Если необходимо фильтровать определенные типы файлов, можно создать фильтр и указать в поле Типы файлов конкретный тип файла.

Например, создайте фильтр и задайте в разделе Типы файлов значение "MP3". Это обеспечит фильтрацию всех файлов MP3 независимо от их имени и расширения.

Если необходимо фильтровать все файлы с определенным именем, можно создать фильтр, добавив соответствующее имя в поле Имена файлов. Фильтрация выполняется без учета регистра.

Например, если вирус содержится во вложенном файле с именем payload.doc, в качестве имени файла можно указать payload.doc. Это обеспечит фильтрацию файлов с именем payload.doc независимо от типа файла.

Фильтрация вложенных файлов по имени может также оказаться полезной на начальном этапе распространения нового вируса, когда известно имя файла, в котором находится вирус, а средства поиска вирусов еще не были обновлены и не могут обнаруживать этот вирус.

Если необходимо фильтровать все файлы с определенным расширением, можно создать фильтр и указать на вкладке Имена файлов соответствующее расширение. Фильтрация выполняется без учета регистра.

Например, можно создать фильтр для всех исполняемых файлов с расширением EXE, добавив имя файла "*.exe*" на вкладке Имена файлов. Это обеспечит фильтрацию всех файлов с расширением EXE.

Важно.
При создании общих фильтров файлов с целью фильтрации всех файлов определенного типа (например, EXE) рекомендуется записывать фильтр в следующем формате: *.exe*. Вторая звездочка (*) позволяет не пропустить файлы с дополнительными знаками после расширения файла.

Примечание.
Рекомендуется избегать использования общего фильтра "*" (без конкретного указания объектов фильтрации), для которых в поле Типы файлов установлено значение Выбрать все. Такая настройка фильтра может привести к регистрации повторных обнаружений.

Создание и настройка фильтра файлов

1. В дереве консоли управления Forefront TMG щелкните узел Политика электронной почты.

2. В области сведений щелкните вкладку Фильтрация вирусов и содержимого и нажмите Фильтрация тела сообщений.

3. На вкладке Общие окна свойств Фильтрация тела сообщений убедитесь, что для параметра Состояние задано значение Включено.

4. На вкладке Фильтры тела сообщения нажмите кнопку Добавить.

5. Убедитесь, что на вкладке Общие окна свойств Фильтрация тела сообщений установлен флажок Включить этот фильтр. По умолчанию этот параметр включен.

6. В поле Имя фильтра введите имя данного фильтра.

7. Выберите Действие, которое следует предпринять при обнаружении соответствия фильтру.

   • Пропустить — записывается количество сообщений, удовлетворяющих условиям фильтра, а сами сообщения направляются обычным образом.
     
     
   • Определить — тема или заголовок обнаруженного сообщения будут помечены выбранным словом или фразой. Затем помеченные сообщения могут быть распознаны почтовыми ящиками пользователей с целью распределения по папкам.
     
     
   • Удалить — вложенный файл удаляется. Обнаруженное вложение удаляется из сообщения.
     
     
   • Очистить — сообщение удаляется из почтовой системы.
     
     

8. Укажите, следует ли применять этот фильтр к входящим сообщениям, исходящим или и тем, и другим.

9. На вкладке Ключевые слова нажмите кнопку Добавить и введите ключевые слова, которые следует фильтровать. Дополнительные сведения о синтаксисе и выражениях, используемых в фильтрах тела сообщения, см. в разделе О правилах синтаксиса в списках ключевых слов ниже.

Ниже изложены правила синтаксиса для списка ключевых слов.

• Каждый элемент (строка текста) считается одним запросом поиска.
  
  
• В запросах используется логический оператор ИЛИ. Совпадение считается найденным, если совпадает любой элемент.
  
  
• Запросы могут содержать операторы, разделяющие элементы текста. Такие запросы называются выражениями. Поддерживаются следующие логические операторы. Между оператором и ключевым словом должен находиться пробел, представленный в примерах знаком •.
  
  
  • _AND_ (логическое И). Пример: яблоко•_AND_•апельсиновый сок
    
    
  • _NOT_ (отрицание). Пример: яблоко•_AND__NOT_•сок
    
    
  • _ANDNOT_ (то же, что _AND__NOT_). Пример: яблоко•_ANDNOT_•сок
    
    
  • _WITHIN[#]OF_ (близость). Совпадение происходит, если два элемента находятся на расстоянии не более указанного количества слов друг от друга. Пример: бесплатное•_WITHIN[10]OF_•предложение. (Если слово "бесплатное" находится на расстоянии не более 10 слов от слова "предложение", запрос будет истинным.)
    
    
  • _HAS[#]OF_ (частота). Указывает минимальное количество появлений текста, при котором запрос является истинным. Пример: _HAS[4]OF_•быстро разбогатеть. Если фраза "быстро разбогатеть" встречается в тексте 4 или более раз, запрос будет истинным. Если в операторе не указано значение, по умолчанию используется значение 1.
    
    
  • В одном запросе может быть несколько операторов _AND_, _NOT_, _HAS[#]OF_ и _WITHIN[#]OF_. Операторы имеют следующий приоритет (от большего к меньшему):
    1) _WITHIN[#]OF_
    2) _HAS[#]OF_
    3) _NOT_
    4) _AND_
    Скобки не оказывают влияния на этот приоритет.
    
    
• Логические операторы необходимо вводить прописными буквами.
  
  
• В качестве ключевых слов могут использоваться фразы, например "яблочный сок" или "быстро разбогатеть".
  
  
• Несколько разделителей (знаки пробелов, перевода строки, возврата каретки, горизонтальной и вертикальной табуляции) считаются одним разделителем при поиске соответствия. Например, фраза A••••B будет обрабатываться как A•B и будет соответствовать фразе A•B.
  
  
• В кодированных сообщениях HTML символы пунктуации (все символы, кроме буквенно-числовых) рассматриваются как разделители слов, т. е. как пробелы. Поэтому фильтр правильно идентифицирует слова, разделенные тегами HTML. Однако следует обратить внимание на то, что фильтру <html> соответствует фраза <html>, но не html.
  
  

  Примечание.
  Между оператором и ключевым словом должен находиться пробел. Логические операторы необходимо вводить прописными буквами, как показано в примерах.

Примеры (знак • соответствует пробелу)

• яблоко•_AND_•апельсин•_AND_•лимон•_WITHIN[50]OF_•сок
  
  
• конфиденциальный•_WITHIN[10]OF_•проект•_AND_•банановый•_WITHIN[25]OF_•коктейль
  
  
• _HAS[2]OF_•быстро•_WITHIN[20]OF_·разбогатеть
  
  

Для фильтрации сообщений электронной почты, автоматически загружающих HTML-изображения с веб-сервера, добавьте в список ключевых слов следующие условия:

• img _WITHIN[6]OF_ src="http"
  
  
• img _WITHIN[6]OF_ src='http'
  
  

Эти фильтры будут определять экземпляры текста "img", встречающиеся на расстоянии 6 слов от следующего текста: src="http"

Если сообщения, содержащие HTML-изображения, не фильтруются после добавления указанных ключевых слов, можно проверить исходный код этих сообщений и выяснить применяемый в них способ идентификации изображений. После этого можно создать дополнительные настраиваемые фильтры.