Выполним начальную настройку Incoming Content Filters на Cisco ESA C190. Incoming Content Filters задают правила фильтрации входящей почты.
Создадим шесть первых фильтров в помощь сисадмину. Mail Policies → Incoming Content Filters:
Фильтры применяются по порядку, поэтому, важное значение имеет их номер. Изменить порядок можно кнопкой Edit Filter Order...
После добавления фильтра его нужно включить в политику, можно кликнуть на Default Policy. Или Mail Policies > Incoming Mail Policies:
Менять порядок можно мышкой, Cisco рекомендует работать рукой не слишком быстро:
Новый фильтр создаётся кнопкой Add Filter.
- SKIP_IP
- SKIP_email
- DROP_domains
- DROP_NOSPF
- BLACK_LIST_domain
- BLACK_LIST_email
Я для начала создал 6 фильтров. DROP и BLACK_LIST — эти фильтры дропают почту. SKIP, наоборот, пропускает.
6. BLACK_LIST_email
Данный фильтр я буду использовать для списка email адресов, помеченных как спам. Письма от этих отправителей не будут приниматься.
Actions — что делать с письмами, которые удовлетворяют условиям Conditions. Drop удаляет письмо.
Conditions — список email, письма которых нужно дропнуть. Давайте добавим ещё один email. Кликаем на Add Condition:
Envelope Sender — отправитель. Выбираем, что он точно соответствует нашему email адресу. Ok.
Теперь у нас в списке Conditions два email адреса, от которых нужно удалять почту. Обратите внимание на настройку If one or more condition match — логическое ИЛИ.
5. BLACK_LIST_domain
Данный фильтр я буду использовать для списка доменов, помеченных как спам. Письма из этих доменов не будут приниматься.
Внутри всё то же самое как и для BLACK_LIST_email, только вместо точного соответствия Envelop Sender - Equals выбираем Contains:
Оба правила BLACK_LIST_domain и BLACK_LIST_email можно было бы объединить в одно. Разделение просто для удобства.
Потом ещё появится правило BLACK_LIST_IP, для удаления писем с определённых IP адресов, мне пока блокировать некого. Там вместо Envelope Sender будет выбираться Remote IP/Hostname:
4. DROP_NOSPF
Правило простое — дропает все письма, которые не прошли проверку SPF:
3. DROP_domains
Вот это очень важное правило. Там всё то же самое, что и в BLACK_LIST_domain с одним тонким моментом. Это список моих доменов. Тех же самых, что мы указываем при добавлении домена:
Cisco ESA C190 - добавление домена
Зачем? Очень просто, я шлю свои письма сам себе миную спам-фильтр ESA. И если на ESA попадает письмо от моего домена — это жуткий злобный хитрый и коварный спамер, дропаем.
2. SKIP_email
Это белый список email адресов, которые мы пропускаем. Переименую этот фильтр в WHITE_LIST_email. Принцип тот же что у BLACK_LIST_email, но вместо drop мы делаем Skip Remaining Content Filters. Эта штука отменяет все дальнейшие фильтры и не дропает почту.
1. SKIP_IP
Белый список IP адресов. Переименую его в WHITE_LIST_IP. Примечательно, что можно указывать не только IP адреса, но и диапазоны и доменные имена.
Начальную настройку Incoming Content Filters выполнили.
