Expressions régulières à utiliser pour définir des règles de spam dans Symantec Mail Security pour Microsoft Exchange

Close X

Le présent document est une traduction d'un document en anglais qui peut avoir été effectuée entièrement par traduction automatique. Des mises à jour ont pu avoir été apportées à la version originale en anglais après la réalisation de cette traduction, c'est pourquoi il est possible que ces mises à jour n'apparaissent pas dans le présent document. Symantec ne garantit ni l'exactitude, ni l'exhaustivité de la présente traduction. Pour obtenir des informations plus récentes, vous pouvez vous référer à la version anglaise d'origine de cet article de la base de données.

Article:TECH81763  |  Créé le: 2004-01-07  |  Mis à jour: 2005-01-14  |  URL de l'article http://www.symantec.com/docs/TECH81763
Type d'article
Technical Solution

Environnement

Problem



Vous souhaitez créer des règles de filtrage de contenu en utilisant des expressions régulières pour définir des règles de spam dans Symantec Mail Security 4.0 pour Microsoft Exchange, Symantec Mail Security 4.5.x ou Symantec Mail Security 4.6.x pour Microsoft Exchange.


Solution



La création de règles sous "Filter Policy" permet à l'administrateur de filtrer par objet, expéditeur ou corps du message dans Symantec pour Exchange. Vous pouvez utiliser un ensemble d'expressions régulières sous UNIX (caractères et symboles) pour créer des règles. Lors de la création d'une règle, vous pouvez utiliser des expressions régulières sous UNIX afin de signaler les variantes de l'objet d'un message ou de son expéditeur. Les expressions régulières sous UNIX ne fonctionnent que pour la "Spam Rule".

Certaines expressions régulières sous DOS, comme indiqué dans le tableau ci-dessous, ne fonctionneront pas pour la "Spam Rule". Seules les expressions régulières sous UNIX fonctionneront. La règle "independent Subject Line" (et non pas les règles de spam créées pour le champ Objet) peut n'utiliser que les expressions régulières sous DOS.


Remarques :
  • La "Content Rule" ne peut pas utiliser les expressions régulières sous DOS ou UNIX et ne prend en charge que les caractères standard A-Z 0-9.
  • Avant d'appliquer les règles à votre environnement pour le blocage de courrier électronique ou le filtrage de contenu, Symantec vous invite à tester leurs effets potentiels en configurant la règle sur "Log Only", ou en effectuant les tests dans un autre environnement que celui de production.


Expressions régulières
Les listes de spam peuvent gérer des expressions régulières puissantes. Les entrées des paramètres pour "Spam List" (liste d'objets et d'expéditeurs) utilisent les expressions régulières de style UNIX. Celle-ci sont différentes des caractères génériques ("joker") de style DOS. En utilisant les expressions régulières suivantes, vous pouvez faire correspondre :
  • Un nombre quelconque de caractères (.*)
  • Tout caractère unique (.?)

Par exemple, l'expression régulière .*spam.? correspond à spam, bigspam, spam7 et bigspam7.

Le tableau suivant propose pour les expressions régulières le symbole, le nom, la plate-forme, une description succincte, ainsi qu'un exemple :

SymboleNomPlate-formeDescriptionExemple
^Doit commencer par.UNIX
uniquement
La ligne doit commencer par : ^^free trouve toutes les chaînes qui commencent par "free". Par exemple : Free money today!
$Doit terminer par.UNIX
uniquement
La ligne doit terminer par ce qui précède le symbole : $today$ trouve toutes les chaînes qui terminent par "today." Par exemple : Buy it today
.Trouver tous les caractères en fonction de la position donnée.UNIX
uniquement
Trouver tous les caractères en fonction de la position du point.l..k trouve "link", "look", "lank", "lark", "lo k", "l k", "l33k", etc., mais pas "latchbock".
?0 ou 1 occurrence d'un caractère.UNIX Trouve 0 ou 1 occurrence du caractère situé immédiatement à gauche du point d'interrogation.lo?k trouve "lok" ou "lk", mais pas "lock", "look" ou "loooook".
?Trouver tous les caractères à cet emplacement.DOSTrouver tous les caractères à cet emplacement uniquement.lo?k trouve "look", "lock", "lork", "lo1k", etc., mais pas "lok".
*0 ou plusieurs occurrences d'un caractère.UNIX Trouve 0 ou plusieurs occurrences du caractère situé immédiatement à gauche de l'astérisque.a*k trouve "k", "ak", "aaaak", "aaaaaaaaaaaaaaaak", etc., mais pas "ack" ou "ik."

Remarque : Pour entrer un "catch-all" (tout trouver) semblable à l'équivalent DOS de "*," vous devez saisir ".* " afin de trouver 0 ou plusieurs occurrences d'un caractère.
*Tout trouver.DOSTrouver tous les caractères peu importe la longueur.*k trouve "k", "lock", "pack", "network", "overwork", etc.
+1 ou plusieurs occurrences d'un caractère.UNIX
uniquement
Trouve 1 ou plusieurs occurrences du caractère situé immédiatement à gauche du signe plus.b+e trouve "be", "bbe", "bbbbbbbbe", etc., mais ne trouverait pas "brie" "bee", ou "e".
[ ]Trouver les caractères entre parenthèses uniquement.UNIX
uniquement
Trouver les caractères entre parenthèses uniquement. Seuls les symboles entre parenthèses sont considérés dans l'expression. Sauf "^". (Sensible à la casse)[bhmy]e trouve "be", "he", "me", "ye", "mye", "bye", "hbmye", etc., mais pas "humble" ou "e".
[^]Trouver tous les caractères sauf ceux entre parenthèses.UNIX
uniquement
Trouver tous les caractères sauf ceux entre parenthèses. Seuls les symboles entre parenthèses sont considérés dans l'expression. Sauf "^". (Sensible à la casse)be[^s]t trouve "belt", "beat", "bert", "beAt", "be4t", "beSt", mais pas "best".
( )Ordre de priorité.UNIX
uniquement
Utilisé pour établir un ordre de priorité des symboles des expressions régulières((\$.*!)|(!.*\$)) Indiquerait trois instructions différentes à prendre en compte avant de réaliser l'équation appliquée à une chaîne.

(\$.*!) - ".*" Tout ce qui se trouve entre un signe dollar "\$" et un point d'exclamation "!".

(!.*\$) -  ".*" Tout ce qui se trouve entre un point d'exclamation "!" et le signe dollar "\$".

(...|...) - Soit la section 1 "|", soit la section 2

"$Free money today!" et "!Unbelievable offer$" seraient donc identifiés, mais pas "Important message!" ou "Time to think about the $."
|ORUNIX
uniquement
Soit l'expression à gauche du symbole, soit l'expression à droite du symbole doivent correspondre pour vérifier l'expression.this|that trouve toutes les chaînes contenant les mots "this" ou "that."
\EscapeUNIX
uniquement
Placé devant le symbole de sorte que la valeur littérale soit utilisée et non le sens de l'expression. (Autrement dit, \$ signifie utiliser le signe $ ne pas trouver ce qui précède $)free\$ trouve "free$" quelle que soit la position dans la chaîne, mais n'exige pas que "free" soit le dernier mot dans la chaîne.
\s espace UNIXPlacé dans l’expression lorsqu’un espace est nécessaire.Le texte "RE\s\[ " dans une expression bloque RE [ avec une séquence d’échappement avant "["


Remarque : Les expressions régulières sont utilisées par défaut lors de l'utilisation du champ "Text value", mais il existe une option permettant d'utiliser les expressions régulières, les caractères génériques ("joker") de DOS, ou les chaînes littérales lors de la configuration d'une "Match List".

Priorité des expressions
Lors de l'utilisation d'expressions régulières dans une règle de spam, l'ordre de priorité des symboles des expressions régulières est du plus important au moins important. La liste suivante est proposée par ordre de priorité, du plus important au moins important :
( ) Priorité
| OR
[ ] Liste
\ Escape
^ Débute par
$ Finit par
. Position de la correspondance
? Zéro ou une occurrence
* Zéro ou plusieurs occurrences
+ Une ou plusieurs occurrences


Exemples d'expressions régulières combinées
Voici quelques exemples illustrant la puissance des expressions régulières :

Remarque : Symantec recommande vivement de réaliser des tests dans un environnement autre que celui de production, ou de configurer la "Spam rule" sur "log only", afin de ne pas bloquer ou supprimer du courrier électronique valide.
  • Vous avez récemment été inondé de courrier électronique dont le champ Objet comportait des termes similaires mais dans un ordre différent, mais vous ne voulez pas définir une règle trop large qui pourrait bloquer du courrier électronique valide.

    Exemple : Trois courriers électroniques différents avec pour objet : "BadItem thinks you need to need this BadThing", "Wouldn't a BadItem Badthing benefit your life" et "Badthing from BadItem is waiting for you today."

    Pour bloquer tout le courrier électronique comportant à la fois "BadItem" et "BadThing" dans l'objet, utilisez une règle avec des expressions régulières du type :

    ((badthing.*baditem)|(baditem.*badthing))

    Ainsi, toute chaîne comportant à la fois les mots "BadThing" et "BadItem" serait repérée et bloquée par Symantec Mail Security 4.0 pour Microsoft Exchange.
  • Vous recevez un grand nombre de courriers électroniques comportant un terme invariable avec un suffixe variable, qui apparaît toujours au début de l'objet. Par exemple : free, freed, freer, freeing, freeforyouall, freeforall.
    Exemples d'objets : "Free calling cards" "Freeforall on unused domain names" ou "Freeing up time for you to get more spam".

    Pour bloquer tout le courrier électronique dont l'objet commence par une variante du terme "free", utilisez une expression régulière avec le contexte suivant :

    ^free.*

    Vous bloquerez ainsi tout courrier électronique commençant par le terme "free" ou commençant par un terme contenant la racine "free".


    ATTENTION : L'expression ci-dessus bloque également les courriers électroniques dont l'objet commence par des mots tels que : freedom, freeze, freelance et freehand.
  • Vous êtes sûr de vouloir bloquer un terme particulier, mais vous ne souhaitez pas bloquer des termes contenant une variante valide de sa racine.

    Exemples d'objets : Vous souhaitez bloquer le terme "rat", mais vous ne souhaitez pas bloquer des termes tels que crater, rate, fraternity, ou operation.

    Pour ne bloquer que le terme "rat" et éviter de bloquer du courrier électronique comportant des termes valides, utilisez une expression régulière dans ce contexte :

    (^rat .*)|(.* rat .*)|(.* rat$) ou
    (^rat[].*)|(.*[]rat[].*)|(.*[]rat$)


    Remarque : Dans les expressions ci-dessus, il y a un espace supplémentaire entre les parenthèses. Par exemple, l'expression (^rat[ ] .*) : parenthèse ouvrante, lambda, rat, crochet ouvrant, espace, crochet fermant, point, astérisque, et parenthèse fermante.
  • Vous recevez des messages d'expéditeurs dont le nom comporte soit un seul domaine ou des sous-domaines d'un domaine source spécifique. Exemples d'expéditeurs : johndoe@spamdomain.bad, johndoe@realbad.spamdomain.bad, ou johndoe@more.email.real.bad.spamdomain.bad.

    Pour bloquer tous les messages à partir d'un domaine particulier, y compris les sous-domaines, utilisez une expression régulière dans ce contexte :

    .*baddomain\.bad   Pour les domaines uniques
    .*baddomain\.subdomain\.bad Pour les domaines à plusieurs niveaux

    Ceci permet de bloquer tous les expéditeurs non seulement à partir du domaine source, mais aussi à partir de tout sous-domaine du domaine de base.


Problèmes et limitations de Spam list
L'utilisation de "Spam list" présente certains problèmes et limitations :
  • Les caractères DBCS ne sont pas pris en charge dans les listes de spam expéditeur et objet.
  • Les listes ne permettent pas à une expression de débuter par * ou ? car le filtre spam traduit ceci par .* ou .?.
  • Certaines combinaisons d'expressions régulières ne sont pas valides. Les combinaisons qui ne sont pas prises en charge disparaîtront de la liste après avoir enregistré et rechargé la page.
  • Nous vous recommandons d'être prudent afin de ne pas créer de règles qui catégoriseraient de spam tout et tout le monde. Symantec vous invite à modifier les règles de spam avec prudence et à toujours les tester dans un environnement autre que celui de production avant de continuer. Symantec recommande d'éviter les types suivants de paramètres de stratégie :
    • Une règle de taille tellement basse qu'elle se déclenche pour chaque pièce jointe et corps de message.
    • Une règle de ligne Objet trop large ou qui se déclenche lors de notifications.
    • Une règle de nom de pièce jointe trop large ou qui se déclenche lors du remplacement des noms de fichiers texte.
    • Des articles ajoutés à la liste de spam qui sont trop larges ou qui se déclenchent lors de notifications.
    • Un seuil de filtrage de contenu trop bas, ou des mots ajoutés à un dictionnaire de contenu se répétant trop fréquemment.
  • Le blocage de domaines ne fonctionne pas dans tous les cas en raison des limitations VSAPI. Pour en savoir plus, consultez le document (en anglais) Known general scan issues in Symantec Exchange products.




References
Version anglaise de ce document

Cliquez ici pour lire ce document en anglais


Remarque : En raison du temps nécessaire à la traduction, il est possible que le contenu des documents traduits diffère du contenu original, si celui-ci a été mis à jour alors que la traduction était en cours. Le document en anglais contient toujours les dernières mises à jour.





Legacy ID



20040707081706964


URL de l'article http://www.symantec.com/docs/TECH81763


Les conditions d'utilisation de cette information se trouvent dans Mentions légales