Regelbedingung
Mit diesem Assistenten können Sie Bedingungen für eine Regel anlegen. Wählen Sie die Bedingung Typ und eine Operation aus der Dropdownliste aus. Die Liste der Operationen ändert sich je nach ausgewähltem Regeltyp. Wählen Sie anschließend einen Parameter aus. Die Parameterfelder ändern sich je nach ausgewähltem Regeltyp und Vorgang.
Wählen Sie beispielsweise Dateigröße > ist größer als aus und geben Sie im Feld Parameter den Wert 10 MB ein. Mit dieser Einstellung werden alle Nachrichten mit einem Anhang größer als 10 MB mit den Regelaktionen verarbeitet, die Sie ausgewählt haben. Wählen Sie daher die gewünschte Aktion beim Auslösen dieser Regel aus, falls Sie dies beim Einstellen der Parameter für die Regel noch nicht getan haben.
Falls Sie Ihre eigene Liste aus einer Datei importieren möchten, anstatt die einzelnen Einträge manuell anzulegen, klicken Sie mit der rechten Maustaste in die Fenstermitte und wählen Sie Importieren im Kontextmenü aus. Navigieren Sie anschließend zu der Datei (.xml oder .txt) mit den Einträgen (durch Zeilenumbrüche getrennt), die Sie zur Liste hinzufügen möchten. Außerdem können Sie Ihre vorhandene Liste in eine Datei exportieren, indem Sie den Eintrag Exportieren im Kontextmenü auswählen.
Alternativ können Sie einen regulären Ausdruck angeben und die Operation Treffer für regulären Ausdruck oder Kein Treffer für regulären Ausdruck auswählen.
|
ESET Mail Security verwendet std::regex. Weitere Informationen zu regulären Ausdrücken finden Sie in der ECMAScript-Syntax. Die Syntax der regulären Ausdrücke und die Suchergebnisse unterscheiden nicht zwischen Groß- und Kleinschreibung. |
|
Sie können mehrere Bedingungen festlegen. In diesem Fall wird die Regel nur angewendet, wenn alle Bedingungen erfüllt sind. Alle Bedingungen werden mit dem logischen Operator UND verknüpft. Selbst wenn die meisten Bedingungen erfüllt sind und nur eine Bedingung nicht erfüllt ist, gilt das Auswertungsergebnis als nicht erfüllt und die Aktion für die Regel wird nicht ausgeführt. |
Die folgenden Bedingungstypen sind für den Mail-Transport-Schutz, den Postfach-Datenbankschutz und für die On-Demand Postfachdatenbank-Scan verfügbar (je nach ausgewählten Bedingungen werden möglicherweise nicht alle Optionen angezeigt):
Bedingungsname |
Beschreibung |
|||
|---|---|---|---|---|
Betreff |
✓ |
✓ |
✓ |
Gilt für Nachrichten, deren Betreff eine bestimmte Zeichenfolge (bzw. einen regulären Ausdruck) enthält bzw. nicht enthält. |
Absender |
✓ |
✓ |
✓ |
Gilt für Nachrichten von einem bestimmten Absender. |
Umschlag-Absender (SMTP-Absender) |
✓ |
✗ |
✗ |
„MAIL FROM“-Umschlagattribut für die SMTP-Verbindung. Wird auch für die SPF-Verifizierung verwendet. |
IP-Adresse des Absenders |
✓ |
✗ |
✗ |
Gilt für Nachrichten von einer bestimmten Absender-IP-Adresse. |
Domäne des Umschlag-Absenders/Domäne des Absenders |
✓ |
✓ |
✓ |
Gilt für Nachrichten von Absendern mit einer bestimmten Domäne in der E-Mail-Adresse. |
SMTP-Domäne des Absenders |
✓ |
✗ |
✗ |
Gilt für Nachrichten von Absendern mit einer bestimmten Domäne in der E-Mail-Adresse. |
Absender-Header – Adresse |
✓ |
✗ |
✗ |
„From:“-Wert aus den Nachrichtenheadern. Diese Adresse wird dem Empfänger angezeigt. Allerdings wird nicht überprüft, ob das sendende System dazu berechtigt ist, im Namen dieser Adresse zu senden. Dieser Wert wird oft verwendet, um einen falschen Absender vorzutäuschen. |
Absender-Header – Anzeigename |
✓ |
✗ |
✗ |
„From:“-Wert aus den Nachrichtenheadern. Dieser Anzeigename wird dem Empfänger angezeigt. Allerdings wird nicht überprüft, ob das sendende System dazu berechtigt ist, im Namen dieser Adresse zu senden. Dieser Wert wird oft verwendet, um einen falschen Absender vorzutäuschen. |
Empfänger |
✓ |
✓ |
✓ |
Gilt für Nachrichten an einen bestimmten Empfänger. |
Organisationseinheiten des Empfängers |
✓ |
✗ |
✗ |
Gilt für Nachrichten an Empfänger in einer bestimmten Organisationseinheit. |
Ergebnis der Empfängerprüfung |
✓ |
✗ |
✗ |
Gilt für Nachrichten an Empfänger, die in Active Directory überprüft wurden. |
Name des Anhangs |
✓ |
✓ |
✓ |
Gilt für Nachrichten, die Anhänge mit einem bestimmten Namen enthalten. |
Größe des Anhangs |
✓ |
✓ |
✓ |
Gilt für Nachrichten, deren Anhang eine bestimmte Größe nicht erfüllt, in einem angegebenen Bereich zwischen zwei Größen liegt oder eine bestimmte Größe überschreitet. |
Art des Anhangs |
✓ |
✓ |
✓ |
Gilt für Nachrichten mit einem bestimmten Dateityp als Anhang. Dateitypen sind zur einfachen Auswahl in Gruppen geordnet. Sie können mehrere Typen oder ganze Kategorien auswählen. Dasselbe gilt für den Inhalt eines Archivs. |
Nachrichtengröße |
✓ |
✗ |
✗ |
Gilt für Nachrichten mit Anhängen, die eine bestimmte Größe nicht erfüllen, in einem angegebenen Bereich zwischen zwei Größen liegen oder eine bestimmte Größe überschreiten. |
Postfach |
✗ |
✓ |
✗ |
Gilt für Nachrichten in einem bestimmten Postfach. |
Nachrichtenköpfe |
✓ |
✓ |
✗ |
Gilt für Nachrichten mit bestimmten Daten im Nachrichtenheader. |
Nachrichtentext |
✓ |
✗ |
✓ |
Der Nachrichtentext wird nach dem angegebenen Satz durchsucht. Mit der Funktion „HTML-Tags entfernen“ können HTML-Tags, Attribute und Werte entfernen und nur den Text beibehalten. Anschließend wird der Nachrichtentext durchsucht. |
Interne Nachricht |
✓ |
✗ |
✗ |
Gilt für interne bzw. nicht interne Nachrichten. |
Ausgehende Nachricht |
✓ |
✗ |
✗ |
Gilt für ausgehende Nachrichten. |
Signierte Nachricht |
✓ |
✗ |
✗ |
Gilt für signierte Nachrichten. |
Verschlüsselte Nachricht |
✓ |
✗ |
✗ |
Gilt für verschlüsselte Nachrichten. |
Scan-Ergebnis des Spam-Schutzes |
✓ |
✗ |
✗ |
Gilt für Nachrichten, die als Ham oder Spam markiert bzw. nicht markiert wurden (siehe Beispiel). |
Scan-Ergebnis des Virenschutzes |
✓ |
✓ |
✓ |
Gilt für Nachrichten, die bösartig bzw. nicht bösartig markiert wurden. |
Scan-Ergebnis des Phishing-Schutzes |
✓ |
✗ |
✓ |
Gilt für Nachrichten, die als Phishing klassifiziert wurden. |
Uhrzeit des Empfangs |
✓ |
✓ |
✓ |
Gilt für Nachrichten, die vor oder nach einem bestimmten Zeitpunkt oder während eines angegebenen Zeitintervalls empfangen wurden. |
Enthält passwortgeschütztes Archiv |
✓ |
✓ |
✗ |
Gilt für Nachrichten mit Archivanhängen, die mit einem Passwort geschützt sind. |
Enthält beschädigtes Archiv |
✓ |
✓ |
✗ |
Gilt für Nachrichten mit beschädigtem Archivanhang (kann verm. nicht geöffnet werden). |
Anhang ist ein passwortgeschütztes Archiv |
✗ |
✗ |
✓ |
Gilt für Anhänge, die mit einem Passwort geschützt sind. |
Anhang ist ein beschädigtes Archiv |
✗ |
✗ |
✓ |
Gilt für beschädigte Anhänge (kann verm. nicht geöffnet werden). |
Ordnername |
✗ |
✗ |
✓ |
Gilt für Nachrichten in einem bestimmten Ordner. Falls der Ordner nicht existiert, wird er erstellt. Gilt nicht für öffentliche Ordner. |
DKIM ergebnis |
✓ |
✗ |
✗ |
Gilt für Nachrichten mit bestandener bzw. fehlgeschlagener DKIM-Prüfung, alternativ falls nicht verfügbar. |
SPF ergebnis |
✓ |
✗ |
✗ |
Gilt für Nachrichten mit dem SPF-Prüfergebnis: Bestanden – Die IP-Adresse wird für den Versand von der Domain autorisiert (SPF-Kennzeichner "+") Nicht bestanden – Der Server oder die IP-Adresse des Absenders ist nicht im SPF-Eintrag enthalten (SPF-Kennzeichner "-") Behebbarer Fehler – Die IP-Adresse wird möglicherweise für den Versand von der Domain autorisiert (SPF-Kennzeichner "~") Neutral – Der Domain-Eigentümer hat im SPF-Eintrag angegeben, dass die IP-Adresse nicht für den Versand von der Domain autorisiert werden soll (SPF-Kennzeichner "?") Nicht verfügbar – Das SPF-Ergebnis None bedeutet, dass die Domain keine Einträge veröffentlicht hat oder dass keine überprüfbare Absender-Domain für die angegebene Identität gefunden wurde. Unter RFC 4408 finden Sie weitere Details zu SPF. Falls Sie SPF-Ergebnisse verwenden, werden die Positivlisten im Bereich Filterung und Verifizierung für die Regeln nicht berücksichtigt. |
DMARC ergebnis |
✓ |
✗ |
✗ |
Gilt für Nachrichten mit bestandener bzw. fehlgeschlagener SPF-, DKIM- oder beiden Prüfungen, alternativ falls nicht verfügbar. |
Hat Reverse-DNS-Eintrag |
✓ |
✗ |
✗ |
Gilt für Nachrichten mit einer Absenderdomäne, die einen Reverse-DNS-Eintrag hat. |
NDR ergebnis |
✓ |
✗ |
✗ |
Gilt für Nachrichten mit fehlgeschlagener NDR-Prüfung. |
SPF-Ergebnis - From-Header |
✓ |
✗ |
✗ |
Gilt für Nachrichten mit dem SPF-Prüfergebnis: Bestanden – Die IP-Adresse wird für den Versand von der Domain autorisiert (SPF-Kennzeichner "+") Nicht bestanden – Der Server oder die IP-Adresse des Absenders ist nicht im SPF-Eintrag enthalten (SPF-Kennzeichner "-") Behebbarer Fehler – Die IP-Adresse wird möglicherweise für den Versand von der Domain autorisiert (SPF-Kennzeichner "~") Neutral – Der Domain-Eigentümer hat im SPF-Eintrag angegeben, dass die IP-Adresse nicht für den Versand von der Domain autorisiert werden soll (SPF-Kennzeichner "?") Nicht verfügbar – Das SPF-Ergebnis None bedeutet, dass die Domain keine Einträge veröffentlicht hat oder dass keine überprüfbare Absender-Domain für die angegebene Identität gefunden wurde. Unter RFC 4408 finden Sie weitere Details zu SPF. Falls Sie SPF-Ergebnisse verwenden, werden die Positivlisten im Bereich Filterung und Verifizierung für die Regeln nicht berücksichtigt. |
Vergleichsergebnis zwischen Umschlag-Absender und From-Header |
✓ |
✗ |
✗ |
Vergleicht die Domäne(n) in der "From:"-Kopfzeile der E-Mail und den Absender des Umschlags mit den Domänenlisten. |
SPF-ErgebnisHELO |
✓ |
✗ |
✗ |
Gilt für Nachrichten mit dem HELO-Prüfergebnis: Bestanden – Die IP-Adresse wird für den Versand von der Domain autorisiert (SPF-Kennzeichner "+") Nicht bestanden – Der Server oder die IP-Adresse des Absenders ist nicht im SPF-Eintrag enthalten (SPF-Kennzeichner "-") Behebbarer Fehler – Die IP-Adresse wird möglicherweise für den Versand von der Domain autorisiert (SPF-Kennzeichner "~") Neutral – Der Domain-Eigentümer hat im SPF-Eintrag angegeben, dass die IP-Adresse nicht für den Versand von der Domain autorisiert werden soll (SPF-Kennzeichner "?") Nicht verfügbar – Das SPF-Ergebnis None bedeutet, dass die Domain keine Einträge veröffentlicht hat oder dass keine überprüfbare Absender-Domain für die angegebene Identität gefunden wurde. Unter RFC 4408 finden Sie weitere Details zu SPF. Falls Sie SPF-Ergebnisse verwenden, werden die Positivlisten im Bereich Filterung und Verifizierung für die Regeln nicht berücksichtigt. |
Die folgenden Operationen sind zum Bedingungstyp zugeordnet:
•Zeichenfolge: ist, ist nicht, enthält, enthält nicht, stimmt überein, stimmt nicht überein, enthalten in, nicht enthalten in, Treffer für regulären Ausdruck, kein Treffer für regulären Ausdruck
•Zahl: ist weniger als, ist größer als, ist zwischen
•Text: enthält, enthält nicht, stimmt überein, stimmt nicht überein
•Zeitstempel: ist niedriger als, ist größer als, ist zwischen
•Enum: ist, ist nicht, enthalten in, nicht enthalten in
|
Wenn der Anhangsname oder Anhangstyp eine Microsoft Office (2007+)-Datei ist, wird diese von ESET Mail Security als Archiv behandelt. In diesem Fall wird der Inhalt extrahiert, und jede Datei im Office-Dateiarchiv (z. B. .docx, .xlsx, .xltx, .pptx, .ppsx, .potx usw.) wird separat geprüft. |
Wenn Sie den Virenschutz im Setup-Menü oder unter Erweiterte Einstellungen (F5) > Server > Viren- und Spyware-Schutz für die E-Mail-Transportebene und die Postfach-Datenbankschutzebene deaktivieren, sind die folgenden Regelbedingungen betroffen:
•Name des Anhangs
•Größe des Anhangs
•Art des Anhangs
•Scan-Ergebnis des Virenschutzes
•Anhang ist passwortgeschützt
•Anhang ist ein beschädigtes Archiv
•Enthält beschädigtes Archiv
•Enthält passwortgeschütztes Archiv