Просьба уточнить по возможностям Brightmail gateway

[bugaboo 0]

Добрый день.

Прочитал документацию на Brightmail gateway 8 и возникло несколько вопросов:

1. Правильно ли я понимаю, что при составлении фильтров используются либо получатели, либо отправители. Но нельзя при составлении фильтра использовать и получателей и отправителей одновременно:

"Symantec Brightmail Gateway performs actions on an email or IM based on the

verdict applied to the message and the groups that include the message recipient

or sender as a member, as follows:

■ For inbound email filtering, the groups that impact message filtering are those

groups that include the message recipient.

■ For outbound email filtering, the groups that impact message filtering are

those groups that include the message sender."

2. Не совсем ясен порядок дествий (и возможных действий) в случае применения нескольких политик к сообщению:

"When more than one content compliance policy applies to a message, some of the

actions specified may not take place.

■ The order of policies on the Email Content Compliance Policies page determines

content compliance policy priority. Higher priority content compliance policies

appear higher up in the list.

■ Actions specified for the highest priority content compliance policy that applies

to a message are triggered according to the rules for combining actions.

See “Limits on combining actions” on page 515.

■ For the other content compliance policies that apply to the message, the only

actions that can happen are the Send notification and Create an incident

(without holding for review) actions."

Правильно ли я понимаю, что будет применено действие, описанное в первой политике, а от остальных сработают только "Send notification and Create an incident (without holding for review) actions"?

Поясню, есть желание использовать Content Policy как дополнительный спам-фильтр: политики проверяют различные заголовки (с помощью regexp-ов) и проставляют (увеличивают) некоторое значение определенному заголовку (например, X-SPAM-Possible). А последняя политика проверяет значение этого заголовка и, если его значение выше некоторого порога, либо удалет письмо, либо отправляет в спам-карантин, либо помечает, чтобы Exchange переложил его в Junk-папку.

Как понимаю в данном случае это не возможно?

3. Правильно ли я понимаю, что brightmail не имеет встроенных возможностей по кластеризации\построению массивов (http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/b8b79673ef7a76a28825734c00828d6c?OpenDocument)?

Хотелось бы иметь возможность иметь несколько шлюзов (будут ли они работать через round-robin DNS или другим способом сейчас не так важно) с единой конфигурацией (политики, white\black листы и т.п.)

Спасибо!

[Олег Просветов 85]

Добрый день,

1. Правильно ли я понимаю, что при составлении фильтров используются либо получатели, либо отправители. Но нельзя при составлении фильтра использовать и получателей и отправителей одновременно:

"Symantec Brightmail Gateway performs actions on an email or IM based on the

verdict applied to the message and the groups that include the message recipient

or sender as a member, as follows:

■ For inbound email filtering, the groups that impact message filtering are those

groups that include the message recipient.

■ For outbound email filtering, the groups that impact message filtering are

those groups that include the message sender."

Если вкратце ответить на Ваш вопрос, нет, нельзя сочитать в одном условии и отправителя и получателя. Это настраивается в разных закладках.

Те фильтры, на которые вы сослались, применяются для того, чтобы определить, что делать с письмом после вынесения ему вердикта. Порядок действий определяется группой получателя (для входящих писем) и группой отправителя (для исходящих).

Например: для входящих писем нельзя указать пропустить письмо, если в нем содержится подозрительный объект, но отправитель входит в доверенный домен. Но можно указать пропустить его, если получатель входит в определенную группу (например IT).

С другой стороны, в закладке Репутаций, можно указать "доверенных отправителей", письма которых и к которым не будут проверяться на содержание (Compliance). Проверка на вирусы и спам будет проходить в любом случае.

2. Не совсем ясен порядок дествий (и возможных действий) в случае применения нескольких политик к сообщению:

Поясню, есть желание использовать Content Policy как дополнительный спам-фильтр: политики проверяют различные заголовки (с помощью regexp-ов) и проставляют (увеличивают) некоторое значение определенному заголовку (например, X-SPAM-Possible). А последняя политика проверяет значение этого заголовка и, если его значение выше некоторого порога, либо удалет письмо, либо отправляет в спам-карантин, либо помечает, чтобы Exchange переложил его в Junk-папку.

Как понимаю в данном случае это не возможно?

Да, вы правильно понимаете. После применения первой политики, письмо пройдёт дальше. И дальнейшие политики могут, например, отправить копию письма в карантин, но по первой политике оно уже всё равно уйдёт.

3. Правильно ли я понимаю, что brightmail не имеет встроенных возможностей по кластеризации\построению массивов (http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/b8b79673ef7a76a28825734c00828d6c?OpenDocument)?

Хотелось бы иметь возможность иметь несколько шлюзов (будут ли они работать через round-robin DNS или другим способом сейчас не так важно) с единой конфигурацией (политики, white\black листы и т.п.)

Конфигурация через round robin DNS возможна. На шлюзах будут стоять устройства имеющие роль "сканера", на которые можно применять одни и те же политики через управляющее устройство. Для одного домена может быть сколько угодно сканеров, но только один управляющий узел.

С уважением,

Просветов Олег

[bugaboo 0]

Спасибо за быстрый ответ.

Если можно, я уточню вопросы.

Предоплагается использование решения для большого количества локальных доменов. При этом требования к строгости фильтрации и обращения с подозрительными письмами могут сильно отличаться для различных локальных доменов.

Правильно ли я понимаю, что по п.1 не получиться составить политики, в соответсвии с которыми для сообщения от некоторой группы отправителей (например, серверы публичных почтовых сервисов) для некоторой группы получателей (часть локальных доменов) фильтрация будет более жесткой, чем для основной группы доменов?

По п.2 прошу пардону, но прошу уточнить То есть, если по первой политике установлено действие, например "Добавить хидер "X-Missing-Subject и пропустить"", а по второй "Добавить хидер Х-Forget-MUA-TheBAT и пропустить", то письмо придет без второго хидера? Цепочку правил составить не получиться?

По п.3 понял, спасибо!

[Кирилл Керценбаум 671]

По п.2 прошу пардону, но прошу уточнить То есть, если по первой политике установлено действие, например "Добавить хидер "X-Missing-Subject и пропустить"", а по второй "Добавить хидер Х-Forget-MUA-TheBAT и пропустить", то письмо придет без второго хидера? Цепочку правил составить не получиться?

Нет, для нескольких действий Modify выполняются все они, то есть будет что-то наподобие Modify+Modify+..., а вот если было Delete, то все остальные действия применяться не будут

Предоплагается использование решения для большого количества локальных доменов. При этом требования к строгости фильтрации и обращения с подозрительными письмами могут сильно отличаться для различных локальных доменов.

Правильно ли я понимаю, что по п.1 не получиться составить политики, в соответсвии с которыми для сообщения от некоторой группы отправителей (например, серверы публичных почтовых сервисов) для некоторой группы получателей (часть локальных доменов) фильтрация будет более жесткой, чем для основной группы доменов?

Вы можете делать различные политики для ваших пользователей, групп, доменов, однако политика для тех от кого вы получаете почту - всегда одна и может регулироваться через Sender Groups, одно исключение - при разворачивании Web Карантина, каждый пользователь может управлять своим Белым и Черным списком

[bugaboo 0]

еще раз спасибо.

"Нет, для нескольких действий Modify выполняются все они, то есть будет что-то наподобие Modify+Modify+..., а вот если было Delete, то все остальные действия применяться не будут"

ааа...ну это понятно и правильно, на мой взгляд тогда еще вопрос, попадет ли проставленный в политике №1 хидер на анализ к политке №2? (Идея "накапливать" значение некоторого хидера по мере анализа письма цепочкой политик и получить на выходе суммарное значение, причем, в идеале, в сумму должно войти и значение проставленное brightmail-антиспамом)

"тех от кого вы получаете почту - всегда одна и может регулироваться через Sender Groups"

понял. запишем в wish list

[Кирилл Керценбаум 671]

"накапливать" значение некоторого хидера по мере анализа письма цепочкой политик и получить на выходе суммарное значение, причем, в идеале, в сумму должно войти и значение проставленное brightmail-антиспамом)

Сомневаюсь, скорее всего все анализируемые параметры принимаются за константы перед началом проверки. Нужно уточнить у разработчиков...

[Олег Просветов 85]

Предоплагается использование решения для большого количества локальных доменов. При этом требования к строгости фильтрации и обращения с подозрительными письмами могут сильно отличаться для различных локальных доменов.

Правильно ли я понимаю, что по п.1 не получиться составить политики, в соответсвии с которыми для сообщения от некоторой группы отправителей (например, серверы публичных почтовых сервисов) для некоторой группы получателей (часть локальных доменов) фильтрация будет более жесткой, чем для основной группы доменов?

"тех от кого вы получаете почту - всегда одна и может регулироваться через Sender Groups"

понял. запишем в wish list wink.gif

Да, действительно, именно так не получится. Единственный вариант здесь по разному обрабатывать подозрительные письма. Т.е., как вариант, письма, классифицированные, как точно спам/вирус удалять сразу, независимо от группы. А подозрительные письма, для одной группы пользователей пропускать/отправлять в карантин, для другой - их сразу удалять.

[bugaboo 0]

Cпасибо.

Пока вопросы кончились