FSOCS 關鍵字篩選

 

適用於: Forefront Security for Office Communications Server

主題上次修改日期: 2009-03-31

Microsoft Forefront Security for Office Communications Server (FSOCS) 中的關鍵字篩選,會藉由分析郵件本文或文字檔附件的內容,來識別出不想要的 IM 訊息。您可以透過建立關鍵字清單,根據各種文字、片語及句子來篩選郵件和文字附件。

您可以建立自己的關鍵字清單來執行掃描,以符合您的需求。您可藉此維護個別的篩選清單,以便用於不同的掃描工作。

建立新的關鍵字清單
  1. 在快速導覽的 [篩選] 區段中,按一下 [篩選清單] 圖示。

  2. 在 [清單類型] 區段中,選取 [關鍵字]。

  3. 在 [清單名稱] 區段中,按一下 [新增] 按鈕。

  4. 在出現的方塊中,輸入新清單的名稱,然後按 ENTER。

  5. 在 [清單名稱] 區段中,選取新的清單,然後按一下 [編輯] 按鈕。

  6. 在 [編輯篩選清單] 對話方塊中,新增內容至篩選清單。

    1. 在 [包含在篩選] 區段中,按一下 [新增] 按鈕。

    2. 輸入要包含在篩選清單中的文字或片語。完成輸入後,按 ENTER。輸入的文字或片語數量不受限制,不過必須分開輸入。

    3. 在 [從篩選排除] 區段中,輸入關鍵字清單中永不包括的關鍵字或片語。如此可避免在從文字檔案中匯入清單時,意外新增這些文字及片語。如需匯入檔案的相關資訊,請參閱將項目匯入篩選清單

    4. 新增項目之後,按一下 [確定]。您剛輸入文字的清單會依照字母順序顯示在 [清單名稱] 旁邊的 [篩選清單] 窗格中。

  7. 按一下 [儲存]。

在您建立關鍵字清單之後,還必須加以設定。

設定關鍵字清單
  1. 在快速導覽中,按一下 [篩選]。

  2. 按一下 [關鍵字] 圖示。

  3. 在 [關鍵字篩選] 窗格中,選取 [IM 掃描工作]。

  4. 在 [關鍵字欄位] 區段中,按一下 [訊息或文字檔案]。

  5. 選取其中一個已建立的篩選清單,並在 [篩選] 下拉式清單中按一下 [啟用]。

  6. 在 [動作] 欄位中設定動作。如需相關資訊,請參閱關鍵字篩選動作

  7. 如果您想要啟用通知,請選取 [通知管理員/寄件者] 核取方塊。

  8. 如果您想要隔離符合關鍵字篩選的檔案,請選取 [隔離] 核取方塊。啟用隔離會儲存刪除的附件及清除的郵件,讓您能夠加以復原。不過,無法復原已清除蠕蟲的郵件。

  9. 選取和取消選取 [輸入]、[輸出] 及 [內部] 核取方塊,以指定哪些輸入、輸出及內部的郵件與檔案組合需要加以掃描。

  10. 在 [最小唯一關鍵字命中次數] 欄位中,指定必須符合多少個唯一關鍵字才會採取動作。預設值為 1。例如,將 [最小唯一關鍵字命中次數] 值設定為 3。清單的「wonderful」一字在郵件中出現了 3 次,但清單中的其他文字則未出現。關鍵字篩選並未相符,因為清單中只有一個詞彙相符。

  11. 按一下 [儲存]。

種族歧視、性別歧視、垃圾郵件及其他自訂清單的篩選必須個別建立。有關褻瀆字彙篩選,請參閱範例清單

您必須指定 FSOCS 一旦偵測到符合篩選條件的項目時所應採取的動作。

注意事項注意:
您必須為您所設定的每個關鍵字篩選設定動作。此動作設定不是通用的。

動作選項如下:

 

動作 描述

略過: 僅進行偵測

記錄符合篩選條件的郵件數目,但允許郵件正常傳送。不過,如果在 [一般選項] 選取 [刪除損毀的壓縮檔案]、[刪除損毀的 Uuencode 檔案] 或 [刪除加密的壓縮檔案] 核取方塊,則只要找到符合上述任一條件的項目,便會予以刪除。

封鎖:防止傳輸

不讓 IM 訊息或傳輸的檔案送達預定的收件者。

注意事項注意:
FSOCS 關鍵字篩選會掃描純文字及 Rich Text Format (RTF) 兩種郵件內容。如果 FSOCS 同時在 RTF 和純文字中找到符合項目,它會報告偵測到兩個項目:一個在事件記錄中,另一個則在隔離資料庫中。

以下是關鍵字清單的語法規則:

  • 每個項目 (文字行) 都視為搜尋查詢。

  • 查詢會使用 OR 運算子。若有任何項目相符,則將其視為有效的偵測。

  • 查詢可能會包含分隔 Text Token 的運算子。這些查詢稱為運算式。支援的邏輯運算子如下:運算子與關鍵字之間需要空格,如下列範例中的 • 字元所示:

    • _AND_ (邏輯值 AND)。例如,apple•_AND_•orange juice。

    • _NOT_ (否定)。例如,apple•_AND__NOT_•juice。

    • _ANDNOT_ (與 _AND__NOT_ 相同)。例如,apple•_ANDNOT_•juice

    • _WITHIN[#]OF_ (鄰近)。若這兩個詞彙落在彼此的特定字元數目之間,即為相符。例如,free•_WITHIN[10]OF_•offer (如果「free」在「offer」附近 10 個字元範圍內,則此查詢為真)。

    • _HAS[#]OF_ (頻率)。指定文字必須顯示最少幾次,查詢才為真。例如,_HAS[4]OF_•get rich quick。如果片語「get rich quick」在文字中出現 4 次以上,則此查詢為真。此運算子為隱含式的假設,若沒有指定,則預設值為 1。

    • 單一查詢中允許多個 _AND_、_NOT_、_HAS[#]OF_ 與 _WITHIN[#]OF_ 運算子。運算子的優先順序如下 (最高到最低):

      1) _WITHIN[#]OF_

      2) _HAS[#]OF_

      3) _NOT_

      4) _AND_

    使用括弧並無法覆寫此優先順序。

  • 邏輯運算子必須以大寫字母輸入。

  • 片語可以當成關鍵字使用。例如,apple juice 或 get rich quick。

  • 多個空格 (空白字元、換行字元、歸位字元、水平定位點及垂直定位點) 都將視為一個空格,以便進行比對。例如,A••••B 會視為 A•B,並與片語 A•B 相符。

  • 在 HTML 編碼郵件文字中,標點符號 (任何非英數字元) 視為類似空格的文字分隔字元。因此,透過篩選可正確識別由 HTML 標記包圍的文字。不過,請注意「<html>」篩選會比對「<html>」,而不是「html」。

範例 (•字元代表一個空格):

  • apple•_AND_•orange•_AND_•lemon•_WITHIN[50]OF_•juice

  • confidential•_WITHIN[10]OF_•project•_AND_•banana•_WITHIN[25]OF_•shake

  • _HAS[2]OF_•get rich•_WITHIN[20]OF_•quick

[一般選項] 的 [區分大小寫的關鍵字篩選] 設定會讓 FSOCS 針對所有的關鍵字篩選,使用區分大小寫的比對。根據預設,比對並不區分大小寫。如需相關資訊,請參閱 FSOCS Forefront Server Security 管理員中的<一般選項>。

為協助您篩選褻瀆字彙,本產品已隨附多種語言的範例清單。這是 FSOCS 的選用元件,必須另外安裝。

如果您想安裝一或多個上述清單,請依照下列步驟執行。

安裝範例清單
  1. 在安裝資料夾中,按兩下名為 KeywordInstaller.msi 的檔案。

    注意事項注意:
    如果電腦上已有「只限系統管理員安裝」,或是電腦未安裝任何 Forefront 產品,將不會顯示此 .msi 檔案。
  2. 您必須閱讀並同意授權合約和免責聲明。

  3. 在可用檔案的清單中,選取任意數目的語言檔案。您所選取的檔案會放到資料庫目錄中名為「範例關鍵字」(Example Keywords) 的資料夾,其預設位置為:C:\Program Files (x86)\Microsoft Forefront Security\Office Communications Server\Data

  4. 檔案解壓縮之後,必須將它們匯入您的篩選中。如需匯入檔案的相關資訊,請參閱將項目匯入篩選清單

注意事項注意:
您應以目測方式檢查所有選取的檔案,判斷目前是否有任何文字在您的環境中具有負面意思,尤其是使用多個語言檔案時。您必須檢查匯入的清單,確定是否需排除任何的文字衝突。如果某文字在某種語言中是不被接受的,但在另一種語言中卻無負面意思,您就必須判斷下面兩種做法的風險對您而言孰重孰輕:擷取所有項目 (此為預設值,如果您接受所有選取之清單中的所有文字),不顧慮誤判的風險;或冒著偵測不到某些項目的風險,從清單中刪除文字 (這可避開誤判情況)。

FSOCS 提供允許的寄件者-收件者清單功能,讓系統管理員可以維護不需要經過 IM 掃描工作篩選的安全電子郵件地址或網域清單 (允許的寄件者-收件者清單不影響對病毒的掃描)。FSOCS 會核對允許的寄件者-收件者清單來檢查寄件者-收件者地址或網域。如果地址或網域出現在允許的寄件者-收件者清單上,FSOCS 會略過針對該清單所啟用的所有篩選。

建立允許的寄件者-收件者清單
  1. 在快速導覽的 [篩選] 區段中,按一下 [篩選清單] 圖示。

  2. 在 [清單類型] 區段中,選取 [允許的使用者清單]。

  3. 在 [清單名稱] 區段中,按一下 [新增] 按鈕。

  4. 在出現的方塊中,輸入新清單的名稱,然後按 ENTER。空的清單會顯示在 [清單名稱] 區段中。

  5. 選取新的清單名稱,然後按一下 [編輯] 按鈕。

  6. 在 [編輯篩選清單] 對話方塊中,輸入要包含在允許的寄件者清單中的電子郵件地址或電子郵件網域。

    1. 在 [包含在篩選] 區段中,按一下 [新增] 按鈕。

    2. 在出現的方塊中,輸入要包含在篩選清單中的電子郵件地址或網域。完成輸入後,按 ENTER。使用者地址應該以下列格式輸入:someone@example.com。而電子郵件網域名稱則應以下列格式輸入:*example。輸入的允許寄件者數量不受限制,但是必須分開輸入地址或網域。

    3. 在 [從篩選排除] 區段中,輸入允許的寄件者清單中永不包括的地址或網域。如此可避免在從文字檔案中匯入清單時,意外新增這些地址和網域。如需匯入檔案的相關資訊,請參閱將項目匯入篩選清單

    4. 新增項目之後,按一下 [確定]。您剛輸入地址和網域的清單會依照字母順序顯示在 [清單名稱] 旁邊的窗格中。

  7. 按一下 [儲存]。

在您建立允許的寄件者-收件者清單之後,還必須加以啟用。

啟用允許的寄件者-收件者清單
  1. 在快速導覽的 [篩選] 區段中,按一下 [允許的使用者清單] 圖示。

  2. 在 [允許的寄件者/收件者清單] 窗格中,選取 [IM 掃描工作]。

  3. 在 [寄件者/收件者清單] 區段中,選取允許的寄件者-收件者清單名稱。

  4. 在 [清單狀態] 下拉式清單中,將狀態設定為 [啟用]。

  5. 在 [略過掃描] 區段中,選取或取消選取 [內容篩選]、[關鍵字篩選] 或 [檔案篩選] 核取方塊,以指定應套用至允許的寄件者-收件者清單的篩選類型。如果想要選取全部三個篩選類型,請選取 [所有類型] 核取方塊。如果未選取任何一個核取方塊,實際上就是停用篩選。

  6. 按一下 [儲存]。

您可以在記事本之類的文字編輯器中以離線方式建立篩選清單的資料,然後再使用 Forefront Server Security 管理員將資料匯入適當的篩選清單。請注意,FSOCS 只能匯入屬於 UTF-16 或 ANSI 檔案的清單,無法正確匯入其他 Unicode 類型的清單。

建立項目並將項目匯入篩選清單
  1. 建立清單時,要讓每個篩選在檔案中自成一行,然後再將清單儲存為文字檔。

  2. 在快速導覽的 [篩選] 區段中,按一下 [篩選清單] 圖示。

  3. 在 [篩選清單] 窗格的 [清單類型] 區段中,選取要匯入資料的篩選清單,然後按一下 [編輯]。

  4. 在 [編輯篩選清單] 對話方塊中,按一下 [匯入] 按鈕。[Windows 檔案總管] 視窗隨即開啟,請使用這個視窗瀏覽至您在步驟 1 建立的文字檔。

  5. 選取檔案,然後按一下 [開啟]。這個檔案會匯入至 [匯入清單] 編輯器的中間窗格。

  6. 如果想要將所有項目移至 [包含在篩選] 區段,請使用 [<===] 按鈕。如果想要將單一項目移至 [包含在篩選] 區段,則使用 [<---] 按鈕來移動單一項目。如果想要將項目移至 [從匯入排除] 區段,可以使用右向箭頭。

  7. 移動所有想要的項目之後,按一下 [確定]。

  8. 按一下 [儲存]。

關鍵字篩選可以用來封鎖 IM 訊息和附件中參照的惡意網站連結。若要封鎖連結,請建立關鍵字篩選清單,清單中包含要封鎖的特定連結位址,或包含封鎖所有具有連結之郵件和附件的通用 URL。例如:

  • 若要封鎖對郵件或附件中傳送的特定網站連結,請建立包含這些 URL 的關鍵字篩選清單。例如:

    http://www.contoso.com

  • 若要封鎖 IM 通訊中的所有網站連結,請建立包含下列兩個項目的關鍵字篩選清單:httpwww。FSOCS 會偵測任何含有以此任一字串開頭之 URL 的郵件或附件。

建立關鍵字篩選清單之後,請指定 [清除] 的動作。這樣就會在偵測到符合篩選項目時刪除郵件及其附件。

 
顯示: