DIESE LÖSUNG DRUCKEN
DIESE LÖSUNG BEWERTENVerwenden von regulären Ausdrücken zum Konfigurieren von Spam-Regeln in Symantec Mail Security für Microsoft Exchange
Dieses Dokument ist eine Übersetzung aus dem Englischen. Möglicherweise wurde die englische Originalversion nach der Übersetzung und Veröffentlichung dieses Dokuments aktualisiert. Symantec übernimmt keine Gewähr für die Richtigkeit hinsichtlich der Vollständigkeit der Übersetzung.
Situation:
Sie möchten Inhaltsfilterregeln erstellen, indem Sie mithilfe von regulären Ausdrücken Spam-Regeln für Symantec Mail Security 4.0.x für Microsoft Exchange, Symantec Mail Security 4.5.x für Microsoft Exchange oder Symantec Mail Security 4.6.x für Microsoft Exchange konfigurieren.
Lösung:
Das Erstellen von Regeln im Rahmen der Filterrichtlinien ermöglicht dem Administrator, mit dem Symantec Exchange-Produkt E-Mails nach Betreff, Absender oder Nachrichtentext zu filtern. Sie können einen Satz von UNIX-basierten regulären Ausdrücken (Zeichen und Symbole) verwenden, um Regeln zu erstellen. Beim Erstellen einer Regel können Sie UNIX-basierte reguläre Ausdrücke verwenden, um Varianten einer Betreffzeile oder eines Absenders zu markieren. UNIX-basierte reguläre Ausdrücke funktionieren nur für die Spam-Regel.
Einige DOS-basierte reguläre Ausdrücke funktionieren nicht für die Spam-Regel. Beachten Sie die entsprechenden Hinweise in der Tabelle. Nur die UNIX-basierten regulären Ausdrücke funktionieren. Die unabhängige Regel für Betreffzeilen (nicht die für das Betreffzeilenfeld erstelle Spam-Regel) kann allein DOS-basierte reguläre Ausdrücke verwenden.
Hinweise:
- Die Inhaltsregel kann weder DOS-basierte noch UNIX-basierte reguläre Ausdrücke verwenden und unterstützt lediglich standardmäßige A-Z- und 0-9-Zeichen.
- Bevor Sie irgendwelche E-Mail-Blockierungsregeln oder Inhaltsfilterregeln in Ihrer Umgebung anwenden, empfiehlt Ihnen Symantec, die möglichen Auswirkungen zu testen, indem Sie die Regel auf "Nur protokollieren" setzen oder indem Sie sie in einer Testumgebung ausprobieren.
Reguläre Ausdrücke
Die Spam-Listen können umfangreiche reguläre Ausdrücke verarbeiten. Bei den Einträgen für die Betreff- und Absenderlisten der Spam-Listeneinstellungen sind reguläre Ausdrücke im UNIX-Format zulässig. Diese sind nicht mit den unter DOS bekannten Platzhalterausdrücken identisch. Unter Verwendung der nachstehend genannten regulären Ausdrücke können Sie nach folgenden Eigenschaften suchen:
- Einer beliebigen Anzahl von Zeichen (.*)
- Einem beliebigen einzelnen Zeichen (.?)
So werden mit der Eingabe ".*spam.?" beispielsweise folgende Zeichenfolgen gefunden: "spam", "bigspam", "spam7", "bigspam7" usw.
Die folgende Tabelle enthält das Symbol, den Namen, die Plattform, eine kurze Beschreibung und ein Beispiel des regulären Ausdrucks:
| Symbol | Name | Plattform | Beschreibung | Beispiel |
| ^ | Must start with. | Nur UNIX | Die Zeile muss mit folgendem Zeichen beginnen: ^ | ^heute entspricht jeder Zeichenfolge, die mit dem Wort "heute" beginnt. Beispiel: Heute Geld sparen! |
| $ | Must end with. | Nur UNIX | Die Zeile muss mit folgendem Zeichen enden: $ | kaufen$ entspricht jeder Zeichenfolge, die mit dem Wort "kaufen" endet. Beispiel: Heute kaufen |
| . | Match all characters for the given position. | Nur UNIX | Entspricht einem beliebigen Zeichen, wo der Punkt ist. | l..k entspricht "link", "look", "lank", "lark", "lo k", "l k", "l33k" usw., jedoch nicht "latchbock". |
| ? | 0 or 1 instance of a character. | UNIX | Entspricht keinem oder einem Auftreten des Zeichens links vom Fragezeichen. | lo?k entspricht "lok" oder "lk", jedoch nicht "lock", "look" oder "loooook". |
| ? | Match all characters at this position | DOS | Platzhalter für ein beliebiges Zeichen in der aktuellen Position. | lo?k entspricht "look", "lock", "lork", "lo1k" usw., jedoch nicht "lok". |
| * | 0 or more instances of a character. | UNIX | Entspricht keinem oder mehrmaligem Auftreten des Zeichens links vom Sternchen. | a*k entspricht "k", "ak", "aaaak", "aaaaaaaaaaaaaaaak" usw., jedoch nicht "ack" oder "ik." Hinweis: Um einen "Match-all"-Ausdruck ähnlich der DOS-Entsrpechung von "*" einzugeben, müssten Sie ".*" eingeben, um keinem oder mehrmaligem Auftreten eines Zeichens zu entsprechen. |
| * | Match all. | DOS | Platzhalter für eine Zeichenfolge von beliebiger Länge. | *k entspricht "k", "lock", "pack", "network", "overwork" usw. |
| + | 1 or more instances of a character. | Nur UNIX | Entspricht einem oder mehrmaligem Auftreten des Zeichens links vom Pluszeichen. | b+e entspricht "be", "bbe", "bbbbbbbbe" use., jedoch nicht "brie" "bee" oder "e". |
| [ ] | Match only the characters listed within the brackets. | Nur UNIX | Prüft auf Übereinstimmung mit den Zeichen innerhalb der Klammer. Alle Symbole in den Klammern sind für Sie implizit als Escape-Zeichen angegeben, mit Ausnahme des Zeichens "^" (Groß-/Kleinschreibung) | [bhmy]e entspricht "be", "he", "me", "ye", "mye", "bye", "hbmye" usw., jedoch nicht "humble" oder "e". |
| [^] | Match all characters except the ones listed within the brackets. | Nur UNIX | Prüft auf Übereinstimmung mit allen Zeichen, außer mit den Zeichen innerhalb der Klammer. Alle Symbole in den Klammern sind für Sie implizit als Escape-Zeichen angegeben, mit Ausnahme des Zeichens "^" (Groß-/Kleinschreibung) | be[^s]t entspricht "belt", "beat", "bert", "beAt", "be4t", "beSt", jedoch nicht "best". |
| ( ) | Override Precedence | Nur UNIX | Überschreibt die Priorität der Symbole der regulären Ausdrücke. | Durch((\$.*!)|(!.*\$)) werden z. B. drei separate Anweisungen berücksichtigt, bevor die Formel auf eine Zeichenfolge angewendet wird. (\$.*!) - ".*" Alles zwischen einem "\$"-Dollarzeichen und einem "!"-Ausrufezeichen. (!.*\$) - ".*" Alles zwischen einem "!"-Ausrufezeichen und einem "\$"-Dollarzeichen. (...|...) - Entweder Abschnitt 1 "|" oder Abschnitt 2 Die Zeichenfolgen "$Free money today!" und "!Unbelievable offer$" würden also gefiltert, nicht jedoch "Important message!" oder "Time to think about the $". |
| | | OR | Nur UNIX | Zeichenfolge muss entweder dem Ausdruck links oder dem Ausdruck rechts neben dem Pipe-Zeichen entsprechen, damit der Ausdruck wahr ist. | dies|das entspricht jeder Zeichenfolge, die das Wort "dies" oder "das" enthält. |
| \ | Escape | Nur UNIX | Steht vor dem Symbol, so dass das eigentliche Symbol und nicht die Bedeutung für den Ausdruck verwendet wird. ("\$" bedeutet z. B., dass "$" verwendet werden soll, nicht die gesamte Zeichenfolge vor dem Zeichen "$") | free\$ entspricht "free$" überall in der Zeichenfolge, jedoch muss "free" nicht das letzte Wort in der Zeichenfolge sein. |
| \s | space | UNIX | Wird in den Ausdruck gesetzt, wenn ein Leerzeichen benötigt wird. | Der Text "RE\s[ " in einem Ausdruck blockiert RE [ durch eine Escape-Sequenz vor "[" |
Hinweis: Reguläre Ausdrücke sind der Standard bei der Verwendung des Felds "Textwert", Sie können jedoch beim Konfigurieren einer Begriffsliste auswählen, ob Sie reguläre Ausdrücke, DOS-Platzhalter oder literale Zeichenketten verwenden.
Priorität bei Ausdrücken
Wenn Sie reguläre Ausdrücke in einer Spam-Regel verwenden, verläuft die Rangfolge der Symbole für reguläre Ausdrücke von der höchsten zur niedrigsten Priorität. Die folgende Liste ist nach Rangfolge von der höchsten zur niedrigsten Priorität geordnet:
( ) Precedence override
| OR
[ ] List
\ Escape
^ Start with
$ End with
. Match position
? Zero or one instance
* Zero or more instances
+ One or more instances
Beispiele für kombinierte reguläre Ausdrücke
Folgendes sind nur einige Beispiele dafür, was mit regulären Ausdrücken erreicht werden kann:
Hinweis: Symantec empfiehlt Ihnen nachdrücklich, reguläre Ausdrücke zuerst in einer Testumgebung zu testen oder die Spam-Regel so zu konfigurieren, dass nur protokolliert wird, so dass keine gültigen E-Mails blockiert oder gelöscht werden.
- Sie wurden in der letzten Zeit mit E-Mails überflutet, die die gleichen Wörter in verschiedenen Positionen in der Betreffzeile enthalten. Sie möchten jedoch keine zu allgemeine Regel erstellen, durch die möglicherweise gültige E-Mails blockiert werden könnten.
Beispiel: Drei separate E-Mails mit folgenden Betreffzeilen: "BadItem thinks you need to need this BadThing", "Wouldn't a BadItem Badthing benefit your life" und "Badthing from BadItem is waiting for you today".
Um alle E-Mails zu blockieren, die die Wörter "BadItem" und "BadThing" in derselben Betreffzeile enthalten, erstellen Sie eine Regel mit z. B. folgenden regulären Ausdrücken:
((badthing.*baditem)|(baditem.*badthing))
Dies bedeutet, dass jede Zeichenfolge, die die beiden Wörter "BadThing" und "BadItem" enthält, von SMS für Exchange gefiltert und blockiert wird.
- Sie haben zahlreiche E-Mails, die am Anfang einer Betreffzeile ein statisches Wort mit einem variablen Suffix enthalten. Beispiel: free, freed, freer, freeing, freeforyouall, freeforall.
Beispiele für Betreffzeilen: "Free calling cards", "Freeforall on unused domain names" oder "Freeing up time for you to get more spam".
Um alle E-Mails mit Betreffzeilen zu blockieren, die mit einer Variante des Worts "free" beginnen, erstellen Sie einen regulären Ausdruck mit folgendem Kontext:
^free.*
Hierdurch werden alle E-Mails blockiert, die mit dem Wort "free" oder mit einem Wort beginnen, das mit "free" anfängt.
WARNUNG: Der obige Ausdruck blockiert auch E-Mails, deren Betreffzeilen mit etwa einem der folgenden Wörter beginnen: freedom, freeze, freelance und freehand.
- Sie sind sicher, dass Sie ein bestimmtes Wort blockieren möchten, aber Sie möchten keine Wörter blockieren, die dieses Wort enthalten.
Beispiele für Betreffzeilen: Sie möchten das Wort "rat" blockieren, aber Sie möchten keine Wörter wie etwa "crater", "rate", "fraternity" oder "operation" blockieren.
Um das Wort "rat" zu blockieren, ohne dass E-Mails mit gültigen Wörtern, die "rat" enthalten, blockiert werden, erstellen Sie einen regulären Ausdruck mit dem folgenden Kontext:
(^rat .*)|(.* rat .*)|(.* rat$) oder (^rat[].*)|(.*[]rat[].*)|(.*[]rat$)
Hinweis: Die obigen Ausdrücke enthalten ein zusätzliches Leerzeichen zwischen den Klammern. Der Ausdruck (^rat[ ] .*) besteht z. b. aus den Zeichen "linke Klammer", "Caret-Zeichen", "rat", "linke eckige Klammer", "Leerzeichen", "rechte eckige Klammer", "Punkt", "Sternchen", "rechte Klammer".
- Sie erhalten E-Mailsvon anderen Absendern, die entweder eine einzige Domäne oder Unterdomänen von einer bestimmten Quelldomäne enthalten. Beispiele für Absender: johndoe@spamdomain.bad, johndoe@realbad.spamdomain.bad oder johndoe@more.email.real.bad.spamdomain.bad.
Um alle E-Mails von einer bestimmten Domäne, einschließlich jeglicher Unterdomänen, zu blockieren, erstellen Sie einen regulären Ausdruck mit folgendem Kontext:
.*baddomain\.bad Für Domänen mit nur einer Ebene
.*baddomain\.subdomain\.bad Für Domänen mit mehreren Ebenen
Hierdurch werden nicht nur alle Absender von der Quelldomäne, sondern auch alle Absender von Unterdomänen dieser Domäne blockiert.
Probleme und Einschränkungen bei Spam-Listen
Beim Erstellen von Spam-Listen gibt es einige Probleme und Einschränkungen:
- DBCS-Zeichen werden in den Spam-Listen zur Filterung von Absendern und Betreffzeilen nicht unterstützt.
- In den Listen ist es nicht zulässig, einen Ausdruck mit "*" oder "?" zu beginnen, da der Spam-Filter dies nach ".*" oder ".?" auflöst.
- Es gibt bestimmte Kombinationen von regulären Ausdrücken, die ungültig sind. Nicht unterstützte Kombinationen werden nach dem Speichern und erneuten Laden der Seite von der Liste gelöscht.
- Geben Sie Acht, dass Sie keine Regeln erstellen, durch die alle möglichen gültigen Mails als Spam herausgefiltert werden. Symantec empfiehlt Ihnen, die Spam-Regeln mit Vorsicht zu ändern und immer zuerst in einer Testumgebung zu testen. Symantec empfiehlt im Allgemeinen, folgende Arten von Richtlinieneinstellungen zu vermeiden:
- Grenzwerte für Anhangsgrößen, die so gering sind, dass praktisch bei jedem Anhang bzw. bei jedem Anhangstext eine Regelverletzung ausgelöst wird
- Betreffzeilenregeln, die zu breit gefasst sind oder bei Benachrichtigungen ausgelöst werden
- Anhangsnamenregeln, die zu breit gefasst sind oder bei Dateinamen für Ersatztexte ausgelöst werden
- Spam-Listeneinträge, die zu breit gefasst sind oder bei Benachrichtigungen ausgelöst werden
- zu niedrige Grenzwerte für Inhaltsfilter oder Worteinträge im Inhaltswörterbuch, die zu häufig vorkommen
- Aufgrund von VSAPI-Einschränkungen funktioniert die Domänenblockierung nicht in allen Fällen. Weitere Informationen erhalten Sie im englischsprachigen Dokument Known General Scan and VSAPI issues in Symantec AntiVirus/Filtering 3.0 for Microsoft Exchange.
Weiterführende Links
Englische Version dieses Dokuments
Klicken Sie hier, um die englische Version dieses Dokuments anzuzeigen.
Hinweis: Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.
Dokument ID: 20040809122306964
Zuletzt bearbeitet: 04/07/2005
Erstellungsdatum: 08/09/2004
Betriebssystem: Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server, Exchange 2000 Standard Edition, Exchange 2000 Enterprise Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition, Exchange 2003 Standard Edition, Exchange 2003 Enterprise Edition
Produktbezeichnung: Symantec Mail Security 4.0 for Microsoft Exchange, Symantec Mail Security 4.5 for Microsoft Exchange, Symantec Mail Security 4.6 for Microsoft Exchange