规则条件
通过使用规则条件向导,可以为规则添加条件。从下拉菜单中选择条件类型和操作。操作列表会根据您选择的规则类型而变化。然后选择一个参数。参数字段将根据规则类型和操作而更改。
例如,选择 文件大小 > 大于,然后在 参数 下指定 10 MB。使用这些设置后,将使用您已指定的规则操作处理任何大于 10 MB 的文件。因此,如果在设置规则的参数时未指定在触发给定规则时所执行的操作,则应该指定该操作。
如果要从文件导入自定义列表,而不是手动添加条目,请右键单击该窗口的中间,然后从右键菜单中选择导入。接下来,可以浏览要添加到列表中的文件(.xml 或 .txt,并包含由新行分隔的条目)。同样的,如果需要将现有列表导出到文件,请从右键菜单中选择导出。
或者,可以指定正则表达式,选择操作:匹配正则表达式或不匹配正则表达式。
ESET Mail Security 使用 std::regex。有关构建正则表达式,请参考 ECMAScript 语法。正则表达式语法不区分大小写,包括搜索结果。 |
您可以定义多个条件。如果定义了多个条件,则必须满足所有条件才能应用规则。使用逻辑运算符 AND 连接所有条件。即使大部分条件都满足,但有一个条件不满足,也会将条件评估结果视为不满足,并且不会执行该规则的操作。 |
以下条件类型适用于邮件传输防护、邮箱数据库防护和手动邮箱数据库扫描(根据之前所选条件,某些选项可能不显示):
条件名称 |
说明 |
|||
---|---|---|---|---|
主题 |
应用于主题中包含或未包含特定字符串(或正则表达式)的邮件。 |
|||
发件人 |
应用于由特定发件人发送的邮件。 |
|||
信封发件人(SMTP 发件人) |
SMTP 连接期间使用的 MAIL FROM 信封属性,也用于 SPF 验证。 |
|||
发件人的 IP 地址 |
应用于从特定 IP 地址发送的邮件。添加新地址作为条件时,IPv4 和 IPv6 地址均可接受。 |
|||
信封发件人的域/发件人的域 |
应用于来自电子邮件地址中包含特定域的发件人的邮件。 |
|||
SMTP 发件人的域 |
应用于来自电子邮件地址中包含特定域的发件人的邮件。 |
|||
From 标头 - 地址 |
"From:"值包含在消息头中。这是收件人可见的地址,但未检查发送系统是否授权代表该地址进行发送。它经常用于欺骗发件人。 |
|||
From 标头 - 显示名称 |
"From:"值包含在消息头中。这是对收件人可见的显示名称,但未检查发送系统是否有权代表该地址进行发送。它经常用于欺骗发件人。 |
|||
收件人 |
应用于发送给特定收件人的邮件。 |
|||
收件人的组织单位 |
应用于发送给属于特定组织单元的收件人的邮件。 |
|||
收件人验证结果 |
应用于在发送给在 Active Directory 中经验证的收件人的邮件。 |
|||
附件名称 |
应用于包含带有特定名称的附件的邮件。这包括存档中包含的文件。 仅评估顶级附件——启用后,不会评估存档中的文件。 对附件中的对象使用完整路径——启用后,将评估对象的完整路径,而不仅仅是文件名。 |
|||
附件大小 |
应用于带有未达到指定大小、在指定大小范围内或超出指定大小的附件的邮件。 |
|||
附件类型 |
应用于附带指定文件类型的邮件。文件类型分为几组,以便于选择。可以选择多个文件类型或全部类别。 ESET Mail Security 会检测实际的文件类型,与文件扩展名无关。这同样适用于存档的内容。 仅评估顶级附件——启用后,不会评估存档中的文件。
|
|||
邮件大小 |
应用于带有未达到指定大小、在指定大小范围内或超出指定大小的附件的邮件。 |
|||
邮箱 |
应用于位于特定邮箱中的邮件。 |
|||
邮件标题 |
应用于邮件标题中存在特定数据的邮件。 |
|||
邮件正文 |
搜索邮件正文以查找指定短语。可以使用 Strip HTML 标签功能来删除 HTML 标签、属性和值,仅保留文本。然后搜索正文文本。 |
|||
内部邮件 |
根据邮件是否是内部邮件来应用。 |
|||
传出消息 |
应用于传出邮件。 |
|||
签名的邮件 |
应用于签名邮件。 |
|||
加密的邮件 |
应用于加密邮件。 |
|||
反垃圾邮件扫描结果 |
应用于标记为或未标记为有害或垃圾邮件的邮件。 |
|||
病毒防护扫描结果 |
应用于标记为恶意或非恶意的邮件。 |
|||
网络钓鱼防护扫描结果 |
适用于已评估为网络钓鱼的邮件。 |
|||
接收时间 |
应用于在特定日期之前或之后或者在特定日期范围内接收的邮件。 |
|||
包含受密码保护的压缩文件 |
应用于带有受密码保护的压缩文件附件的邮件。 |
|||
包含已损坏的压缩文件 |
适用于存档附件损坏(很可能无法打开)的邮件。 |
|||
附件是受密码保护的压缩文件 |
适用于受密码保护的附件。 |
|||
附件是已损坏的压缩文件 |
应用于已损坏(很可能无法打开)的附件。 |
|||
文件夹名称 |
适用于位于特定文件夹中的邮件。如果该文件夹不存在,则将创建该文件夹。此操作不适用于公共文件夹。 |
|||
DKIM 结果 |
应用于通过或未通过 DKIM验证(如果不可用,则二者择一)的邮件。 |
|||
SPF 结果 |
应用于含有 SPF(发件人策略框架)评估结果的邮件: 通过 - IP 地址准许从域发送(SPF 限定符 "+")。 失败 - SPF 记录不包含发送服务器或 IP 地址(SPF 限定符 "-")。 软故障 - IP 地址可能或不可能准许从域发送(SPF 限定符 "~")。 中性 - 表示 SPF 记录中声明的域所有者,他们不想断言 IP 地址准许从域发送(SPF 限定符 "?")。 不可用——SPF 结果为 None 表示 域未发布任何记录,或者无法基于给定身份确定可检查的发件人域。 可以阅读 RFC 4408 ,以获取有关 SPF 的更多详细信息。 如果使用 SPF 结果,则不会考虑将 过滤和验证 内的白名单用于规则。 |
|||
DMARC 结果 |
应用于通过或未通过 SPF、DKIM 或两者同时验证(如果不可用,则二者择一)的邮件。 |
|||
具有相反的 DNS 记录 |
适用于发件人域中包含反向 DNS 记录的邮件。 |
|||
NDR 结果 |
应用于未通过 NDR 验证的邮件。 |
|||
信封发件人和 From 标头比较结果 |
将 "From:" 电子邮件标头字段和信封发件人中所包含的域与域列表进行比较。 |
条件类型有以下操作:
•字符串:是、不是、包含、不包含、匹配、不匹配、在其中、不在其中、在列表中、不在列表中、匹配正则表达式、不匹配正则表达式
•数量:小于, 大于, 介于
•文本:包含、不包含、匹配、不匹配
•日期时间:小于, 大于, 介于
•枚举:是, 不是, 在其中, 不在其中
如果附件名或附件类型为 Microsoft Office 文件,则 ESET Mail Security 将其视为压缩文件。这意味着已提取其内容并且对 Office 压缩文件(例如 .docx, .xlsx, .xltx, .pptx, .ppsx, .potx等)中包含的每个文件分别进行扫描。 |
如果在设置菜单或高级设置 (F5) > 服务器 > 病毒和间谍软件防护中为“邮件传输”和“邮箱数据库防护层”禁用病毒防护,它会影响以下规则条件:
•附件名称
•附件大小
•附件类型
•病毒防护扫描结果
•附件是受密码保护的
•附件是已损坏的压缩文件
•包含已损坏的压缩文件
•包含受密码保护的压缩文件