Фильтрация

Dr.Web позволяет использовать специальную систему фильтрации для снижения нагрузки на почтовый сервер. Например, в случае спам-атаки, лишние письма выводятся из транспортной системы сервера до начала их проверки на спам или вирусы. Для эффективной работы фильтров необходимо задать оптимальный набор правил фильтрации, не содержащий противоречивых и лишних правил.

Перед выполнением фильтрации определяется группа, к которой принадлежит отправитель письма. Если отправитель принадлежит к одной из созданных групп, к нему будут применены правила фильтрации, заданные в профиле соответствующей группы. Если отправитель письма не принадлежит ни к одной из групп, для письма будут применены настройки профиля Default. Таким образом, если необходимо, чтобы правило фильтрации применялось ко всем письмам от отправителей, не входящих в группы, создайте его в настройках фильтрации стандартного профиля Default.

Если профиль отправителя не содержит каких-либо ограничений, и письмо проходит дальше, определяется профиль, который следует применять для его дальнейшей обработки в зависимости от адресов получателей. Каждый адрес из списка получателей будет соотнесен со своей группой (будь то группа AD или список адресов), и для каждой из них будет определен соответствующий профиль настроек. Для применения фильтрации будет выбран профиль с наибольшим приоритетом. Таким образом, если необходимо, чтобы определенные ограничения распространялись на созданную группу получателей, то не создавайте правила фильтрации для нее в стандартном профиле Default, а создайте для этой группы отдельный профиль.

В первую очередь каждое письмо обрабатывается транспортным агентом антиспама. На данном этапе применяются правила фильтрации к письму как к целому объекту. Фильтрация осуществляется по количеству отправителей, получателей, теме, числу вложений и т. д. После выполнения фильтрации осуществляется дальнейшая проверка неотфильтрованных писем на спам (см. Схему 1).

Вторым транспортным агентом на пути письма является антивирусный агент. На данном этапе применяются правила фильтрации к письму как к набору файлов, при этом тело письма само рассматривается как файл. Фильтрация осуществляется по размеру файлов, их именам, расширениям и т. д. После выполнения фильтрации осуществляется дальнейшая проверка неотфильтрованных писем на вирусы (см. Схему 1).

Схема 1. Фильтрация писем в транспортной системе

Фильтрация трафика настраивается в разделе настроек профиля Фильтрация (см. Рисунок 8). Работа фильтров определяется набором правил, которые может добавлять администратор. Правила задают условия для фильтрации по основным свойствам сообщений и их вложений.

Если вы работаете с разделом Фильтрация в первый раз, список правил будет пустым. Вы можете создать и настроить правила фильтрации.

1.Включите фильтрацию, установив флажок Включить фильтрацию в верхней части области сведений раздела Фильтрация. При этом, настройки в данном разделе станут доступными.

Правила фильтрации могут применяться как и к отправителю и получателю, так и либо только к отправителю, либо только к получателю.
Например, вы можете создать правило, в котором тема сообщения включает слово «Attention». Если вы установите это правило только для отправителя, то вы не сможете отправлять сообщения со словом «Attention» в теме письма. Если вы установите это правило только для получателя, то вы не сможете получать сообщения со словом «Attention» в теме. Если вы установите это правило для отправителя и для получателя, то вы не сможете ни отправлять, ни получать сообщения со словом «Attention» в теме письма.

2.Включите использование одного или нескольких фильтров из списка, установив соответствующие флажки. Если в списке еще нет фильтров, вы можете их создать.

3.В разделе Параметры вложенных файлов настройте действия для почтовых сообщений c вложениями.

Для сообщений вы можете выбрать одно из следующих действий:

•Добавлять префикс в тему — пропустить сообщение, добавив в его тему префикс, заданный в поле Префикс в теме.

Для вложенных файлов доступны следующие действия:

•Перемещать в карантин — перемещать вложенный файл в карантин.

В поле Префикс в теме вы можете изменить префикс, добавляемый в тему отфильтрованного письма. По умолчанию установлен префикс ***FILTERED***.

В поле Суффикс имени файла вы можете при необходимости изменить суффикс, который добавляется к имени текстового файла, прикрепляемого к отфильтрованному письму. По умолчанию указано значение _filtered.txt.

В поле Содержимое файла вы можете изменить текст, содержащийся в прикрепляемом файле. При редактировании текста вы можете использовать макросы из выпадающего списка Макрос.

1.Нажмите кнопку Добавить под списком правил. Откроется окно Правило фильтрации (см. Рисунок 9), в котором вы можете задать имя правила и его условия.

2.Вы можете добавить одно или несколько условий фильтрации и выбрать одновременное выполнение всех условий или выполнение любого из них. Чтобы добавить новое условие, нажмите кнопку Добавить. В открывшемся окне вы можете выбрать тип условия, указать значение и тип соответствия условия заданному значению. Типы условий, соответствия и возможные значения приведены в таблице ниже:

Тип условия	Тип соответствия	Значение
Тип данных	Равно Не равно	Файл Сообщение
Источник данных	Равно Не равно Включает Не включает Соответствует Не соответствует	Указывается вручную
Адресат данных	Равно Не равно Включает Не включает Соответствует Не соответствует	Указывается вручную
Протокол	Равно Не равно	SMTP MAPI
Число получателей	Равно Не равно Больше Не больше Меньше Не меньше	Указывается вручную
Имя файла	Равно Не равно Включает Не включает Соответствует Не соответствует	Указывается вручную
Размер файла	Равно Не равно Больше Не больше Меньше Не меньше	Указывается вручную (в байтах)
Тема сообщения	Равно Не равно Включает Не включает Соответствует Не соответствует	Указывается вручную
Есть вложение	Равно Не равно	Ложь Правда

Если для какого-либо из условий Источник данных, Адресат данных, Имя файла и Тема сообщения выбран тип соответствия Включает, Не включает, Соответствует или Не соответствует, при указании значения вы можете использовать подстановочные символы «*» и «?» вместо любой последовательности символов или одного любого символа соответственно.

Условие Имя файла позволяет также фильтровать файлы во вложении по расширениям. Например, exe, bat, pif, com, vbs, scr, lnk, ps1, PSD1, PSM1, DOTM, PPSM, POTM, XLTM, XLAM и т. д.

Фильтр нечувствителен к регистру. При указании значения вы можете вводить символы как в верхнем, так и в нижнем регистре.

3.Чтобы удалить или изменить одно из условий, выделите его в списке и нажмите кнопку Удалить или Изменить соответственно.

Рисунок 10. Пример правила фильтрации файлов по размеру

Для фильтрации вложений по имени файла можно использовать правило (см. Рисунок 11), в рамках которого будет выполняться любое из следующих условий:

Тип условия	Тип соответствия	Значение
Имя файла	Включает	*.exe
Имя файла	Включает	*.pdf
Имя файла	Включает	*.doc

Рисунок 11. Пример правила фильтрации файлов по имени

Рисунок 12. Пример правила фильтрации входящих писем по теме

Чтобы изменить или удалить существующее правило фильтрации

1.Выделите его в списке фильтров и нажмите кнопку Изменить или Удалить под списком фильтров.

2.Нажмите кнопку Сохранить, когда закончите изменять настройки фильтрации.

Поскольку в некоторых случаях применение фильтрации может повлиять на работоспособность почтовой системы, рекомендуется выполнить следующие действия:

•добавить исключения в переменную TrustedEmails. Учетные записи для системных ящиков хранятся в Active Directory, а их названия содержат в начале текст «HealthMailbox».

•не создавать фильтров с условием удаления небольших по размерам файлов (менее 1000 байт), чтобы под такие условия не попадали уведомления. Иначе может произойти так называемое «зацикливание», когда уведомление повторно подпадает под действие фильтра.