Data Leak Prevention (Verhinderung von Datendiebstahl) |
Scrollen Zurück Oberste Ebene Weiter Mehr |
Die Verhinderung von Datendiebstahl (englisch auch "Data Leak Prevention") ist ein Leistungsmerkmal, das auf dem Inhaltsfilter für Nachrichten aufgebaut ist. Mit seiner Hilfe können Sie Filterregeln erstellen, die in Nachrichten nach bestimmten Arten besonders schutzwürdiger Informationen suchen, und die verhindern, dass solche Nachrichten zugestellt werden. Es sind bereits zahlreiche vordefinierte Regeln enthalten. Diese Regeln suchen nach Daten wie Kreditkarten-Nummern, Daten für Bankkonten, Passnummern und vergleichbaren Daten. Diese Regeln werden per Voreinstellung nur auf abgehende Nachrichten angewendet. Nachrichten, die zu Treffern für diese Regeln führen, werden in die Administrative Quarantäne verschoben. Sie können die voreingestellten Regeln wie alle anderen Regeln verwalten und bearbeiten. Mithilfe dieser Seite können Sie die Regeln für die Verhinderung von Datendiebstahl verwalten. Sie können von hier aus die Regeln erstellen, bearbeiten und löschen, und Sie können bestehende Regeln mithilfe eines Kontrollkästchens schnell aktivieren und deaktivieren. Die Regeln für die Verhinderung von Datendiebstahl legen, wie auch die sonstigen Regeln für den Inhaltsfilter, die Kriterien fest, anhand derer SecurityGateway jede Nachricht prüft, die verarbeitet wird. Stimmt eine Nachricht mit einer Regel überein, so können eine Reihe von Aktionen durchgeführt werden. Sie können Regeln erstellen, die nach bestimmten Kopfzeilen, Absendern und Empfängern, sowie bestimmtem Text in einer Kopfzeile oder dem Nachrichtentext suchen oder prüfen, wie groß eine Nachricht ist. Daneben stehen zahlreiche weitere Kriterien zur Verfügung. Stimmt eine Nachricht mit den Kriterien einer Regel überein, so kann die Regel unter anderem bewirken, dass die Nachricht abgewiesen, gelöscht, in Quarantäne gegeben, kopiert oder an eine andere Adresse umgeleitet wird. |
Die Liste der Regeln für die Verhinderung von Datendiebstahl enthält drei Spalten: Aktiviert, Beschreibung und Vorschau. Die Spalte Aktiviert enthält für jeden Eintrag ein eigenes Kontrollkästchen, mit dessen Hilfe Sie die Regel schnell aktivieren und deaktivieren können. In der Spalte Beschreibung erscheint der Name der Regel, den Sie während der Erstellung der Regel festgelegt haben. Die Spalte Vorschau enthält für jede Regel ein Symbol, mit dessen Hilfe Sie sich einen Tooltipp zu der zugehörigen Regel anzeigen lassen können. Lassen Sie dazu die Maus über dem Symbol stehen. Der Tooltipp zeigt das Sieve-Skript, das nach der Erstellung der Regel über den Editor für Regeln zur Verhinderung von Datendiebstahl zur Umsetzung der Regel angelegt wurde.
Die Symbolleiste am oberen Seitenrand enthält die folgenden vier Optionen:
Neu
Um eine neue Regel zu erstellen, klicken Sie auf Neu. Es öffnet sich der Editor für Regeln zur Verhinderung von Datendiebstahl, in dem Sie die Regel erstellen können.
Bearbeiten
Um eine Regel zu bearbeiten, wählen Sie die Regel in der Liste aus, und klicken Sie in der Symbolleiste auf Bearbeiten. Es öffnet sich der Editor für Regeln zur Verhinderung von Datendiebstahl, und die Regel wird zur Bearbeitung geladen. Sie können eine Regel stattdessen auch durch Doppelklick zur Bearbeitung öffnen.
Löschen
Um eine Regel oder mehrere Regeln zu löschen, wählen Sie die gewünschten Einträge in der Liste aus, und klicken Sie dann auf Löschen. Es erscheint eine Sicherheitsabfrage, auf die Sie bestätigen müssen, dass Sie die Einträge wirklich löschen wollen. Sie können mithilfe der Strg-Taste und der Hochschalttaste mehrere Einträge auswählen.
Für Domäne:
Mithilfe des Auswahlmenüs Für Domäne: bestimmen Sie, welche Regeln in der Liste angezeigt werden. Sie können sich Globale Regeln anzeigen lassen, die auf alle Domänen wirken, oder nur die Regeln einer bestimmten Domäne.
Mithilfe des Editors für Regeln zur Verhinderung von Datendiebstahl können Sie neue Regeln erstellen oder bestehende Regeln bearbeiten. Um eine neue Regel zu erstellen, klicken Sie in der Symbolleiste für die Regeln des Inhaltsfilters auf Neu. Gehen Sie dann die Optionen, die der Editor bietet, der Reihe nach durch. Sobald Sie alle Daten eingetragen haben, klicken Sie auf Speichern und Beenden, um die neue Regel anzulegen.
Diese Regel ist aktiv
Zur Erstellung einer neuen Regel muss dieses Kontrollkästchen aktiv sein. Sie können bestehende Regeln deaktivieren, indem Sie den Haken aus dem zugehörigen Kontrollkästchen entfernen. SecurityGateway lässt deaktivierte Regeln bei der Prüfung von Nachrichten außer Betracht. Die Option entspricht der Spalte Aktiviert in der Übersicht über die Regeln des Inhaltsfilters.
Für Domäne:
In dieser Option legen Sie fest, auf welche Domänen die Regel angewendet wird. Wird hier "--Global--" ausgewählt, so wirkt die Regel auf Nachrichten an alle und von allen SecurityGateway-Domänen. Wird hier eine bestimmte Domäne ausgewählt, so wirkt die Regel nur auf Nachrichten an alle und von allen Nachrichten dieser Domäne.
Name der Regel:
Tragen Sie in dieses Feld einen Titel oder einen kurzen Beschreibungstext für Ihre Regel ein. Diese Option entspricht der Spalte Beschreibung in der Übersicht über die Regeln des Inhaltsfilters.
Regel anwenden, falls:
alle Bedingungen erfüllt sind (AND)
Wählen Sie diese Option aus, falls eine Nachricht nur dann einen Treffer in dieser Regel auslösen soll, falls sie ALLE Bedingungen erfüllt, die weiter unten angegeben werden. Die Option bewirkt, dass die Bedingungen logisch mit "UND" verknüpft werden, etwa nach dem Muster "falls Bedingung A erfüllt ist UND Bedingung B erfüllt ist, dann die angegebene Aktion ausführen".
eine beliebige Bedingung erfüllt ist (OR)
Wählen Sie diese Option aus, falls eine Nachricht dann einen Treffer in dieser Regel auslösen soll, falls sie EINE BELIEBIGE der Bedingungen erfüllt, die weiter unten angegeben werden. Die Option bewirkt, dass die Bedingungen logisch mit "ODER" verknüpft werden, etwa nach dem Muster "falls Bedingung A erfüllt ist ODER Bedingung B erfüllt ist, dann die angegebene Aktion ausführen".
Bedingungen:
In diesem Abschnitt erscheinen alle Bedingungen, die Sie für diese Regel festgelegt haben, verbunden mit den Aktionen, die durchgeführt werden soll, falls eine Nachricht mit den Bedingungen der Regel übereinstimmt. Sie können eine Bedingung durch Anklicken in diesem Bereich bearbeiten. Sie können eine Bedingung durch Anklicken der Verknüpfung "(Entfernen)" neben der Bedingung löschen. Um der Regel eine neue Bedingung hinzuzufügen, klicken Sie unterhalb dieses Bereichs auf die Verknüpfung "Klicken Sie hier, um eine Bedingung für diese Regel hinzuzufügen.".
Klicken Sie hier, um eine Bedingung für diese Regel hinzuzufügen
Klicken Sie unterhalb des Abschnitts Bedingungen auf die Verknüpfung "Klicken Sie hier, um eine Bedingung für diese Regel hinzuzufügen.", um der Regel eine Bedingung hinzuzufügen. Nachdem Sie die Bedingung hinzugefügt haben, können Sie weitere Bedingungen hinzufügen, indem Sie erneut auf die Verknüpfung klicken. Die einzelnen Arten von Bedingungen sind im Abschnitt Bedingungen für die Regeln weiter unten näher beschrieben.
Aktion:
Aus diesem Auswahlmenü wählen Sie die Aktion, die durchgeführt werden soll, falls eine Nachricht mit den Bedingungen der Regel übereinstimmt. Falls für eine Aktion weitere Angaben erforderlich sind, erscheint unterhalb dieses Auswahlmenüs ein entsprechendes Eingabefeld, in dem Sie die nötigen Angaben machen können. Die einzelnen Arten von Aktionen sind im Abschnitt Aktionen weiter unten näher beschrieben. Nachdem Sie alle Bedingungen für die Regel festgelegt und eine Aktion ausgewählt haben, klicken Sie auf Speichern und Beenden, um den Editor zu verlassen und die neue Regel in die Liste der Regel einzutragen.
Um einer Regel eine Bedingung hinzuzufügen, klicken Sie auf die Verknüpfung "Klicken Sie hier, um eine Bedingung für diese Regel hinzuzufügen.". Es öffnet sich der Dialog Bedingungen für die Regel. Um eine solche Bedingung zu erstellen, müssen Sie zunächst das Nachrichten-Attribut oder Element bestimmen, anhand dessen Sie die Prüfung in der Bedingung durchführen wollen. Dann müssen Sie festlegen, wie ein Vergleich mit diesem Element oder eine Prüfung des Elements durchgeführt werden soll: Es kann geprüft werden, ob das Element einen Text enthält oder einem Text genau entspricht, ob eine Kopfzeile besteht, und vieles mehr. Zur Verfügung stehen mehrere Elemente, die geprüft werden können, und verschiedene Vergleichsmethoden. Nachdem Sie das Element ausgewählt, die Vergleichsmethode festgelegt und etwa nötige Informationen eingegeben haben, klicken Sie auf Speichern und Beenden, um die Bedingung Ihrer Regel hinzuzufügen.
Zu vergleichendes Element:
Diese Liste enthält folgende Elemente, die Sie in einer Nachricht vergleichen und prüfen können:
•MAIL (Von)—Diese Prüfung betrifft den Inhalt des SMTP-Befehls "MAIL From". Er bezeichnet den Absender der Nachricht; der Inhalt des Befehls muss aber nicht zwangsläufig mit dem Inhalt der Absender-Kopfzeile From in der Nachricht selbst übereinstimmen. Manchmal enthält die Kopfzeile From zusätzliche oder abweichende Informationen. Zusätzlich zu den neun üblichen Vergleichsmethoden (siehe unten) stehen noch die Prüfungen "ist ein lokaler Benutzer" und "ist kein lokaler Benutzer" zur Verfügung.
•RCPT (An)—Diese Prüfung betrifft den Inhalt des SMTP-Befehls "RCPT To". Er bezeichnet den Empfänger der Nachricht; der Inhalt des Befehls muss aber nicht zwangsläufig mit dem Inhalt der Adressaten-Kopfzeile To in der Nachricht selbst übereinstimmen. Manchmal enthält die Kopfzeile To zusätzliche oder abweichende Informationen. Zusätzlich zu den neun üblichen Vergleichsmethoden (siehe unten) stehen noch die Prüfungen "ist ein lokaler Benutzer" und "ist kein lokaler Benutzer" zur Verfügung.
•MAIL (Von) und RCPT (An)—Dieses Element prüft die Parameter der SMTP-Befehle "MAIL From" und "RCPT To", um zu bestimmen, ob es sich bei der ausgewerteten Nachricht um eine eingehende, abgehende oder interne Nachricht handelt (siehe "Weitere Vergleichs-Methoden" weiter unten).
•IP—Wählen Sie dieses Element, um einen Vergleich anhand der IP-Adresse des übermittelnden Servers oder Clients durchzuführen.
•Kopfzeile—Wählen Sie dieses Element, falls Sie eine Kopfzeile angeben möchten, anhand derer Sie einen Vergleich vornehmen wollen. Nachdem Sie dieses Element gewählt haben, erscheint das Eingabefeld Name der Kopfzeile. In dieses Feld müssen Sie die Kopfzeile eintragen, anhand derer Sie den Vergleich vornehmen wollen. Zusätzlich zu den neun üblichen Vergleichsmethoden kann dieses Element auch noch anhand der Vergleichs-Methoden "Kopfzeile existiert" und "Kopfzeile existiert nicht" verglichen werden. Beachte: Im Feld Name der Kopfzeile dürfen Sie den Namen der Kopfzeile nicht mit einem Doppelpunkt abschließen. Sie müssen beispielsweise für einen Vergleich mit der Absender-Kopfzeile From als Name der Kopfzeile "From" eintragen, nicht aber "From:".
•Betreff—Dieses Element ist die Kopfzeile Subject (Betreff) der Nachrichten. Mithilfe dieses Elements können Sie Vergleiche mit dem Betreff der Nachrichten durchführen.
•Nachrichtentext—Wählen Sie dieses Element, um einen Vergleich mit dem Inhalt des Nachrichtentextes durchzuführen.
•Nachrichtentext oder Betreff—Mithilfe dieses Elements können Sie eine Regel erstellen, die dann zu einem Treffer führt, wenn entweder der Nachrichtentext oder der Betreff der Nachricht den Kriterien der Regel entspricht. Dieses Element soll die Erstellung der Regeln vereinfachen, weil es im Ergebnis dieselbe Wirkung hat wie eine Regel, in der zwei getrennte Elemente mit "ODER" verknüpft sind, von denen eine den Nachrichtentext und das andere die Betreffzeile der Nachricht nach demselben Text durchsucht.
Vergleichs-Methode:
Die folgende Liste enthält die Methoden, mit deren Hilfe Sie Vergleiche und Prüfungen für das Element durchführen können, das Sie in der Option Zu vergleichendes Element weiter oben ausgewählt haben. Für alle Elemente stehen verschiedene Vergleichsmethoden zur Verfügung, die sich nur in Bezug auf ein Element unterscheiden. Für das Elemente Mail (Von) und RCPT (An) bestehen besondere Vergleichsmethoden, und für Mail (Von), RCPT (An) und Kopfzeile stehen jeweils weitere Vergleichsmethoden zur Verfügung.
Übliche Vergleichs-Methoden:
Jede der folgenden Vergleichsmethoden oder Operatoren vergleicht das oben in der Option Zu vergleichendes Element angegebene Element mit dem Suchausdruck, den Sie in das Eingabefeld unterhalb des Feldes Vergleichs-Methode eintragen müssen. Alle nachfolgend aufgeführten Vergleichs-Methoden stehen für alle zu vergleichenden Elemente, jedoch nicht für Mail (Von) und RCPT (An) zur Verfügung. Für Mail (Von) und RCPT (An) bestehen besondere Vergleichsmethoden-
•enthält—Diese Methode ergibt einen Treffer (Ergebnis "wahr"), falls der Suchausdruck ein Teil des zu vergleichenden Elements ist, das oben ausgewählt wurde. Wählen Sie beispielsweise MAIL (Von) als zu vergleichendes Element, und wählen Sie dann enthält als Vergleichs-Methode und "example.com" als Suchausdruck, so erfüllt jede Nachricht von einer Adresse, die "example.com" enthält, die Bedingung.
•enthält nicht—Diese Methode ergibt einen Treffer (Ergebnis "wahr"), falls der Suchausdruck kein Teil des zu vergleichenden Elements ist, das oben ausgewählt wurde. Wählen Sie beispielsweise MAIL (Von) als zu vergleichendes Element, und wählen Sie dann enthält nicht als Vergleichs-Methode und "example.com" als Suchausdruck, so erfüllt jede Nachricht die Bedingung, außer Nachrichten von Adressen, die "example.com" enthalten.
•enthält Wort/Wörter—Diese Methode arbeitet ähnlich wie "enthält". Sie führt aber nur dann zu einem Treffer, wenn die zu suchende Zeichenkette zwischen zwei Wortbegrenzungsankern eingeschlossen ist. Hierdurch wird vermieden, dass manuell ein Regulärer Ausdruck nach dem Muster \b(Wort1|Wort2|Wort3)\b erstellt werden muss. Ein Beispiel hierzu: Eine Regel, die nach Nachrichtentexten sucht, die das Wort "Katze" enthalten, führt nur für solche Nachrichten zu einem Treffer, die das eigenständige Wort "Katze" enthalten. Sie führt dann nicht zu einem Treffer, wenn der Nachrichtentext Wörter wie Katzenwels oder Schleichkatze enthält.
•enthält nicht Wort—Diese Methode arbeitet ähnlich wie "enthält nicht". Sie führt aber nur dann zu einem Treffer, wenn die auszuschließende Zeichenkette zwischen zwei Wortbegrenzungsankern eingeschlossen ist. Ein Beispiel hierzu: Eine Regel, die nach Nachrichtentexten sucht, die das Wort "Katze" nicht enthalten, führt nur für solche Nachrichten zu einem Treffer, die das eigenständige Wort "Katze" nicht enthalten. Sie führt dann nicht zu einem Treffer, wenn der Nachrichtentext Wörter wie Katzenwels oder Schleichkatze enthält.
•entspricht—Diese Methode arbeitet ähnlich wie enthält weiter oben, der Suchausdruck muss aber mit dem Inhalt des zu vergleichenden Elements genau übereinstimmen; eine teilweise Übereinstimmung reicht nicht aus. Wählen Sie beispielsweise IP als zu vergleichendes Element, und wählen Sie dann entspricht als Vergleichs-Methode und "192.168.0.1" als Suchausdruck, so erfüllen nur Nachrichten die Bedingung, die von genau der angegebenen IP-Adresse stammen.
•entspricht nicht—Diese Methode arbeitet spiegelverkehrt zur vorherigen Methode. Entspricht der Inhalt des zu vergleichenden Elements nicht genau dem Suchausdruck, so ist die Bedingung erfüllt. Wählen Sie beispielsweise IP als zu vergleichendes Element, und wählen Sie dann entspricht nicht als Vergleichs-Methode und "192.168.0.1" als Suchausdruck, so erfüllen alle Nachrichten die Bedingung, außer den Nachrichten, die von genau der angegebenen IP-Adresse stammen.
•beginnt mit—Diese Methode ergibt einen Treffer, falls der Inhalt des zu vergleichenden Elements mit dem Suchausdruck beginnt. Wählen Sie beispielsweise Betreff als zu vergleichendes Element, und wählen Sie , und wählen Sie dann beginnt mit als Vergleichs-Methode und "[AlleMitarbeiter]" als Suchausdruck, so erfüllen alle Nachrichten die Bedingung, deren Betreffzeile mit dem Text "[AlleMitarbeiter]" beginnt.
•beginnt nicht mit—Diese Methode arbeitet spiegelverkehrt zur vorherigen Methode. Beginnt der Inhalt des zu vergleichenden Elements nicht mit dem Suchausdruck, so ist die Bedingung erfüllt. Wählen Sie beispielsweise Betreff als zu vergleichendes Element, und wählen Sie dann beginnt nicht mit als Vergleichs-Methode und "[AlleMitarbeiter]" als Suchausdruck, so erfüllen alle Nachrichten die Bedingung, außer denen, deren Betreffzeile mit dem Text "[AlleMitarbeiter]" beginnt.
•endet auf—Diese Methode ergibt einen Treffer, falls der Inhalt des zu vergleichenden Elements mit dem Suchausdruck endet. Wählen Sie beispielsweise RCPT (An) als zu vergleichendes Element, und wählen Sie dann endet auf als Vergleichs-Methode und ".cn" als Suchausdruck, so erfüllen alle Nachrichten die Bedingung, die an einen Empfänger gerichtet sind, dessen Adresse auf ".cn" endet.
•endet nicht auf—Diese Methode ergibt einen Treffer, falls der Inhalt des zu vergleichenden Elements nicht mit dem Suchausdruck endet. Wählen Sie beispielsweise RCPT (An) als zu vergleichendes Element, und wählen Sie dann endet nicht auf als Vergleichs-Methode und ".cn" als Suchausdruck, so erfüllen alle Nachrichten die Bedingung, außer denen, die an einen Empfänger gerichtet sind, dessen Adresse auf ".cn" endet.
•stimmt mit Regulärem Ausdruck überein—Wählen Sie diese Option, um für den Vergleich und die Prüfung des zu vergleichenden Elements einen Regulären Ausdruck zu nutzen.
Weitere Vergleichs-Methoden:
•ist ein lokaler Benutzer—Diese Vergleichs-Methode steht nur für die Optionen MAIL (Von) und RCPT (An) oben zur Verfügung. Bei ihrer Nutzung ist die Bedingung erfüllt, falls die Adresse zu einem lokalen SecurityGateway-Benutzer gehört. Wählen Sie beispielsweise MAIL (Von) als das zu vergleichende Element, so ist die Bedingung nur bei Nachrichten von lokalen Benutzern erfüllt.
•ist kein lokaler Benutzer—Diese Vergleichs-Methode steht nur für die Optionen MAIL (Von) und RCPT (An) oben zur Verfügung. Bei ihrer Nutzung ist die Bedingung erfüllt, falls die Adresse nicht zu einem lokalen SecurityGateway-Benutzer gehört. Wählen Sie beispielsweise MAIL (Von) als das zu vergleichende Element, so ist die Bedingung nur bei Nachrichten von externen Benutzern erfüllt, nicht jedoch bei Nachrichten von lokalen Benutzern.
•Kopfzeile existiert—Diese Vergleichs-Methode steht nur zur Verfügung, falls Sie oben als zu vergleichendes Element die Kopfzeile ausgewählt haben. Wählen Sie diese Option, und geben Sie dann den Namen der Kopfzeile in das entsprechende Feld ein, so ist die Bedingung nur erfüllt, falls die angegebene Kopfzeile in der Nachricht enthalten ist. Geben Sie beispielsweise "X-Meine-benutzerdefinierte-Kopfzeile" als Namen der Kopfzeile ein, so erfüllen alle Nachrichten die Bedingung, die diese Kopfzeile enthalten. Nachrichten ohne die Kopfzeile erfüllen die Bedingung nicht.
•Kopfzeile existiert nicht—Diese Vergleichs-Methode steht nur zur Verfügung, falls Sie oben als zu vergleichendes Element die Kopfzeile ausgewählt haben. Wählen Sie diese Option, und geben Sie dann den Namen der Kopfzeile in das entsprechende Feld ein, so ist die Bedingung nur erfüllt, falls die angegebene Kopfzeile in der Nachricht nicht enthalten ist. Geben Sie beispielsweise "X-Meine-benutzerdefinierte-Kopfzeile" als Namen der Kopfzeile ein, so erfüllen alle Nachrichten die Bedingung, die diese Kopfzeile nicht enthalten. Nachrichten mit dieser Kopfzeile erfüllen die Bedingung nicht.
•Nachricht ist/ist nicht [eingehend|abgehend|intern]—Diese Vergleichs-Methoden sind nur für das Element MAIL (Von) und RCPT (An) verfügbar. Es werden die Parameter der SMTP-Befehle "MAIL From" und "RCPT To" dazu verwendet, um zu prüfen, ob eine Nachricht eingehend, abgehend oder intern ist, oder ob eine Nachricht nicht eingehend, nicht abgehend oder nicht intern ist.
Eingehend—Dies sind Nachrichten, die an lokale Benutzer gerichtet sind und nicht von lokalen Benutzern derselben Domäne stammen.
Outbound—Dies sind Nachrichten, die von lokalen Benutzern stammen und nicht an lokale Benutzer derselben Domäne gerichtet sind.
Internal—Dies sind Nachrichten, die von lokalen Benutzern stammen und an lokale Benutzer derselben Domäne gerichtet sind.
Nachdem Sie die Bedingungen für Ihre Regel festgelegt haben, müssen Sie im Editor für die Regeln noch mithilfe des entsprechenden Feldes die Aktion festlegen, die der Inhaltsfilter ausführen soll, falls eine Nachricht die Bedingungen der Regel erfüllt. Es stehen sieben Aktionen zur Verfügung:
•Abweisen—Diese Aktion bewirkt, dass eine Nachricht abgewiesen wird, falls sie die Bedingungen der Regel erfüllt. Nach Auswahl dieser Option erscheint weiter unten das Eingabefeld SMTP-Meldung. In dieses Eingabefeld können Sie einen Text eintragen, der beim Abweisen der Nachricht im SMTP-Protokolldialog übermittelt wird. Tragen Sie beispielsweise "Wir wollen Ihren Spam nicht haben!" in das Feld SMTP-Meldung ein, so übermittelt SecurityGateway für Nachrichten, die die Bedingungen der Regel erfüllen, im SMTP-Protokolldialog "550 Wir wollen Ihren Spam nicht haben!" und weist die Nachricht ab. Bitte bedenken Sie beim Abfassen dieser Meldung, dass sie allenfalls auch für ausländische Serverbetreiber verständlich sein sollte; es ist daher sinnvoll, immer auch einen englischen Textteil vorzusehen.
•Verwerfen—Diese Aktion bewirkt, dass eine Nachricht verworfen wird, falls sie die Bedingungen der Regel erfüllt. Anders als bei der Aktion Abweisen wird bei dieser Aktion keine SMTP-Meldung übermittelt, und es wird auch keine Nachricht über einen Zustellfehler versandt. Die Nachricht wird ohne weiteres gelöscht.
•Quarantäne—Diese Aktion bewirkt, dass eine Nachricht, die die Bedingungen der Regel erfüllt, in den Quarantäne-Ordner des Benutzers verschoben wird, falls der Empfänger ein lokaler Benutzer ist. Ist der Empfänger ein externer Benutzer, so wird die Nachricht stattdessen in die Administrative Quarantäne verschoben.
•Administrative Quarantäne—Diese Aktion bewirkt, dass eine Nachricht in die Administrative Quarantäne gegeben wird, falls sie die Bedingungen der Regel erfüllt.
•Umleiten—Diese Aktion bewirkt, dass eine Nachricht an eine andere Adresse umgeleitet wird, falls sie die Bedingungen der Regel erfüllt. Nach Auswahl dieser Aktion erscheint ein Eingabefeld An, in das Sie die Zieladresse für die Umleitung eingeben können. Umgeleitete Nachrichten werden dem ursprünglichen Empfänger nicht zugestellt; sie werden ohne weiteres an die angegebene Adresse versandt.
•Kopie—Diese Aktion bewirkt, dass eine Kopie der Nachricht an eine zusätzliche E-Mail-Adresse versandt wird. Nach Auswahl dieser Aktion erscheint ein Eingabefeld An, in das Sie die Zieladresse des zusätzlichen Empfängers eingeben können. Die Aktion ähnelt der Aktion Umleiten, jedoch erhalten sowohl der ursprüngliche Empfänger als auch die für die Aktion festgelegte Adresse je eine Kopie der Nachricht. Um Kopien einer Nachricht an mehrere zusätzliche Empfänger zu senden, müssen Sie für jede Adresse eine gesonderte Aktion anlegen.
•Hinweis senden (Warnung)—Diese Aktion bewirkt, dass ein Hinweis oder eine Warnung per E-Mail an einen bestimmten Empfänger versandt wird, sobald eine Nachricht die Bedingungen der Regel erfüllt. Nach Auswahl dieser Aktion erscheinen weitere Eingabefelder, in denen Sie Empfänger (An), Absender (Von), Betreff und Nachrichtentext (den Inhalt der Nachricht) festlegen können. Sie können mithilfe mehrere Makros verschiedene Daten dynamisch und automatisch in die Nachricht einfügen. Findet SecurityGateway ein Makro im Nachrichtentext, so wird das Makro durch den entsprechenden Inhalt ersetzt. Folgende Makros stehen Ihnen zur Verfügung:
$SENDER$—Dieses Makro wird durch die Adresse aus dem SMTP-Befehl MAIL From ersetzt; diese Adresse wird der Nachricht entnommen, die die Bedingungen der Regel erfüllt hat. Ein Beispiel hierzu: "sender@example.net".
$SENDERMAILBOX$—Dieses Makro wird nur durch den Postfachnamen aus der E-Mail-Adresse ersetzt, die im SMTP-Befehl MAIL From übergeben wurde. Bei der Adresse "absender@example.net" ist dies "absender".
$SENDERDOMAIN$—Dieses Makro wird nur durch den Domänennamen aus der E-Mail-Adresse ersetzt, die im SMTP-Befehl MAIL From übergeben wurde. Bei der Adresse "absender@example.net" ist dies "example.net".
$RECIPIENT$—Dieses Makro wird ersetzt durch die Adresse aus dem SMTP-Befehl RCPT To ersetzt, der für die Nachricht übermittelt wurde, die die Bedingungen der Regel erfüllt. Ein Beispiel hierzu: "empfaenger@example.com".
$RECIPIENTMAILBOX$—Dieses Makro wird nur durch den Postfachnamen aus der E-Mail-Adresse ersetzt, die im SMTP-Befehl RCPT To übermittelt wurde. Bei der Adresse "empfaenger@example.com" ist dies "empfaenger".
$RECIPIENTDOMAIN$—Dieses Makro wird nur durch den Domänennamen aus der E-Mail-Adresse ersetzt, die im SMTP-Befehl RCPT To übermittelt wurde. Bei der Adresse "empfaenger@example.com" ist dies "example.com"
$SUBJECT$—Dieses Makro wird ersetzt durch den Inhalt der Betreffzeile der Nachricht, die die Bedingungen der Regel erfüllt hat.
$MESSAGEID$—Dieses Makro wird ersetzt durch den Inhalt der Kopfzeile Message-ID (Nachrichten-ID) der Nachricht.
$DATESTAMP$—Dieses Makro wird ersetzt durch das Datum der Nachricht.
$CURRENTTIME$—Dieses Makro wird ersetzt durch die Zeit, zu der SecurityGateway die Hinweisnachricht erstellt.
$HELONAME$—Dieses Makro wird durch den Domänennamen ersetzt, der im Befehl HELO während des SMTP-Protokolldialogs für die Nachricht übermittelt wurde, die die Bedingungen der Regel erfüllt.
•Punkte der Nachrichtenbewertung hinzurechnen—Diese Aktion bewirkt, dass eine bestimmte Punktzahl der Nachrichtenbewertung hinzugerechnet wird, falls eine Nachricht die Bedingungen dieser Regel erfüllt.
•Senden als registrierte E-Mail-Nachricht (RMail)—Diese Aktion bewirkt, dass für Nachrichten, die die Bedingungen der Regel erfüllen, die Leistungsmerkmale für registrierte E-Mail-Nachrichten (RMail) genutzt werden.
Verschlüsseln—Diese Option bewirkt, dass die Nachricht verschlüsselt wird.
Sendungs- und Zustellungsverfolgung (Track & Prove)—Diese Option bewirkt, dass das Leistungsmerkmal Sendungs- und Zustellungsverfolgung ("Track & Prove") von RMail genutzt wird.
E-Signatur—Diese Option bewirkt, dass das Leistungsmerkmale E-Signatur von RMail zur elektronischen Signatur von Dokumenten genutzt wird.
•Nachricht für REQUIRETLS kennzeichnen—Diese Aktion bewirkt, dass RequireTLS für die Nachricht anwendbar ist.
•Als sichere Web-Nachricht senden—Diese Aktion bewirkt, dass die Nachricht nicht über den normalen Zustellweg für E-Mail-Nachrichten sondern über das Webportal für Sichere Nachrichten versandt wird.
Die Bedingungen für die Regeln zur Verhinderung von Datendiebstahl unterstützen auch die Vergleichs-Methode "stimmt mit Regulärem Ausdruck überein". Reguläre Ausdrücke (nach der englischen Bezeichnung Regular Expressions auch kurz als "regexp" bezeichnet) sind ein vielseitiges System, mit dessen Hilfe Sie nicht nur nach bestimmten Texten, Zeichenketten und Strings, sondern auch nach Textmustern suchen können. Ein Textmuster mit Regulären Ausdrücken besteht aus einer Folge bestimmter besonderer Zeichen, die Metazeichen genannt werden, und alphanumerischer Textzeichen, die auch "terminale Zeichen oder gewöhnliche Zeichen" genannt werden (etwa abc, 123 usw.). Mithilfe des Textmusters wird dann nach Übereinstimmungen in Texten gesucht — und das Ergebnis der Suche kann positiv oder negativ sein.
Die Implementation der Regulären Ausdrücke in SecurityGateway nutzt die Bibliothek PERL Compatible Regular Expression (PCRE). Sie erhalten nähere Informationen über diese Implementation der Regulären Ausdrücke unter http://www.pcre.org/ und http://perldoc.perl.org/perlre.html. Eine umfassende Darstellung der Regulären Ausdrücke bietet Reguläre Ausdrücke (3. Auflage 2007), erschienen bei O'Reilly Media, Inc. Die englische Originalfassung Mastering Regular Expressions, Third Edition, ist ebenfalls bei O'Reilly Media, Inc. erschienen. |
Metazeichen
Metazeichen sind besondere Zeichen, die innerhalb Regulärer Ausdrücke bestimmte Funktionen erfüllen. Das System der Regulären Ausdrücke, das in SecurityGateway implementiert ist, gestattet die Verwendung folgender Metazeichen:
\ | () [] ^ $ * + ? .
Metazeichen |
Beschreibung |
\ |
Wird der Backslash ("\" oder "umgekehrter Schrägstrich") vor ein Metazeichen gesetzt, so wird das folgende Metazeichen maskiert, also als gewöhnliches Zeichen behandelt. Dies ist nötig, wenn der Reguläre Ausdruck nach einem der besonderen Zeichen suchen soll, die sonst als Metazeichen verwendet werden. Beispielsweise muss ein Ausdruck, der nach dem Pluszeichen ("+") suchen soll, dafür die Zeichenkette "\+" enthalten. |
| |
Das Alternativzeichen (auch "Oder-Zeichen" oder "senkrechter Strich" genannt) wird verwendet, wenn entweder die Zeichenkette vor oder nach dem Oder-Zeichen mit dem zu durchsuchenden Text übereinstimmen soll. Der Reguläre Ausdruck "abc|xyz" sucht beispielsweise nach dem Vorkommen der Zeichenketten "abc" oder "xyz" in einem Text. |
[...] |
Eine von eckigen Klammern ("[" und "]") umschlossene Zeichenkette bedeutet, dass jedes beliebige Zeichen in der Kette mit dem zu durchsuchenden Text übereinstimmen soll. Ein Bindestrich ("-") zwischen den Zeichen in Klammern definiert eine Zeichenreihe. Wird beispielsweise die Zeichenkette "abc" mit dem Regulären Ausdruck "[a-z]" durchsucht, dann ergeben sich drei Treffer: "a", "b" und "c". Lautet statt dessen der Suchausdruck "[az]", so ergibt sich nur ein Treffer: "a". |
^ |
Das sog. "Caret" bezeichnet einen Zeilenanfang. In der Zeichenkette "abc ab a" ergibt der Suchausdruck "^a" einen Treffer, und zwar das erste Zeichen der durchsuchten Zeichenkette. Der Ausdruck "^ab" ergibt ebenfalls einen Treffer, und zwar die ersten beiden Zeichen in der durchsuchten Zeichenkette. |
[^...] |
Folgt das Caret ("^") direkt auf eine öffnende eckige Klammer ("["), so erfüllt es einen anderen Zweck. Es legt fest, dass die in der Klammer folgenden Zeichen keinen Treffer in der zu durchsuchenden Zeichenkette ergeben dürfen. Der Ausdruck "[^0-9]" bedeutet beispielsweise, dass das zu suchende Zeichen keine Ziffer sein darf. |
(...) |
Die runden Klammern beeinflussen die Reihenfolge, in der die Muster ausgewertet werden, und dient außerdem als getaggtes Suchmuster, das in Ausdrücken zum Suchen und Ersetzen verwendet werden kann. Die Ergebnisse einer Suche durch einen Regulären Ausdruck werden zwischengespeichert und können in der Anweisung zum Ersetzen verwendet werden, um einen neuen Ausdruck zu bilden. In der Anweisung zum Ersetzen können die Zeichen "&" oder "\0" enthalten sein; diese werden durch die Zeichenketten ersetzt, die während der Suche durch den Regulären Ausdruck gefunden wurden. Findet der Suchausdruck "a(bcd)e" beispielsweise eine Zeichenkette, so ersetzen die Ausdrücke "123-&-123" oder "123-\0-123" den gefundenen Text durch "123-abcde-123". In ähnlicher Weise können die besonderen Zeichen "\1", "\2", "\3" u.s.w. in dem Ausdruck verwendet werden, der Zeichenketten ersetzen soll. Diese Zeichen werden nur durch die unmittelbaren Ergebnisse des Suchmusters, nicht aber durch die vollständige gefundene Zeichenkette ersetzt. Die Zahl nach dem Backslash legt bei Regulären Ausdrücken mit mehr als einem Suchmuster fest, auf welches Suchmuster verwiesen werden soll. Lautet der Suchausdruck beispielsweise "(123)(456)", und lautet der Ausdruck zum Ersetzen "a-\2-b-\1", so wird eine gefundene Zeichenkette durch "a-456-b-123" ersetzt, wohingegen ein Ausdruck zum Ersetzen "a-\0-b" durch "a-123456-b" ersetzt wird. |
$ |
Das Dollarzeichen ("$") bezeichnet ein Zeilenende. In der Zeichenkette "13 321 123" ergibt der Ausdruck "3$" einen Treffer, und zwar das letzte Zeichen der Kette. Der Ausdruck "123$" ergibt ebenfalls einen Treffer, und zwar die letzten drei Zeichen in der Zeichenkette. |
* |
Das Zeichen Stern ("*") bestimmt, dass das ihm vorausgehende Zeichen mehrmals hintereinander vorkommen darf, aber nicht vorkommen muss. Daher ergibt "1*abc" für die Zeichenketten "111abc" und "abc" jeweils einen Treffer. |
+ |
Etwas anders als der Stern, bestimmt das Pluszeichen "+", dass das ihm vorausgehende Zeichen mindestens einmal in der Zeichenkette vorkommen muss, aber auch mehrfach vorkommen darf. Daher ergibt "1+abc" einen Treffer bei der Zeichenkette "111abc", nicht aber bei "abc". |
? |
Das Fragezeichen ("?") bestimmt, dass das ihm vorausgehende Zeichen mehrmals vorkommen darf, aber nicht vorkommen muss. Daher ergibt "1*abc" einen Treffer für den Text "abc" sowie einen Treffer für die Zeichenkette "1abc" aus dem Text "111abc". |
. |
Das Metazeichen Punkt (".") ergibt einen Treffer für jedes beliebige andere Zeichen. Daher ergibt ".+abc" einen Treffer für "123456abc", "a.c" ergibt einen Treffer für "aac", "abc", "acc" usw. |