Verwenden von regulären Ausdrücken zum Konfigurieren von Spam-Regeln in Symantec Mail Security für Microsoft Exchange

Close X

Dieses Dokument ist eine Übersetzung aus dem Englischen. Es handelt sich hierbei eventuell um eine Maschinenübersetzung. An der englischen Originalversion wurden möglicherweise nach Veröffentlichung dieser Übersetzung Änderungen vorgenommen, die das übersetzte Dokument ggf. noch nicht enthält. Symantec übernimmt keine Gewähr für die Richtigkeit oder Vollständigkeit der Übersetzung. Ziehen Sie die englische Version dieses Supportdatenbankartikels hinzu, um die neuesten Informationen im Original zu erhalten.

Artikel:TECH81763  |  Erstellt: 2004-01-09  |  Aktualisiert: 2005-01-07  |  Artikel-URL http://www.symantec.com/docs/TECH81763
Artikeltyp
Technical Solution

Plattform

Problem



Sie möchten Inhaltsfilterregeln erstellen, indem Sie mithilfe von regulären Ausdrücken Spam-Regeln für Symantec Mail Security 4.0.x für Microsoft Exchange, Symantec Mail Security 4.5.x für Microsoft Exchange oder Symantec Mail Security 4.6.x für Microsoft Exchange konfigurieren.


Solution



Das Erstellen von Regeln im Rahmen der Filterrichtlinien ermöglicht dem Administrator, mit dem Symantec Exchange-Produkt E-Mails nach Betreff, Absender oder Nachrichtentext zu filtern. Sie können einen Satz von UNIX-basierten regulären Ausdrücken (Zeichen und Symbole) verwenden, um Regeln zu erstellen. Beim Erstellen einer Regel können Sie UNIX-basierte reguläre Ausdrücke verwenden, um Varianten einer Betreffzeile oder eines Absenders zu markieren. UNIX-basierte reguläre Ausdrücke funktionieren nur für die Spam-Regel.

Einige DOS-basierte reguläre Ausdrücke funktionieren nicht für die Spam-Regel. Beachten Sie die entsprechenden Hinweise in der Tabelle. Nur die UNIX-basierten regulären Ausdrücke funktionieren. Die unabhängige Regel für Betreffzeilen (nicht die für das Betreffzeilenfeld erstelle Spam-Regel) kann allein DOS-basierte reguläre Ausdrücke verwenden.

Hinweise:
  • Die Inhaltsregel kann weder DOS-basierte noch UNIX-basierte reguläre Ausdrücke verwenden und unterstützt lediglich standardmäßige A-Z- und 0-9-Zeichen.
  • Bevor Sie irgendwelche E-Mail-Blockierungsregeln oder Inhaltsfilterregeln in Ihrer Umgebung anwenden, empfiehlt Ihnen Symantec, die möglichen Auswirkungen zu testen, indem Sie die Regel auf "Nur protokollieren" setzen oder indem Sie sie in einer Testumgebung ausprobieren.


Reguläre Ausdrücke
Die Spam-Listen können umfangreiche reguläre Ausdrücke verarbeiten. Bei den Einträgen für die Betreff- und Absenderlisten der Spam-Listeneinstellungen sind reguläre Ausdrücke im UNIX-Format zulässig. Diese sind nicht mit den unter DOS bekannten Platzhalterausdrücken identisch. Unter Verwendung der nachstehend genannten regulären Ausdrücke können Sie nach folgenden Eigenschaften suchen:
  • Einer beliebigen Anzahl von Zeichen (.*)
  • Einem beliebigen einzelnen Zeichen (.?)

So werden mit der Eingabe ".*spam.?" beispielsweise folgende Zeichenfolgen gefunden: "spam", "bigspam", "spam7", "bigspam7" usw.

Die folgende Tabelle enthält das Symbol, den Namen, die Plattform, eine kurze Beschreibung und ein Beispiel des regulären Ausdrucks:

SymbolNamePlattformBeschreibungBeispiel
^Must start with.Nur UNIXDie Zeile muss mit folgendem Zeichen beginnen: ^^heute entspricht jeder Zeichenfolge, die mit dem Wort "heute" beginnt. Beispiel: Heute Geld sparen!
$Must end with.Nur UNIXDie Zeile muss mit folgendem Zeichen enden: $kaufen$ entspricht jeder Zeichenfolge, die mit dem Wort "kaufen" endet. Beispiel: Heute kaufen
.Match all characters for the given position.Nur UNIXEntspricht einem beliebigen Zeichen, wo der Punkt ist.l..k entspricht "link", "look", "lank", "lark", "lo k", "l k", "l33k" usw., jedoch nicht "latchbock".
?0 or 1 instance of a character.UNIXEntspricht keinem oder einem Auftreten des Zeichens links vom Fragezeichen.lo?k entspricht "lok" oder "lk", jedoch nicht "lock", "look" oder "loooook".
?Match all characters at this positionDOSPlatzhalter für ein beliebiges Zeichen in der aktuellen Position.lo?k entspricht "look", "lock", "lork", "lo1k" usw., jedoch nicht "lok".
*0 or more instances of a character.UNIXEntspricht keinem oder mehrmaligem Auftreten des Zeichens links vom Sternchen.a*k entspricht "k", "ak", "aaaak", "aaaaaaaaaaaaaaaak" usw., jedoch nicht "ack" oder "ik."

Hinweis: Um einen "Match-all"-Ausdruck ähnlich der DOS-Entsrpechung von "*" einzugeben, müssten Sie ".*" eingeben, um keinem oder mehrmaligem Auftreten eines Zeichens zu entsprechen.
*Match all.DOSPlatzhalter für eine Zeichenfolge von beliebiger Länge.*k entspricht "k", "lock", "pack", "network", "overwork" usw.
+1 or more instances of a character.Nur UNIXEntspricht einem oder mehrmaligem Auftreten des Zeichens links vom Pluszeichen.b+e entspricht "be", "bbe", "bbbbbbbbe" use., jedoch nicht "brie" "bee" oder "e".
[ ]Match only the characters listed within the brackets.Nur UNIXPrüft auf Übereinstimmung mit den Zeichen innerhalb der Klammer. Alle Symbole in den Klammern sind für Sie implizit als Escape-Zeichen angegeben, mit Ausnahme des Zeichens "^" (Groß-/Kleinschreibung)[bhmy]e entspricht "be", "he", "me", "ye", "mye", "bye", "hbmye" usw., jedoch nicht "humble" oder "e".
[^]Match all characters except the ones listed within the brackets.Nur UNIXPrüft auf Übereinstimmung mit allen Zeichen, außer mit den Zeichen innerhalb der Klammer. Alle Symbole in den Klammern sind für Sie implizit als Escape-Zeichen angegeben, mit Ausnahme des Zeichens "^" (Groß-/Kleinschreibung)be[^s]t entspricht "belt", "beat", "bert", "beAt", "be4t", "beSt", jedoch nicht "best".
( )Override PrecedenceNur UNIXÜberschreibt die Priorität der Symbole der regulären Ausdrücke.Durch((\$.*!)|(!.*\$)) werden z. B. drei separate Anweisungen berücksichtigt, bevor die Formel auf eine Zeichenfolge angewendet wird.

(\$.*!) - ".*" Alles zwischen einem "\$"-Dollarzeichen und einem "!"-Ausrufezeichen.

(!.*\$) -  ".*" Alles zwischen einem "!"-Ausrufezeichen und einem "\$"-Dollarzeichen.

(...|...) - Entweder Abschnitt 1 "|" oder Abschnitt 2

Die Zeichenfolgen "$Free money today!" und "!Unbelievable offer$" würden also gefiltert, nicht jedoch "Important message!" oder "Time to think about the $".
|ORNur UNIXZeichenfolge muss entweder dem Ausdruck links oder dem Ausdruck rechts neben dem Pipe-Zeichen entsprechen, damit der Ausdruck wahr ist. dies|das entspricht jeder Zeichenfolge, die das Wort "dies" oder "das" enthält.
\EscapeNur UNIXSteht vor dem Symbol, so dass das eigentliche Symbol und nicht die Bedeutung für den Ausdruck verwendet wird. ("\$" bedeutet z. B., dass "$" verwendet werden soll, nicht die gesamte Zeichenfolge vor dem Zeichen "$")free\$ entspricht "free$" überall in der Zeichenfolge, jedoch muss "free" nicht das letzte Wort in der Zeichenfolge sein.
\s space UNIXWird in den Ausdruck gesetzt, wenn ein Leerzeichen benötigt wird.Der Text "RE\s[ " in einem Ausdruck blockiert RE [ durch eine Escape-Sequenz vor "["



Hinweis: Reguläre Ausdrücke sind der Standard bei der Verwendung des Felds "Textwert", Sie können jedoch beim Konfigurieren einer Begriffsliste auswählen, ob Sie reguläre Ausdrücke, DOS-Platzhalter oder literale Zeichenketten verwenden.

Priorität bei Ausdrücken
Wenn Sie reguläre Ausdrücke in einer Spam-Regel verwenden, verläuft die Rangfolge der Symbole für reguläre Ausdrücke von der höchsten zur niedrigsten Priorität. Die folgende Liste ist nach Rangfolge von der höchsten zur niedrigsten Priorität geordnet:
( ) Precedence override
| OR
[ ] List
\ Escape
^ Start with
$ End with
. Match position
? Zero or one instance
* Zero or more instances
+ One or more instances


Beispiele für kombinierte reguläre Ausdrücke
Folgendes sind nur einige Beispiele dafür, was mit regulären Ausdrücken erreicht werden kann:

Hinweis: Symantec empfiehlt Ihnen nachdrücklich, reguläre Ausdrücke zuerst in einer Testumgebung zu testen oder die Spam-Regel so zu konfigurieren, dass nur protokolliert wird, so dass keine gültigen E-Mails blockiert oder gelöscht werden.
  • Sie wurden in der letzten Zeit mit E-Mails überflutet, die die gleichen Wörter in verschiedenen Positionen in der Betreffzeile enthalten. Sie möchten jedoch keine zu allgemeine Regel erstellen, durch die möglicherweise gültige E-Mails blockiert werden könnten.

    Beispiel: Drei separate E-Mails mit folgenden Betreffzeilen: "BadItem thinks you need to need this BadThing", "Wouldn't a BadItem Badthing benefit your life" und "Badthing from BadItem is waiting for you today".

    Um alle E-Mails zu blockieren, die die Wörter "BadItem" und "BadThing" in derselben Betreffzeile enthalten, erstellen Sie eine Regel mit z. B. folgenden regulären Ausdrücken:

    ((badthing.*baditem)|(baditem.*badthing))

    Dies bedeutet, dass jede Zeichenfolge, die die beiden Wörter "BadThing" und "BadItem" enthält, von SMS für Exchange gefiltert und blockiert wird.
  • Sie haben zahlreiche E-Mails, die am Anfang einer Betreffzeile ein statisches Wort mit einem variablen Suffix enthalten. Beispiel: free, freed, freer, freeing, freeforyouall, freeforall.
    Beispiele für Betreffzeilen: "Free calling cards", "Freeforall on unused domain names" oder "Freeing up time for you to get more spam".

    Um alle E-Mails mit Betreffzeilen zu blockieren, die mit einer Variante des Worts "free" beginnen, erstellen Sie einen regulären Ausdruck mit folgendem Kontext:

    ^free.*

    Hierdurch werden alle E-Mails blockiert, die mit dem Wort "free" oder mit einem Wort beginnen, das mit "free" anfängt.


    WARNUNG: Der obige Ausdruck blockiert auch E-Mails, deren Betreffzeilen mit etwa einem der folgenden Wörter beginnen: freedom, freeze, freelance und freehand.
  • Sie sind sicher, dass Sie ein bestimmtes Wort blockieren möchten, aber Sie möchten keine Wörter blockieren, die dieses Wort enthalten.

    Beispiele für Betreffzeilen: Sie möchten das Wort "rat" blockieren, aber Sie möchten keine Wörter wie etwa "crater", "rate", "fraternity" oder "operation" blockieren.

    Um das Wort "rat" zu blockieren, ohne dass E-Mails mit gültigen Wörtern, die "rat" enthalten, blockiert werden, erstellen Sie einen regulären Ausdruck mit dem folgenden Kontext:

    (^rat .*)|(.* rat .*)|(.* rat$) oder (^rat[].*)|(.*[]rat[].*)|(.*[]rat$)


    Hinweis: Die obigen Ausdrücke enthalten ein zusätzliches Leerzeichen zwischen den Klammern. Der Ausdruck (^rat[ ] .*) besteht z. b. aus den Zeichen "linke Klammer", "Caret-Zeichen", "rat", "linke eckige Klammer", "Leerzeichen", "rechte eckige Klammer", "Punkt", "Sternchen", "rechte Klammer".

  • Sie erhalten E-Mailsvon anderen Absendern, die entweder eine einzige Domäne oder Unterdomänen von einer bestimmten Quelldomäne enthalten. Beispiele für Absender: johndoe@spamdomain.bad, johndoe@realbad.spamdomain.bad oder johndoe@more.email.real.bad.spamdomain.bad.

    Um alle E-Mails von einer bestimmten Domäne, einschließlich jeglicher Unterdomänen, zu blockieren, erstellen Sie einen regulären Ausdruck mit folgendem Kontext:

    .*baddomain\.bad   Für Domänen mit nur einer Ebene
    .*baddomain\.subdomain\.bad Für Domänen mit mehreren Ebenen

    Hierdurch werden nicht nur alle Absender von der Quelldomäne, sondern auch alle Absender von Unterdomänen dieser Domäne blockiert.


Probleme und Einschränkungen bei Spam-Listen
Beim Erstellen von Spam-Listen gibt es einige Probleme und Einschränkungen:
  • DBCS-Zeichen werden in den Spam-Listen zur Filterung von Absendern und Betreffzeilen nicht unterstützt.
  • In den Listen ist es nicht zulässig, einen Ausdruck mit "*" oder "?" zu beginnen, da der Spam-Filter dies nach ".*" oder ".?" auflöst.
  • Es gibt bestimmte Kombinationen von regulären Ausdrücken, die ungültig sind. Nicht unterstützte Kombinationen werden nach dem Speichern und erneuten Laden der Seite von der Liste gelöscht.
  • Geben Sie Acht, dass Sie keine Regeln erstellen, durch die alle möglichen gültigen Mails als Spam herausgefiltert werden. Symantec empfiehlt Ihnen, die Spam-Regeln mit Vorsicht zu ändern und immer zuerst in einer Testumgebung zu testen. Symantec empfiehlt im Allgemeinen, folgende Arten von Richtlinieneinstellungen zu vermeiden:
    • Grenzwerte für Anhangsgrößen, die so gering sind, dass praktisch bei jedem Anhang bzw. bei jedem Anhangstext eine Regelverletzung ausgelöst wird
    • Betreffzeilenregeln, die zu breit gefasst sind oder bei Benachrichtigungen ausgelöst werden
    • Anhangsnamenregeln, die zu breit gefasst sind oder bei Dateinamen für Ersatztexte ausgelöst werden
    • Spam-Listeneinträge, die zu breit gefasst sind oder bei Benachrichtigungen ausgelöst werden
    • zu niedrige Grenzwerte für Inhaltsfilter oder Worteinträge im Inhaltswörterbuch, die zu häufig vorkommen
  • Aufgrund von VSAPI-Einschränkungen funktioniert die Domänenblockierung nicht in allen Fällen. Weitere Informationen erhalten Sie im englischsprachigen Dokument Known General Scan and VSAPI issues in Symantec AntiVirus/Filtering 3.0 for Microsoft Exchange.



References
Englische Version dieses Dokuments


Klicken Sie hier, um die englische Version dieses Dokuments anzuzeigen.


Hinweis: Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.






Legacy ID



20040809122306964


Artikel-URL http://www.symantec.com/docs/TECH81763


Nutzungsbedingungen für diese Informationen finden Sie unter Rechtliche Hinweise