設定內容篩選

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

本主題說明如何設定內容篩選。您可以建立內容篩選器,以搜尋電子郵件訊息內的特定字詞,以及特定名稱和類型的附件。內容篩選器的類型有兩種:

  • 檔案篩選器:識別電子郵件訊息中不想要的檔案附件。您可以根據檔案類型、檔案名稱及首碼篩選檔案附件。

  • 郵件本文篩選器:分析郵件本文的內容以識別不想要的電子郵件訊息。您可以透過建立關鍵字清單,根據各種文字、片語及句子來篩選郵件。

下列小節說明如何設定內容篩選:

在設定內容篩選器之前,請先確定已完成下列動作:

  • 在陣列中的每部 Forefront TMG 伺服器上安裝 Exchange Edge Transport 伺服器角色及 Forefront Protection 2010 for Exchange Server (FPES),如安裝電子郵件保護的必要條件中所述。

  • 使用 [電子郵件原則精靈] 建立初始 SMTP 路由,如設定 SMTP 路由中所述。

  • 啟用內容篩選,方法是使用 [電子郵件原則精靈] 或是從 [病毒和內容篩選] 索引標籤的 [工作] 窗格中,按一下 [啟用內容篩選]

您可以依據檔案類型、檔案名稱和副檔名設定檔案篩選器。

依檔案類型篩選

如果您要篩選特定檔案類型,可以建立篩選器,並將 [檔案類型] 選項設為要篩選的確切檔案類型。

例如,建立篩選器並將 [檔案類型] 設定為 MP3。如此可以確保系統會篩選所有 MP3 檔案,無論這些檔案的檔案名稱或副檔名為何。

依檔案名稱篩選

如果您要篩選具有特定名稱的所有檔案,可以將檔案名稱新增至 [檔案名稱] 索引標籤,以建立篩選器。篩選器在比對時不區分大小寫。

例如,如果有病毒使用名為 payload.doc 的附加檔案,您就可以建立篩選器 payload.doc。如此可以確保系統會篩選名為 payload.doc 的任何檔案,無論這些檔案的檔案類型為何。

如果有新的病毒肆虐,而在更新病毒掃描程式來加以偵測之前,您就知道病毒所在的檔案名稱,那麼依名稱來偵測檔案附件就會非常有用。

依副檔名篩選

如果您要篩選具有特定副檔名的任何檔案,可以將該副檔名新增至 [檔案名稱] 索引標籤,以建立該副檔名的篩選器。篩選器在比對時不區分大小寫。

例如,在 [檔案名稱] 索引標籤上將 *.exe* 新增為檔案名稱,來為具有 .exe 副檔名的任何執行檔建立篩選器。如此可以確保系統會篩選副檔名為 .exe 的所有檔案。

Important重要事項:
建立通用檔案篩選器來停止特定檔案類型 (例如 .exe 檔案) 的所有檔案時,建議您以這個格式來撰寫篩選器:*.exe*。第二個星號 (*) 可防止在副檔名之後有附加額外字元的檔案躲過篩選。

note附註:
建議您避免使用 [檔案類型] 設定為 [全選] 的通用篩選器 * (沒有為篩選定義任何條件)。這種篩選器設定可能會導致報告偵測到的項目時發生重複的情況。

建立和設定檔案篩選器

  1. 在 [Forefront TMG 管理] 主控台樹狀目錄中,按一下 [電子郵件原則] 節點。

  2. 在詳細資料窗格中,按一下 [病毒和內容篩選] 索引標籤,然後按一下 [檔案篩選]

  3. [檔案篩選] 內容的 [一般] 索引標籤上,確認 [狀態] 已設定為 [已啟用]

  4. [檔案篩選器] 索引標籤上,按一下 [新增]

  5. [檔案篩選器] 內容的 [一般] 索引標籤上,確認已選取 [啟用這個篩選器] 核取方塊。此選項預設為啟用。

  6. [篩選器名稱] 之下,輸入此篩選器的名稱。

  7. 選取如果篩選相符時,要採取的 [動作]

    • 略過:記錄符合篩選器條件的郵件數目,但允許郵件正常路由。

    • 識別:將偵測到的郵件其主旨列或郵件標頭以自訂的文字或片語標示,這樣之後使用者收件匣就可加以識別以歸類到資料夾。

    • 刪除:刪除檔案附件。偵測到的檔案附件會從郵件移除。

    • 清除:從您的郵件系統刪除郵件。

  8. 選取是否要將此篩選器套用到輸入郵件、輸出郵件或兩者。

  9. [檔案類型] 索引標籤上,按一下可以和所選取的檔案名稱產生關聯的檔案類型。您可以從清單選取一個或多個檔案類型。如果在清單中找不到要與所選取的檔案名稱產生關聯的檔案類型,則可以按一下 [全選]

  10. [檔案名稱] 索引標籤上,按一下 [新增],然後輸入要偵測的檔案名稱或副檔名。

使用以下程序建立郵件本文篩選器。

建立和設定郵件本文篩選器

  1. 在 [Forefront TMG 管理] 主控台樹狀目錄中,按一下 [電子郵件原則] 節點。

  2. 在詳細資料窗格中,按一下 [病毒和內容篩選] 索引標籤,然後按一下 [郵件本文篩選]

  3. [郵件本文篩選] 內容的 [一般] 索引標籤上,確認 [狀態] 已設定為 [已啟用]

  4. [郵件本文篩選器] 索引標籤上,按一下 [新增]

  5. [郵件本文篩選器] 內容的 [一般] 索引標籤上,確認已選取 [啟用這個篩選器] 核取方塊。此選項預設為啟用。

  6. [篩選器名稱] 之下,輸入此篩選器的名稱。

  7. 選取如果篩選相符時,要採取的 [動作]

    • 略過:記錄符合篩選器條件的郵件數目,但允許郵件正常路由。

    • 識別:將偵測到的郵件其主旨列或郵件標頭以自訂的文字或片語標示,這樣之後使用者收件匣就可加以識別以歸類到資料夾。

    • 刪除:刪除檔案附件。偵測到的檔案附件會從郵件移除。

    • 清除:從您的郵件系統刪除郵件。

  8. 選取是否要將此篩選器套用到輸入郵件、輸出郵件或兩者。

  9. [關鍵字] 索引標籤上,按一下 [新增],然後輸入要篩選的關鍵字。如需郵件本文篩選器可以使用的語法和運算式資訊,請參閱以下的關於關鍵字清單語法規則

關於關鍵字清單語法規則

以下是關鍵字清單的語法規則:

  • 每個項目 (文字行) 都視為搜尋查詢。

  • 查詢會使用 OR 運算子。若有任何項目相符,則會將其視為有效的偵測。

  • 查詢可能會包含分隔文字 Token 的運算子。這些查詢稱為運算式。支援的邏輯運算子如下。運算子與關鍵字之間需要一個空格,如下列範例中的 • 字元所示:

    • _AND_ (邏輯 AND)。例如:apple•_AND_•orange juice

    • _NOT_ (否定)。例如:apple•_AND__NOT_•juice

    • _ANDNOT_ (與 _AND__NOT_ 相同)。例如:apple•_ANDNOT_•juice

    • _WITHIN[#]OF_ (近似)。若兩個詞彙落在彼此的特定字元數目之間,即為相符。例如:free•_WITHIN[10]OF_•offer。(如果 free 在 offer 附近 10 個字元範圍內,則此查詢為真)。

    • _HAS[#]OF_ (頻率)。指定文字必須至少出現幾次,查詢才為真。例如:_HAS[4]OF_•get rich quick。如果片語 "get rich quick" 在文字中出現四次以上,則此查詢為真。此運算子為隱含式的假設,若沒有指定,則預設值為 1。

    • 單一查詢中允許多個 _AND_、_NOT_、_HAS[#]OF_ 與 _WITHIN[#]OF_ 運算子。運算子的優先順序如下 (最高到最低):
      1) _WITHIN[#]OF_
      2) _HAS[#]OF_
      3) _NOT_
      4) _AND_
      此優先順序無法以括號覆寫。

  • 邏輯運算子必須以大寫字母輸入。

  • 片語也可做為關鍵字使用,例如 apple juice 或 get rich quick。

  • 多個空格 (空白字元、換行字元、歸位字元、水平定位點及垂直定位點) 都將視為一個空格,以便進行比對。例如,A••••B 會視為 A•B,並與片語 A•B 相符。

  • 在 HTML 編碼的郵件文字中,標點符號 (任何不是英數字元的字元) 將視為類似空格的文字分隔符號。因此,篩選器可正確識別由 HTML 標記包圍的文字。不過,請注意 <html> 篩選器會比對 <html>,而不是 html。

    note附註:
    您必須在運算子與關鍵字之間保留空格。邏輯運算子必須以大寫字母輸入 (如下所示),才能正常運作。

範例 (• 字元代表一個空格):

  • apple•_AND_•orange•_AND_•lemon•_WITHIN[50]OF_•juice

  • confidential•_WITHIN[10]OF_•project•_AND_•banana•_WITHIN[25]OF_•shake

  • _HAS[2]OF_•get rich•_WITHIN[20]OF_•quick

篩選會自動載入 HTML 影像的電子郵件訊息

若要篩選自動從網頁伺服器載入 HTML 影像的電子郵件訊息,請將下列項目新增至關鍵字篩選清單:

  • img _WITHIN[6]OF_ src="http"

  • img _WITHIN[6]OF_ src='http'

這些篩選器將會識別出現在下列文字六個字範圍內的 "img" 例項:src="http"

如果將這些篩選器新增至關鍵字清單後,並未篩選出包含 HTML 影像的電子郵件訊息,則可以檢查電子郵件訊息的原始程式碼,以查看這些電子郵件訊息如何識別影像。接著,您可以建立其他的自訂篩選器。

 
顯示: