ESET 联机帮助

搜索 简体字
选择主题

规则条件

通过使用规则条件向导,可以为规则添加条件。从下拉菜单中选择条件类型操作。操作列表会根据您选择的规则类型而变化。然后选择一个参数。参数字段将根据规则类型和操作而更改。

例如,选择 文件大小 > 大于,然后在 参数 下指定 10 MB。使用这些设置后,将使用您已指定的规则操作处理任何大于 10 MB 的文件。因此,如果在设置规则的参数时未指定在触发给定规则时所执行的操作,则应该指定该操作。

如果要从文件导入自定义列表,而不是手动添加条目,请右键单击该窗口的中间,然后从右键菜单中选择导入。接下来,可以浏览要添加到列表中的文件(.xml 或 .txt,并包含由新行分隔的条目)。同样的,如果需要将现有列表导出到文件,请从右键菜单中选择导出

或者,可以指定正则表达式,选择操作:匹配正则表达式不匹配正则表达式


note

ESET Mail Security 使用 std::regex。有关构建正则表达式,请参考 ECMAScript 语法。正则表达式语法不区分大小写,包括搜索结果。


important

您可以定义多个条件。如果定义了多个条件,则必须满足所有条件才能应用规则。使用逻辑运算符 AND 连接所有条件。即使大部分条件都满足,但有一个条件不满足,也会将条件评估结果视为不满足,并且不会执行该规则的操作。

以下条件类型适用于邮件传输防护邮箱数据库防护和手动邮箱数据库扫描(根据之前所选条件,某些选项可能不显示):

条件名称

说明

主题

应用于主题中包含或未包含特定字符串(或正则表达式)的邮件。

发件人

应用于由特定发件人发送的邮件。

信封发件人(SMTP 发件人)

SMTP 连接期间使用的 MAIL FROM 信封属性,也用于 SPF 验证。

发件人的 IP 地址

应用于从特定 IP 地址发送的邮件。添加新地址作为条件时,IPv4 和 IPv6 地址均可接受。

信封发件人的域/发件人的域

应用于来自电子邮件地址中包含特定域的发件人的邮件。

SMTP 发件人的域

应用于来自电子邮件地址中包含特定域的发件人的邮件。

From 标头 - 地址

"From:"值包含在消息头中。这是收件人可见的地址,但未检查发送系统是否授权代表该地址进行发送。它经常用于欺骗发件人。

From 标头 - 显示名称

"From:"值包含在消息头中。这是对收件人可见的显示名称,但未检查发送系统是否有权代表该地址进行发送。它经常用于欺骗发件人。

收件人

应用于发送给特定收件人的邮件。

收件人的组织单位

应用于发送给属于特定组织单元的收件人的邮件。

收件人验证结果

应用于在发送给在 Active Directory 中经验证的收件人的邮件。

附件名称

应用于包含带有特定名称的附件的邮件。这包括存档中包含的文件。

仅评估顶级附件——启用后,不会评估存档中的文件。

对附件中的对象使用完整路径——启用后,将评估对象的完整路径,而不仅仅是文件名。

附件大小

应用于带有未达到指定大小、在指定大小范围内或超出指定大小的附件的邮件。

附件类型

应用于附带指定文件类型的邮件。文件类型分为几组,以便于选择。可以选择多个文件类型或全部类别。 ESET Mail Security 会检测实际的文件类型,与文件扩展名无关。这同样适用于存档的内容。

仅评估顶级附件——启用后,不会评估存档中的文件。


note

附件类型规则条件有已知限制,其中 ESET Mail Security 检测引擎无法检测大小小于 10 字节的超小型 ASCII/ANSI 编码文本文件。

邮件大小

应用于带有未达到指定大小、在指定大小范围内或超出指定大小的附件的邮件。

邮箱

应用于位于特定邮箱中的邮件。

邮件标题

应用于邮件标题中存在特定数据的邮件。

邮件正文

搜索邮件正文以查找指定短语。可以使用 Strip HTML 标签功能来删除 HTML 标签、属性和值,仅保留文本。然后搜索正文文本。

内部邮件

根据邮件是否是内部邮件来应用。

传出消息

应用于传出邮件。

签名的邮件

应用于签名邮件。

加密的邮件

应用于加密邮件。

反垃圾邮件扫描结果

应用于标记为或未标记为有害或垃圾邮件的邮件。

病毒防护扫描结果

应用于标记为恶意或非恶意的邮件。

网络钓鱼防护扫描结果

适用于已评估为网络钓鱼的邮件。

接收时间

应用于在特定日期之前或之后或者在特定日期范围内接收的邮件。

包含受密码保护的压缩文件

应用于带有受密码保护的压缩文件附件的邮件。

包含已损坏的压缩文件

适用于存档附件损坏(很可能无法打开)的邮件。

附件是受密码保护的压缩文件

适用于受密码保护的附件。

附件是已损坏的压缩文件

应用于已损坏(很可能无法打开)的附件。

文件夹名称

适用于位于特定文件夹中的邮件。如果该文件夹不存在,则将创建该文件夹。此操作不适用于公共文件夹。

DKIM 结果

应用于通过或未通过 DKIM验证(如果不可用,则二者择一)的邮件。

SPF 结果
SPF 结果 - From 标头
SPF 结果 HELO

应用于含有 SPF(发件人策略框架)评估结果的邮件:

通过 - IP 地址准许从域发送(SPF 限定符 "+")。

失败 - SPF 记录不包含发送服务器或 IP 地址(SPF 限定符 "-")。

软故障 - IP 地址可能或不可能准许从域发送(SPF 限定符 "~")。

中性 - 表示 SPF 记录中声明的域所有者,他们不想断言 IP 地址准许从域发送(SPF 限定符 "?")。

不可用——SPF 结果为 None 表示 域未发布任何记录,或者无法基于给定身份确定可检查的发件人域。

可以阅读 RFC 4408 ,以获取有关 SPF 的更多详细信息。

如果使用 SPF 结果,则不会考虑将 过滤和验证 内的白名单用于规则。

DMARC 结果

应用于通过或未通过 SPF、DKIM 或两者同时验证(如果不可用,则二者择一)的邮件。

具有相反的 DNS 记录

适用于发件人域中包含反向 DNS 记录的邮件。

NDR 结果

应用于未通过 NDR 验证的邮件。

信封发件人和 From 标头比较结果

将 "From:" 电子邮件标头字段和信封发件人中所包含的域与域列表进行比较。

条件类型有以下操作

字符串:是、不是、包含、不包含、匹配、不匹配、在其中、不在其中、在列表中、不在列表中、匹配正则表达式、不匹配正则表达式

数量:小于, 大于, 介于

文本:包含、不包含、匹配、不匹配

日期时间:小于, 大于, 介于

枚举:是, 不是, 在其中, 不在其中


note

如果附件名附件类型为 Microsoft Office 文件,则 ESET Mail Security 将其视为压缩文件。这意味着已提取其内容并且对 Office 压缩文件(例如 .docx, .xlsx, .xltx, .pptx, .ppsx, .potx等)中包含的每个文件分别进行扫描。

如果在设置菜单或高级设置 (F5) > 服务器 > 病毒和间谍软件防护中为“邮件传输”和“邮箱数据库防护层”禁用病毒防护,它会影响以下规则条件:

附件名称

附件大小

附件类型

病毒防护扫描结果

附件是受密码保护的

附件是已损坏的压缩文件

包含已损坏的压缩文件

包含受密码保护的压缩文件