Интернет-справка ESET

Выберите тему

Условия правила

Мастер «Условия правила» дает возможность добавлять условия для правила. В раскрывающемся меню выберите элементы Тип и Операция. Список операций изменяется в зависимости от выбранного типа правила. Затем щелкните Параметр. Поля параметра варьируются в зависимости от типа правил и операции.

Например, выберите Размер файла > превышает, а под элементом Параметр укажите 10 МБ. При использовании этих настроек любой файл, размер которого превышает 10 МБ, будет обрабатываться с помощью указанного вами действия правила. Поэтому если при настройке параметров правила вы не указали действие, которое нужно выполнять при срабатывании правила, то вам нужно это сделать.

Чтобы не добавлять записи вручную, а импортировать свой список из файла, щелкните правой кнопкой мыши в средней части окна и выберите в контекстном меню Импорт. Затем найдите свой файл (в формате .xml или .txt с записями, разделенными переводом строки), который нужно добавить в список. А если нужно экспортировать существующий список в файл, выберите Экспорт в контекстном меню.

Кроме того, вы можете указать регулярное выражение, выбрать операцию, которая соответствует или не соответствует регулярному выражению.


note

ESET Mail Security использует std::regex. Сведения о создании регулярных выражений см. в синтаксисе ECMAScript. Синтаксис регулярных выражений, включая результаты поиска, не учитывает регистр.


important

Вы можете задать несколько условий. Если сделать это, для применения правила должны соблюдаться все условия. Все условия объединяются с помощью логического оператора AND. Даже если соблюдены все условия, кроме одного, в результате оценки условий будет указано, что условия не соблюдены, и действие правила в таком случае не может быть применено.

Список доступных типов условий для защиты почтового транспорта, защиты базы данных почтовых ящиков и сканирования этой базы данных по требованию (в зависимости от выбранных условий некоторые параметры могут не отображаться):

Имя условия

Описание

Тема

Применяется к сообщениям, если в поле темы они содержат или не содержат указанную вами строку (или регулярное выражение).

Отправитель

Применяется к сообщениям, которые отправил определенный отправитель.

Отправитель конверта (отправитель SMTP)

Атрибут конверта MAIL FROM, используемый при подключении к SMTP, также используется для SPF-проверки.

IP-адрес отправителя

Применяется к сообщениям, отправленным с определенного IP-адреса.

Домен отправителя конверта/домен отправителя

Применяется к сообщениям от отправителя, в адресе электронной почты которых указан определенный домен.

Домен отправителя SMTP

Применяется к сообщениям от отправителя, в адресе электронной почты которых указан определенный домен.

Заголовок "От" — адрес

"From:" — значение в заголовках сообщений. Это адрес, который видит получатель, но проверки авторизации системы для отправок с этого адреса не выполняются. Он часто используется для подмены отправителя.

Заголовок "От" — отображаемое имя

"From:" — значение в заголовках сообщений. Это отображаемое имя, которое видит получатель, но проверки авторизации системы для отправок с этого адреса не выполняются. Он часто используется для подмены отправителя.

Получатель

Применяется к сообщениям, отправленным определенному получателю.

Подразделения получателя

Применяется к сообщениям, отправленным получателю определенного подразделения.

Результат проверки получателя

Применяется к сообщениям, отправленным получателю, проверенному в Active Directory.

Имя вложения

Применяется к сообщениям, содержащим вложения с определенным именем. Сюда входят и файлы, содержащиеся в архиве.

Оценивать только для вложения верхнего уровня: если этот параметр включен, файлы внутри архива оцениваться не будут.

Использовать полный путь для объектов внутри вложения: если этот параметр включен, будет оцениваться полный путь к объекту, а не только имя файла.

Размер вложения

Применяется к сообщениям с вложением, размер которого меньше указанного, больше указанного или находится в пределах указанного диапазона размеров.

Тип вложения

 

Применяется к сообщениям, в которые вложен файл определенного типа. Типы файлов распределены по группам, чтобы их было легко выбирать. Можно выбрать несколько типов файлов или целые категории. ESET Mail Security определяет фактический тип файла независимо от его расширения. То же самое относится и к содержимому архива.

Оценивать только для вложения верхнего уровня: если этот параметр включен, файлы внутри архива оцениваться не будут.


note

Условие правила Тип вложения имеет известное ограничение, из-за которого модуль обнаружения ESET Mail Security не может обнаруживать слишком малые текстовые файлы размером менее 10 байт в кодировке ASCII/ANSI.

Размер сообщения

Применяется к сообщениям с вложением, размер которого меньше указанного, больше указанного или находится в пределах указанного диапазона размеров.

Почтовый ящик

Применяется к сообщениям, находящимся в указанном почтовом ящике.

Заголовки сообщений

Применяется к сообщениям, в заголовках которых есть указанные данные.

Текст сообщения

В тексте сообщения выполняется поиск указанной фразы. Можно использовать функцию удаления тегов HTML, чтобы оставить только текст без тегов, атрибутов и значений. После этого поиск будет выполняться только в тексте сообщения.

Внутреннее сообщение

Применение зависит от того, является ли сообщение внутренним или внешним.

Исходящее сообщение

Применяется к исходящим сообщениям.

Подписанное сообщение

Применяется к подписанным сообщениям.

Зашифрованное сообщение

Применяется к зашифрованным сообщениям.

Результаты сканирования на наличие спама

Применяется к сообщениям, которые помечены или не помечены как нормальная или нежелательная почта.

Результаты сканирования на наличие вирусов

Применяется к сообщениям, которые помечены или не помечены как вредоносные.

Результат сканирования на фишинг

Применяется к сообщениям, которые были квалифицированы как фишинговые.

Время получения

Применяется к сообщениям, полученным перед указанной датой, после нее или в день, который входит в указанный диапазон дат.

Содержит защищенный паролем архив

Применяется к сообщениям, в которые вложен архив, защищенный паролем.

Содержит поврежденный архив

Применяется к сообщениям, в которые вложены поврежденные архивы (скорее всего, не открываются).

Вложение является архивом, который защищен паролем

Применяется к вложениям, которые защищены паролем.

Вложение является поврежденным архивом

Применяется к поврежденным вложениям (чаще все это такие вложения, которые невозможно открыть).

Имя папки

Применяется к сообщениям, находящимся в определенной папке. Если папка не существует, она будет создана. Не применяется к общим папкам.

DKIM результат

Применяется к сообщениям, которые прошли или не прошли проверку DKIM либо недоступны для такой проверки.

SPF результат
результат SPF — заголовок "From"
SPF результат HELO

Применяется к сообщениям с результатом оценки SPF (инфраструктуры политики отправителей):

Пройдено: IP-адрес авторизован для отправки с домена (квалификатор SPF "+").

Не пройдено: запись SPF не содержит сервер или IP-адрес отправки (квалификатор SPF "-").

Несерьезный сбой: IP-адрес, возможно, не авторизован для отправки с домена (квалификатор SPF "~").

Нейтрально: владелец домена указал в записи SPF, что не желает заявлять, что IP-адрес авторизован для отправки с домена (квалификатор SPF "?").

Недоступно: результат SPF со значением None означает, что домен не опубликовал никаких записей или что с помощью указанного удостоверения не удалось определить ни одного домена отправителя, доступного для проверки.

В RFC 4408 приведены подробные сведения об SPF.

Если вы используете результат SPF, белые списки фильтрации и проверки не учитываются в правилах.

DMARC результат

Применяется к сообщениям, которые прошли или не прошли проверку SPF, проверку DKIM или обе из них (или если они недоступны для такой проверки).

Имеет обратную запись DNS

Применяется к сообщениям с доменом отправителя с обратной записью DNS.

NDR результат

Применяется к сообщениям, которые не прошли проверку отчета о недоставке NDR.

Результат сравнения отправителя конверта и заголовка "From"

Выполняется сравнение домена, указанного в заголовке сообщения электронной почты "From:" и в поле отправителя конверта, со списками доменов.

Тип условия включает следующие операции:

Строка: является, не является, содержит, не содержит, соответствует, не соответствует, находится в, не находится в, находится в списке, не находится в списке, соответствует регулярному выражению, не соответствует регулярному выражению

Количество: меньше, чем, больше, чем, находится между

Текст: содержит, не содержит, соответствует, не соответствует

Дата — время: меньше, чем, больше, чем, находится между

Enum: является/не является, находится в, не находится в


note

Если Имя вложения или Тип вложения является файлом Microsoft Office, ESET Mail Security распознает его как архив. Это значит, что его содержимое извлекается и каждый файл Office, содержащий архив (например, .docx, .xlsx, .xltx, .pptx, .ppsx, .potx и т. д.), сканируется отдельно.

Если для уровня защиты почтового транспорта и базы данных почтовых ящиков отключить защиту от вирусов в меню настроек или дополнительных параметров (F5) > Сервер >Защита от вирусов и шпионских программ, это повлияет на условия правил выше.

Имя вложения

Размер вложения

Тип вложения

Результаты сканирования на наличие вирусов

Вложение защищено паролем

Вложение является поврежденным архивом

Содержит поврежденный архив

Содержит защищенный паролем архив