8-19
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Chapter8      Anti-Spam
Figure 8-9
Rules Updates Section of Security Services > IronPort 
Anti-Spam Page: GUI
Configuring Per-Recipient Policies for Anti-Spam
The IronPort Anti-Spam and IronPort Intelligent Multi-Scan solutions process 
email for incoming (and outgoing) mail based on policies (configuration options) 
you configure using the Email Security Manager feature. IronPort Anti-Spam and 
IronPort Intelligent Multi-Scan scan messages through their filtering modules for 
classification. The classification, or verdict, is then returned for subsequent 
delivery action. Four verdicts are possible: messages can be identified as not 
spam, identified as a unwanted marketing email, positively identified as spam, or 
suspected to be spam. Actions taken on messages positively identified as spam, 
suspected to be spam, or identified as unwanted marketing messages include:
Specifying a Positive or Suspected Spam threshold.
Choosing which overall action to take on unwanted marketing messages, 
positively identified spam, or suspected spam messages: deliver, drop, 
bounce, or quarantine. 
Archiving messages to an mbox-format log file. You must create a log to 
enable archiving messages identified as spam. See Archiving Identified 
Messages, page 8-22
Altering the subject header of messages identified as spam or marketing.
Sending messages to an alternate destination mailhost.
Adding a custom X-Header to messages.
Pdf data extraction open source - extract form data from PDF in C#.net, ASP.NET, MVC, Ajax, WPF
Help to Read and Extract Field Data from PDF with a Convenient C# Solution
how to extract data from pdf file using java; pdf form data extraction
Pdf data extraction open source - VB.NET PDF Form Data Read library: extract form data from PDF in vb.net, ASP.NET, MVC, Ajax, WPF
Convenient VB.NET Solution to Read and Extract Field Data from PDF
extract data from pdf forms; how to save a filled out pdf form in reader
Chapter8      Anti-Spam
8-20
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Sending messages to an alternate envelope recipient address. (For example, 
you could route messages identified as spam to an administrator’s mailbox for 
subsequent examination.) In the case of a multi-recipient message, only a 
single copy is sent to the alternate recipient.
Note
These actions are not mutually exclusive; you can combine some or all of them 
differently within different incoming or outgoing policies for different processing 
needs for groups of users. You can also treat positively identified spam differently 
from suspected spam in the same policy. For example, you may want to drop 
messages positively identified as spam, but quarantine suspected spam messages.
You enable IronPort Anti-Spam or IronPort Intelligent Multi-Scan actions on a 
per-recipient basis using the Email Security Manager feature: the Mail Policies > 
Incoming or Outgoing Mail Policies pages (GUI) or the 
policyconfig -> 
antispam
command (CLI). After the anti-spam solution has been enabled 
globally, you configure these actions separately for each mail policy you create. 
You can configure different actions for different mail policies.You can only enable 
one anti-spam solution per policy; you cannot enable both on the same policy.
Note
To enable anti-spam scanning for outgoing mail, you also need to check the 
anti-spam settings of the relevant host access table, especially for a private 
listener. For more information, see Mail Flow Policies: Access Rules and 
Parameters, page 5-11.
Each row in the Email Security Manager represents a different policy. Each 
column represents a different security service. 
Figure 8-10
Mail Policies - Anti-Spam Engine
C# PDF Text Extract Library: extract text content from PDF file in
using RasterEdge.XDoc.PDF; Please have a quick test by using the following C# example code for text extraction from PDF page. // Open a document.
fill in pdf form reader; filling out pdf forms with reader
VB.NET PDF Page Extract Library: copy, paste, cut PDF pages in vb.
Except provides PDF page extraction method in VB.NET, this page also gives VB This VB.NET code below can help you extract all images from PDF. ' Open a document
how to flatten a pdf form in reader; how to save filled out pdf form in reader
8-21
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Chapter8      Anti-Spam
Editing the Anti-Spam Settings for a Mail Policy
The process for editing the per-user anti-spam settings for a mail policy is 
essentially the same, whether the policy is for incoming or outgoing mail. 
Individual policies (not the default) have an additional field to “Use Default” 
settings. Selecting this causes the policy to adopt all of the Anti-Spam settings 
from the default mail policy.
See also Editing the Default Policy: Anti-Spam Settings, page6-33 for more 
information. 
To edit the anti-spam settings for a mail policy, including the default policy:
Step 1
Click the link for the Anti-Spam security service in any row of the Email Security 
Manager incoming or outgoing mail policy table. 
The Anti-Spam settings page similar to the one shown in Figure8-11 is displayed. 
Click the link in the default row to edit the settings for the default policy. 
Figure 8-11 shows the settings for a specific policy (not the default). Compare 
this screen with Figure6-6 on page6-35. Note how individual policies have the 
“Use Default” option. 
Step 2
Select the anti-spam solution you want to use for the policy. 
You can click Disabled to disable anti-spam scanning altogether for the mail 
policy.
Step 3
Configure settings for positively identified spam, suspected spam, and unwanted 
marketing messages. 
Figure 8-11 shows the IronPort Anti-Spam settings for the default mail policy 
about to be edited. See Positively Identified versus Suspected Spam, page8-25 
and Notes on Configuring Settings for Identified Messages, page8-22
Step 4
Submit and commit your changes. 
The Mail Policies > Incoming or Outgoing Mail Policies page is refreshed to 
reflect the values you chose in the previous steps. 
VB.NET PDF Text Extract Library: extract text content from PDF
'Please have a quick test by using the following example code for text extraction from PDF file in VB.NET program. ' Open a document.
save data in pdf form reader; extract pdf form data to excel
VB.NET PDF Image Extract Library: Select, copy, paste PDF images
below. DLLs for PDF Image Extraction in VB.NET. Document. Sample for extracting all images from PDF in VB.NET program. ' Open a document.
export excel to pdf form; how to fill out a pdf form with reader
Chapter8      Anti-Spam
8-22
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Notes on Configuring Settings for Identified Messages 
Positive/Suspected Spam Threshold
Enter a threshold value for positively identified spam and a value for suspected 
spam. For more information about spam thresholds, see Positive and Suspect 
Spam Threshold, page 8-24.
Action to Apply
Choose which overall action to take on positively identified spam, suspected 
spam, or unwanted marketing messages: Deliver, Drop, Bounce, or Quarantine.
Archiving Identified Messages
You can archive identified messages into the “Anti-Spam Archive” log. The 
format is an mbox-format log file. For more information, see the example below 
and refer to the “Logging” chapter of the Cisco IronPort AsyncOS for Email Daily 
Management Guide. 
Altering the Subject Header 
You can alter the text of the Subject header on identified messages by prepending 
or appending certain text strings to help users more easily identify and sort spam 
and unwanted marketing messages.
Note
White space is not ignored in the “Modify message subject” field. Add spaces 
after (if prepending) or before (if appending) the text you enter in this field to 
separate your added text from the original subject of the message. For example, 
add the text 
[SPAM]
with a few trailing spaces if you are prepending. 
Note
The “Add text to message” field only accepts US-ASCII characters.
Sending Identified Messages to an Alternate Destination Host
You can send identified messages to an alternate destination mailhost.
C# PDF Image Extract Library: Select, copy, paste PDF images in C#
C# Project: DLLs for PDF Image Extraction. In Document. C# programming sample for extracting all images from PDF. // Open a document.
export excel to pdf form; save data in pdf form reader
C# PDF File Merge Library: Merge, append PDF files in C#.net, ASP.
Merge Microsoft Office Word, Excel and PowerPoint data to PDF form. PDF document splitting, PDF page reordering and PDF page image and text extraction.
how to save editable pdf form in reader; how to save a pdf form in reader
8-23
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Chapter8      Anti-Spam
Adding a Custom X-Header
You can add a custom X-Header to identified messages. 
Click Yes and define the header name and text. 
Changing the Envelope Recipient Address
You can have identified messages sent to an alternate envelope recipient address. 
Click Yes and define an alternate address. 
For example, you could route messages identified as spam to an administrator’s 
mailbox for subsequent examination. In the case of a multi-recipient message, 
only a single copy is sent to the alternate recipient.
Figure 8-11
IronPort Anti-Spam Settings for a Mail Policy
C# PDF Page Extract Library: copy, paste, cut PDF pages in C#.net
document processing SDK supports PDF page extraction, copying and The portable document format, known as PDF document, is file that allows users to open & read
exporting pdf data to excel; extracting data from pdf forms
C# PDF Password Library: add, remove, edit PDF file password in C#
PDFDocument doc = PDFDocument.Open(intputFilePath, userPassword); // Define IsFillForm = true; // Content extraction is allowed true; // Add password to PDF file
exporting data from pdf to excel; exporting pdf form to excel
Chapter8      Anti-Spam
8-24
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Positive and Suspect Spam Threshold
When evaluating messages for spam, IronPort Anti-Spam and IronPort Intelligent 
Multi-Scan apply thousands of rules in order to arrive at an overall spam score for 
the message. To maintain its high accuracy, the both anti-spam solutions by 
default set this threshold value quite high. Messages returning a score between 90 
and 100 are considered to be positively identified as spam. You can change the 
positively identified spam threshold to a value between 75 (most aggressive) and 
99 (most conservative). You can configure the anti-spam solution to reflect the 
spam tolerance levels of your organization. Both IronPort Anti-Spam and IronPort 
Intelligent Multi-Scan provide a configurable Positive and Suspected spam 
threshold, applicable per mail policy. This allows you to create an optional 
category of “suspected spam” — a gray area of messages that are suspiciously 
similar to spam, but also share some traits with legitimate messages.
You can change the threshold setting of this new category to different levels of 
aggressiveness, so that any messages with scores below the configured suspected 
spam range will be considered legitimate, and any messages above the suspected 
threshold but below the positive threshold will be considered to be suspected spam 
and will be treated accordingly. You can also define a separate action to take on 
suspected spam; for example, you may wish to drop “positively identified” spam, 
but quarantine “suspected” spam.
The higher the number you enter, the higher the threshold for IronPort Anti-Spam 
rules used to determine if a message qualifies as suspected spam. Enter a lower 
number to enable a lower threshold and subsequently mark more messages as 
“possible spam” (which may result in a higher false positive rate). Conversely, 
enter a higher number if you want to ensure that only spam messages are being 
filtered (which may result in some spam getting through). The default value is 50. 
See Positively Identified versus Suspected Spam, page8-25 for common 
configurations using this two categories. 
The suspected spam threshold is set per mail policy for IronPort Anti-Spam.
C# PDF - Extract Text from Scanned PDF Using OCR SDK
Field Data. Data: Auto Fill-in Field Data. Field: Insert Recognize scanned PDF document and output OCR result to class source code for ocr text extraction in .NET
extract data from pdf form; extract table data from pdf to excel
C# TIFF: Use C#.NET Code to Extract Text from TIFF File
SDKs, C# users can easily add and perform text extraction functionality into Certainly, you may also render it to a PDF, Word or SVG Set the training data path
java read pdf form fields; online form pdf output
8-25
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Chapter8      Anti-Spam
Positively Identified versus Suspected Spam
Because IronPort Anti-Spam and IronPort Intelligent Multi-Scan make the 
distinction between positively identified and suspected spam (Positive and 
Suspect Spam Threshold, page 8-24), many users configure their systems in one 
of the following ways:
The first configuration method tags only suspected spam messages, while 
dropping those messages that are positively identified. Administrators and 
end-users can check the subject line of incoming message for false positives, and 
an administrator can adjust, if necessary, the suspected spam threshold. 
In the second configuration method, positively identified and suspected spam is 
delivered with an altered subject. Users can delete suspected and positively 
identified spam. This method is more conservative than the first.
See Table6-6 on page6-46 for a further discussion of mixing aggressive and 
conservative policies on a per-recipient basis using the Email Security Manager 
feature. 
Unwanted Marketing Message Detection
IronPort Anti-Spam and IronPort Intelligent Multi-Scan can distinguish between 
spam and unwanted marketing messages from a legitimate source. Even though 
marketing messages are not considered spam, your organization or end-users may 
not want to receive them. Like spam, you have the option to deliver, drop, 
Table 8-1
Common Example Configurations of Positively Identified and 
Suspected Spam
Spam
Method 1 Actions
(Aggressive)
Method 2 Actions
(Conservative)
Positively 
Identified
Drop
Deliver with “
[Positive Spam]
” 
added to the subject of messages
Suspected 
Deliver with “
[Suspected 
Spam]
” added to the subject of 
messages
Deliver with “
[Suspected 
Spam]
” added to the subject of 
messages
Chapter8      Anti-Spam
8-26
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
quarantine, or bounce unwanted marketing message. You also have the option to 
tag unwanted marketing messages by adding text to the message’s subject to 
identify it as marketing.
Headers Added by IronPort Anti-Spam and Intelligent Multi-Scan
If IronPort Anti-Spam scanning or Intelligent Multi-Scan is enabled for a mail 
policy, each message that passes through that policy will have the following 
header added to the message: 
A second header will also be inserted for each message filtered by IronPort 
Anti-Spam or Intelligent Multi-Scan. This header contains information that 
allows Cisco IronPort Support to identify the CASE rules and engine version used 
to scan the message:
IronPort Intelligent Multi-Scan also adds headers from the third-party anti-spam 
scanning engines.
In addition, using the Email Security Manager feature, you can define an 
additional custom header to be added to all messages for a given policy that are 
positively identified as spam, suspected to be spam, or identified as unwanted 
marketing mail. (See Adding a Custom X-Header, page8-23.) 
You can also create message filters that use the 
skip-spamcheck
action so that 
certain messages skip IronPort Anti-Spam scanning. For more information, refer 
to “Bypass Anti-Spam System Action” in “Using Message Filters to Enforce 
Email Policies,” of the Cisco IronPort AsyncOS for Email Advanced 
Configuration Guide. 
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam: result
8-27
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Chapter8      Anti-Spam
Reporting Incorrectly Classified Messages to Cisco IronPort 
Systems
Messages that appear to be incorrectly classified may be reported to Cisco 
IronPort for analysis. Each message is reviewed by a team of human analysts and 
used to enhance the accuracy and effectiveness of the product. Each message 
should be forwarded as an RFC 822 attachment to the following addresses:
spam@access.ironport.com - for reporting missed spam 
ham@access.ironport.com - for reporting false-positives 
For more information about reporting incorrectly classified messages, please see 
the Cisco IronPort Knowledge base or contact your Cisco IronPort Support 
provider.
Testing IronPort Anti-Spam
To quickly test the IronPort Anti-Spam configuration of your appliance: 
Step 1
Enable IronPort Anti-Spam on a mail policy (as above). 
Step 2
Send a test email that includes the following header to a user in that mail policy:
X-Advertisement: spam
For testing purposes, IronPort Anti-Spam considers any message with an 
X-header formatted as 
X-Advertisement: spam
to be spam. The test message you 
send with this header is flagged by IronPort Anti-Spam, and you can confirm that 
the actions you configured for the mail policy (Configuring Per-Recipient Policies 
for Anti-Spam, page 8-19) are performed. You can use the 
trace
command and 
include this header, or use a Telnet program to send SMTP commands to the 
appliance. See the “Testing and Troubleshooting” chapter in the Cisco IronPort 
AsyncOS for Email Daily Management Guide and AppendixA, “Accessing the 
Appliance” for more information. 
Note
Examining a message’s headers for specific headers added by IronPort Anti-Spam 
is another method to test the configuration of IronPort Anti-Spam on your 
appliance. See Headers Added by IronPort Anti-Spam and Intelligent Multi-Scan, 
page 8-26
Chapter8      Anti-Spam
8-28
Cisco IronPort AsyncOS 7.5 for Email Configuration Guide
OL-25136-01
Evaluating Anti-Spam Efficacy
Cisco strongly recommends evaluating the product using a live mail stream 
directly from the Internet. This is because IronPort Anti-Spam and IronPort 
Intelligent Multi-Scan rules are added quickly to prevent active spam attacks and 
quickly expire once attacks have passed. Testing using old messages will 
therefore lead to inaccurate test results.
Using the 
X-Advertisement: spam
header is the best method to test if your system 
configuration is correctly handling a message that would be considered spam if it 
were “live.” Use the 
trace
command (see Debugging Mail Flow Using Test 
Messages: Trace, page -446) or see the following example.
Common pitfalls to avoid while evaluating include:
Evaluating using resent or forwarded mail or cut-and-pasted spam messages
Mail lacking the proper headers, connecting IP, signatures, etc. will result in 
inaccurate scores.
Testing “hard spam” only
Removing the “easy spam” using SBRS, blacklists, message filters, etc. will 
result in a lower overall catch rate percentage.
Resending spam caught by another anti-spam vendor
Testing older messages
CASE adds and removes rules rapidly based on current threats. Testing using 
an older collection of messages will significantly distort the results.
Example
Use SMTP commands to send a test message with the 
X-advertisement: spam
header to an address to which you have access. Ensure that the mail policy is 
configured to receive messages for the test address (see Accepting Email for 
Local Domains or Specific Users on Public Listeners (RAT), page 5-71) and that 
the HAT will accept the test connection. 
# telnet IP_address_of_IronPort_Appliance_with_IronPort_Anti-Spam 
port
220 hostname ESMTP
Documents you may be interested
Documents you may be interested