aktiviert fest.

  10. Klicken Sie auf Speichern.

Mit der Filterlistenfunktion in Forefront Security für Exchange Server können Sie außerdem Filterlisten für die Inhalts- und Dateifilterung erstellen. Mit Filterlisten können Sie individuelle Filterlisten für die Verwendung durch unterschiedliche Scanaufträge verwalten oder einfach Ihre Filter organisieren.

Beginnen Sie mit dem Erstellen einer neuen Filterliste für Dateifilter, Betreffzeilenfilter oder Absenderdomänenfilter.

So erstellen Sie eine Filterliste
  1. Klicken Sie im Bereich FILTERN des Navigationsbereichs auf Filterlisten.

  2. Wählen Sie im Bereich Listentypen einen Filterlistentyp aus, und klicken Sie dann auf die Schaltfläche Hinzufügen.

  3. Geben Sie einen Namen für die Filterliste ein, und drücken Sie dann die EINGABETASTE. Die neue Filterliste wird im Bereich Listennamen angezeigt.

  4. Wenn Sie die neue Liste erstellt haben, klicken Sie auf die Schaltfläche Bearbeiten. Das in Listen zulässiger Absender beschriebene Dialogfeld Filterliste bearbeiten wird angezeigt, mit dem Sie der Liste Elemente hinzufügen oder die Liste bearbeiten können. Der Typ der hinzugefügten Elemente hängt von der ausgewählten Filterliste ab. Beispiel: Dateien (Hinzufügen von Dateinamen), Betreffzeilen (Hinzufügen von Text für die Betreffzeile einer Nachricht) oder Absender-Domänen (Hinzufügen bestimmter Absender oder verallgemeinerter Domänen).

  5. Klicken Sie auf die Schaltfläche Hinzufügen, um die Daten der Liste hinzuzufügen. Das Feld Vom Import ausschließen wird für die Eingabe von Daten verwendet, die niemals in der entsprechenden Liste enthalten sein sollen. Dies verhindert, dass diese Einträge aus Versehen beim Importieren einer Liste aus einer Textdatei hinzugefügt werden. Weitere Informationen zum Importieren von Dateien finden Sie unter Importieren von Elementen in eine Filterliste.

Daten für Filterlisten können offline in Editor oder einem ähnlichen Text-Editor erstellt und dann mithilfe von Forefront Server Security Administrator in die entsprechende Filterliste importiert werden. Beachten Sie, dass mit Forefront Security für Exchange Server nur Listen importiert werden können, bei denen es sich um UTF-16- oder ANSI-Dateien handelt. Andere Unicode-Typen werden nicht ordnungsgemäß importiert.

So erstellen Sie Einträge und importieren sie in eine Filterliste
  1. Erstellen Sie eine Liste, und speichern Sie sie als Textdatei. Platzieren Sie jeden Filter in einer eigenen Zeile in der Datei.

  2. Öffnen Sie Forefront Server Security Administrator, und klicken Sie im Bereich FILTERN des Navigationsbereichs auf Filterlisten.

  3. Wählen Sie die Filterliste aus, in die Sie die Daten importieren möchten.

  4. Klicken Sie auf Bearbeiten. Das Dialogfeld Filterliste bearbeiten wird angezeigt.

  5. Klicken Sie auf die Schaltfläche Importieren. Ein Dateiexplorer-Fenster wird geöffnet, in dem Sie zur von Ihnen in Schritt 1 erstellten Textdatei navigieren können.

  6. Wählen Sie die gewünschte Datei aus, und klicken Sie auf Öffnen.

  7. Die Datei wird in den mittleren Bereich des Editors "Liste importieren" importiert, in dem Sie die Einträge auswählen können, die Sie in Ihre Filterliste einschließen möchten. Mit der Schaltfläche <=== können Sie alle Elemente in den Bereich In Filter einschließen verschieben, mit der Schaltfläche <--- verschieben Sie einzelne Elemente. Mit den Pfeilen nach rechts können Sie Elemente in den Bereich Vom Import ausschließen verschieben.

  8. Klicken Sie auf OK, wenn Sie alle gewünschten Elemente verschoben haben.

  9. Klicken Sie auf Speichern.

 
Anzeigen: