Условия правила
Этот мастер дает возможность добавлять условия для правила. В раскрывающемся списке выберите элементы Тип условия и Операция. Список операций зависит от выбранного типа правил. Затем щелкните Параметр. Поля параметра варьируются в зависимости от типа правил и операции.
Например, выберите Размер файла > превышает, а под элементом Параметр укажите 10 МБ. Если так настроить параметры, то любой файл, в котором есть вложение размером более 10 МБ, обрабатывается с помощью указанного вами действия правила. Поэтому если при настройке параметров правила вы не указали действие, которое нужно выполнять при срабатывании правила, то вам нужно это сделать.
Чтобы не добавлять каждую запись отдельно вручную, а импортировать свой список из файла, щелкните правой кнопкой мыши в средней части окна и выберите в контекстном меню Импорт. Затем найдите свой файл (в формате .xml или .txt), содержащий записи (разделенные переводом строки), которые нужно добавить в список. А если нужно экспортировать существующий список в файл, выберите Экспорт в контекстном меню.
Кроме того, вы можете указать регулярное выражение, выбрать операцию, которая соответствует или не соответствует регулярному выражению.
|
ESET Mail Security использует std::regex. Сведения о создании регулярных выражений см. в синтаксисе ECMAScript. Синтаксис регулярных выражений и результаты поиска не учитывают регистр. |
|
Вы можете задать несколько условий. Если сделать это, для применения правила все эти условия должны быть соблюдены. Все условия объединяются с помощью логического оператора AND. Даже если соблюдены все условия, кроме одного, в результате оценки условий будет указано, что условия не соблюдены и действие правила не может быть применено. |
Список доступных типов условий для защиты почтового транспорта, защиты базы данных почтовых ящиков и сканирования этой базы данных по требованию (в зависимости от выбранных условий некоторые параметры могут не отображаться):
Имя условия |
Описание |
|||
|---|---|---|---|---|
Тема |
✓ |
✓ |
✓ |
Применяется к сообщениям, если в поле темы они содержат или не содержат указанную вами строку (или регулярное выражение). |
Отправитель |
✓ |
✓ |
✓ |
Применяется к сообщениям, которые отправил определенный отправитель. |
Отправитель конверта (отправитель SMTP) |
✓ |
✗ |
✗ |
Атрибут конверта MAIL FROM, используемый при подключении к SMTP и проверке SPF. |
IP-адрес отправителя |
✓ |
✗ |
✗ |
Применяется к сообщениям, отправленным с определенного IP-адреса. |
Домен отправителя конверта/домен отправителя |
✓ |
✓ |
✓ |
Применяется к сообщениям от отправителя, в адресе электронной почты которых указан определенный домен. |
Домен отправителя SMTP |
✓ |
✗ |
✗ |
Применяется к сообщениям от отправителя, в адресе электронной почты которых указан определенный домен. |
Заголовок "От" — адрес |
✓ |
✗ |
✗ |
«От:» — значение в заголовках сообщений. Это адрес, который видит получатель, но проверки авторизации системы для отправок с этого адреса не выполняются. Он часто используется для подмены отправителя. |
Заголовок "От" — отображаемое имя |
✓ |
✗ |
✗ |
«От:» — значение в заголовках сообщений. Это отображаемое имя, который видит получатель, но проверки авторизации системы для отправок с этого адреса не выполняются. Он часто используется для подмены отправителя. |
Получатель |
✓ |
✓ |
✓ |
Применяется к сообщениям, отправленным определенному получателю. |
Подразделения получателя |
✓ |
✗ |
✗ |
Применяется к сообщениям, отправленным получателю определенного подразделения. |
Результат проверки получателя |
✓ |
✗ |
✗ |
Применяется к сообщениям, отправленным получателю, проверенному в Active Directory. |
Имя вложения |
✓ |
✓ |
✓ |
Применяется к сообщениям, содержащим вложения с определенным именем. |
Размер вложения |
✓ |
✓ |
✓ |
Применяется к сообщениям с вложением, размер которого меньше указанного, больше указанного или находится в пределах указанного диапазона размеров. |
Тип вложения |
✓ |
✓ |
✓ |
Применяется к сообщениям, в которые вложен файл определенного типа. Типы файлов распределены по группам, чтобы их было легко выбирать. Вы можете выбрать несколько типов файлов или целые категории. То же самое относится к содержимому архива. |
Размер сообщения |
✓ |
✗ |
✗ |
Применяется к сообщениям с вложением, размер которого меньше указанного, больше указанного или находится в пределах указанного диапазона размеров. |
Почтовый ящик |
✗ |
✓ |
✗ |
Применяется к сообщениям, находящимся в указанном почтовом ящике. |
Заголовки сообщений |
✓ |
✓ |
✗ |
Применяется к сообщениям, в заголовках которых есть указанные данные. |
Текст сообщения |
✓ |
✗ |
✓ |
В тексте сообщения выполняется поиск указанной фразы. Можно использовать функцию удаления тегов HTML, чтобы оставить только текст без тегов, атрибутов и значений. После этого поиск будет выполняться только в тексте сообщения. |
Внутреннее сообщение |
✓ |
✗ |
✗ |
Применение зависит от того, является ли сообщение внутренним или внешним. |
Исходящее сообщение |
✓ |
✗ |
✗ |
Применяется к исходящим сообщениям. |
Подписанное сообщение |
✓ |
✗ |
✗ |
Применяется к подписанным сообщениям. |
Зашифрованное сообщение |
✓ |
✗ |
✗ |
Применяется к зашифрованным сообщениям. |
Результаты сканирования на наличие спама |
✓ |
✗ |
✗ |
Применяется к сообщениям, которые помечены или не помечены как нормальная или нежелательная почта (см. пример). |
Результаты сканирования на наличие вирусов |
✓ |
✓ |
✓ |
Применяется к сообщениям, которые помечены или не помечены как вредоносные. |
Результат сканирования на фишинг |
✓ |
✗ |
✓ |
Применяется к сообщениям, которые были квалифицированы как фишинговые. |
Время получения |
✓ |
✓ |
✓ |
Применяется к сообщениям, полученным перед указанной датой, после нее или в день, который входит в указанный диапазон дат. |
Содержит защищенный паролем архив |
✓ |
✓ |
✗ |
Применяется к сообщениям, в которые вложен архив, защищенный паролем. |
Содержит поврежденный архив |
✓ |
✓ |
✗ |
Применяется к сообщениям, в которые вложен поврежденный архив (при этом его, скорее всего, невозможно открыть). |
Вложение является архивом, который защищен паролем |
✗ |
✗ |
✓ |
Применяется к вложениям, которые защищены паролем. |
Вложение является поврежденным архивом |
✗ |
✗ |
✓ |
Применяется к поврежденным вложениям (чаще все это такие вложения, которые невозможно открыть). |
Имя папки |
✗ |
✗ |
✓ |
Применяется к сообщениям, размещенным в определенной папке. Если папка не существует, она будет создана. Не применяется к общим папкам. |
DKIM результат |
✓ |
✗ |
✗ |
Применяется к сообщениям, которые прошли или не прошли проверку DKIM (или если они недоступны для такой проверки). |
SPF результат |
✓ |
✗ |
✗ |
Применяется к сообщениям, для которых результат проверки SPF равен: Пройдено: IP-адрес авторизован для отправки с домена (квалификатор SPF "+") Не пройдено: запись SPF не содержит сервер или IP-адрес отправки (квалификатор SPF "-") Несерьезный сбой: IP-адрес, возможно, не авторизован для отправки с домена (квалификатор SPF "~") Нейтрально: владелец домена указал в записи SPF, что не желает заявлять, что IP-адрес авторизован для отправки с домена (квалификатор SPF "?") Недоступно: результат SPF со значением None означает, что домен не опубликовал никаких записей или что с помощью указанного удостоверения не удалось определить ни один доступный для проверки домен отправителя В RFC 4408 приведены подробные сведения об SPF. Если вы используете результат SPF, белые списки фильтрации и проверки не учитываются в правилах. |
DMARC результат |
✓ |
✗ |
✗ |
Применяется к сообщениям, которые прошли или не прошли проверку SPF, проверку DKIM или обе из них (или если они недоступны для такой проверки). |
Имеет обратную запись DNS |
✓ |
✗ |
✗ |
Применяется к сообщениям с доменом отправителя, который имеет обратную запись DNS. |
NDR результат |
✓ |
✗ |
✗ |
Применяется к сообщениям, которые не прошли проверку отчета о недоставке NDR. |
результат SPF — заголовок "From" |
✓ |
✗ |
✗ |
Применяется к сообщениям, для которых результат проверки SPF равен: Пройдено: IP-адрес авторизован для отправки с домена (квалификатор SPF "+") Не пройдено: запись SPF не содержит сервер или IP-адрес отправки (квалификатор SPF "-") Несерьезный сбой: IP-адрес, возможно, не авторизован для отправки с домена (квалификатор SPF "~") Нейтрально: владелец домена указал в записи SPF, что не желает заявлять, что IP-адрес авторизован для отправки с домена (квалификатор SPF "?") Недоступно: результат SPF со значением None означает, что домен не опубликовал никаких записей или что с помощью указанного удостоверения не удалось определить ни один доступный для проверки домен отправителя В RFC 4408 приведены подробные сведения об SPF. Если вы используете результат SPF, белые списки фильтрации и проверки не учитываются в правилах. |
Результат сравнения отправителя конверта и заголовка "From" |
✓ |
✗ |
✗ |
Выполняется сравнение домена, указанного в заголовке сообщения электронной почты "From:" и в поле отправителя конверта, со списками доменов. |
Результат SPFHELO |
✓ |
✗ |
✗ |
Применяется к сообщениям с результатом проверки HELO: Пройдено: IP-адрес авторизован для отправки с домена (квалификатор SPF "+") Не пройдено: запись SPF не содержит сервер или IP-адрес отправки (квалификатор SPF "-") Несерьезный сбой: IP-адрес, возможно, не авторизован для отправки с домена (квалификатор SPF "~") Нейтрально: владелец домена указал в записи SPF, что не желает заявлять, что IP-адрес авторизован для отправки с домена (квалификатор SPF "?") Недоступно: результат SPF со значением None означает, что домен не опубликовал никаких записей или что с помощью указанного удостоверения не удалось определить ни один доступный для проверки домен отправителя В RFC 4408 приведены подробные сведения об SPF. Если вы используете результат SPF, белые списки фильтрации и проверки не учитываются в правилах. |
Тип условия связан со следующими операциями:
•Строка: является, не является, содержит, не содержит, соответствует, не соответствует, находится в, не находится в, соответствует регулярному выражению, не соответствует регулярному выражению
•Количество: меньше, чем, больше, чем, находится между
•Текст: содержит, не содержит, соответствует, не соответствует
•Дата — время: меньше, чем, больше, чем, находится между
•Enum: является/не является, находится в, не находится в
|
Если Имя вложения или Тип вложения является файлом Microsoft Office (версии 2007 или более поздней), ESET Mail Security распознает его как архив. Это значит, что его содержимое извлекается и каждый файл Office, содержащий архив (например, .docx, .xlsx, .xltx, .pptx, .ppsx, .potx и т. д.), сканируется отдельно. |
Если для уровня защиты почтового транспорта и базы данных почтовых ящиков отключить защиту от вирусов в меню настроек или дополнительных параметров (F5) > Сервер >Защита от вирусов и шпионских программ, это повлияет на условия правил выше.
•Имя вложения
•Размер вложения
•Тип вложения
•Результаты сканирования на наличие вирусов
•Вложение защищено паролем
•Вложение является поврежденным архивом
•Содержит поврежденный архив
•Содержит защищенный паролем архив