Wie speichere ich Kopien von Nachrichten, die von meinem Nachrichtenfilter abgeglichen werden?

Frage:

Wie speichere ich Kopien von Nachrichten, die von meinem Nachrichtenfilter abgeglichen werden?

Antwort:

Es gibt mehrere Möglichkeiten, Kopien von Nachrichten zu speichern, die von einem Nachrichtenfilter abgeglichen werden.

Die Aktion Nachrichtenfilter archivieren archiviert eine Kopie der Nachricht in einer Protokolldatei auf der ESA im UNIX-Dateiformat (ein sehr einfaches Textformat).  Nach dem Erstellen kann die Protokolldatei mit dem filters->logconfig  CLI-Befehl gesteuert werden. Protokolldateien können an regulären Grenzen ausgeschnitten und regelmäßig an einen Archivdateiserver übertragen werden. Hier ist ein Beispiel für einen Nachrichtenfilter zur Protokollierung aller eingehenden E-Mails an den Empfänger: alan@exchange.example.com:

Log-Alan-All-Mail:
if (recv-listener == "InboundMail")
and (rcpt-to == "alan@exchange\\.example\\.com") {
  archive("alan-all-mail");
}

In der archivierten Nachricht werden für jeden Umschlagempfänger zusätzliche X-IronPort-RCPT-TO:-Header hinzugefügt (diese können sich von der Content-To:-Header-Zeile unterscheiden). Bitte beachten Sie, dass diese Liste der Umschlagempfänger nicht unbedingt alle vom Absender angegebenen Empfänger enthält. Wenn ein Absender beispielsweise eine bcc-Adresse angibt, kann die sendende MTA diese als separate Nachricht vollständig senden. Im Archivprotokoll sind die Umschlagempfänger der SMTP-Transaktion enthalten, die die Nachricht erstellt hat.

Hinweis: Die Filteraktion für die Archivierungsnachricht ersetzt die Aktion "Protokoll". Nachrichtenfilter, die die vorherigen Namen verwenden, werden automatisch aktualisiert, wenn das System aktualisiert wird.

Eine andere Möglichkeit, Kopien einer Nachricht zu speichern, besteht darin, eine Kopie mit der bcc-Filteraktion zu generieren. Die bcc-Aktion erstellt eine exakte Kopie der Nachricht und sendet sie an den festgelegten Empfänger, der ein Sammlungs-Postfach auf einem Archivserver sein kann. Dabei handelt es sich um eine exakte Kopie des Nachrichteninhalts, jedoch nicht um Umschlagempfänger (die sich von der Kopfzeile "An" unterscheiden können).

Copy-Alan-All-Mail:
if (recv-listener == "InboundMail")
and (rcpt-to == "alan@exchange\\.example\\.com") {
  bcc("sam@exchange.example.com");
}

In beiden obigen Fällen wird die Nachrichtenkopie durch die Filteraktion erstellt und ohne weitere Verarbeitung, die zusätzliche Nachrichtenfilter, Anti-Spam-, Anti-Virus- oder Content-Filter umfasst, zugestellt. Daher kann eine Nachrichtenkopie einen Virus enthalten. 

Es gibt eine neue Filteraktion namens bcc-scan.  Dies kann anstelle von bcc verwendet werden, damit die neue Kopie über die normale E-Mail-Pipeline gescannt wird.  Dies sollte geschehen, um die Wahrscheinlichkeit zu verringern, dass Viren oder Spam in Ihr Netzwerk eindringen.  Hier ein Beispiel:

Copy-Alan-All-Mail:
if (recv-listener == "InboundMail")
and (rcpt-to == "alan@exchange\\.example\\.com") {
  bcc-scan("sam@exchange.example.com");
}

Beachten Sie, dass in den obigen Nachrichtenfiltern das Argument für die Regel "rcpt-to" ein regulärer Ausdruck ist, für den Escapeoperatoren wie "" erforderlich sind.  In den Archiv- oder bcc-Aktionen ist das Argument einfach eine Textzeichenfolge.

Eine sehr kurzfristige Möglichkeit, Nachrichten zu untersuchen, die von einem Filter abgeglichen wurden, besteht in der Verwendung von Systemquarantäne.

Weitere Informationen finden Sie unter

Antwort-ID 87: Wie kann ich einen Nachrichtenfilter oder einen Content-Filter testen und debuggen, bevor ich ihn in die Produktionsumgebung einbinde?