Cisco Cisco Email Security Appliance C190 User Guide

Cisco AsyncOS 9.1 for Email 사용 설명서

9 장     메시지 필터를 사용하여 이메일 정책 적용

  메시지 필터 처리

AsyncOS는 text/plain 및 text/html 부분의 일치 항목을 비교하기 때문에 3점을 반환하며 이는 필터 
규칙이 트리거되기 위한 최소 임계값을 만족하지 않습니다.

콘텐츠 사전에 대한 임계값 점수

콘텐츠 사전을 사용할 때 특정 용어가 필터 작업을 보다 쉽게 트리거하도록 용어에 "가중치"를 적
용할 수 있습니다. 예를 들어, "은행"이라는 용어에 대해 메시지 필터를 트리거하지 않을 수 있습니
다. 그러나 이 "은행"이라는 용어가 "계정"이라는 용어와 결합되고 ABA 은행 식별 번호와 사용되
는 경우 필터 작업을 트리거할 수 있습니다. 작업을 완료하기 위해 가중치가 적용된 사전을 사용하
여 특정 용어 또는 결합된 용어의 중요도를 높일 수 있습니다. 콘텐츠 사전을 사용하는 메시지 필
터는 필터 규칙에 대한 일치 항목의 점수를 매길 때 이러한 가중치를 사용하여 최종 점수를 결정합
니다. 예를 들어 다음 콘텐츠 및 가중치가 있는 콘텐츠 사전을 생성하는 경우,

이 콘텐츠 사전을 

dictionary-match

 또는 

attachment-dictionary-match

 메시지 필터 규칙과 연결

할 때 AsyncOS는 해당 용어의 가중치를 메시지에서 찾은 일치 용어에 대한 각 인스턴스의 총 "점
수"에 추가합니다. 예를 들어 메시지에 메시지 본문의 "계정"이라는 용어의 인스턴스 3개가 포함
된 경우, AsyncOS는 총 점수에 6점을 추가합니다. 메시지 필터의 임계값을 6으로 설정하면 
AsyncOS는 임계 점수를 만족하는지 여부를 확인합니다. 또는 메시지에 각 용어의 인스턴스 1개가 
포함된 경우, 총계가 6이 되며 이로써 필터 작업이 트리거됩니다.

메시지 필터에서 AND 테스트 및 OR 테스트

메시지 필터 내에서 AND 또는 OR 테스트를 평가할 때 AsyncOS는 불필요한 테스트는 평가하지 않
습니다. 따라서 예를 들어 AND 테스트의 한 부분이 false이면 시스템은 다른 부분을 평가하지 않습
니다. 시스템은 왼쪽에서 오른쪽으로 테스트를 평가하지 않습니다. 대신, AND 또는 OR 테스트를 
평가할 때 가장 비용이 적게 드는 테스트가 먼저 평가됩니다. 예를 들어, 다음 필터에서 

remote-ip

 

테스트는 

rcpt-to-group

 테스트보다 비용이 적게 들기 때문에 항상 먼저 처리됩니다(일반적으로 

LDAP 테스트는 더 많은 비용 소요).

                text/html (2 matches)

        application/octet-stream (1 match)

        application/octet-stream

표

샘플

콘텐츠

사전

용어/스마트 식별자

가중치

ABA 은행 식별 번호

3

계정

2

은행

1

andTestFilter:

if (remote-ip == "192.168.100.100" AND rcpt-to-group == "GROUP") 

  { ... }