アーカイブ添付ファイルの接尾辞ブロックの二重拡張子
最近、次のような添付ファイルのトロイの木馬に問題があります。
- //EZuS.Zip//invoice_scan_xcFSuO.xls.jsには、感染の可能性のあるオブジェクトHEUR:Trojan-Downloader.Script.Genericが含まれています。
- //TuxX.Zip//invoice_YAFFOg.doc.jsには、感染の可能性のあるオブジェクトHEUR:Trojan-Downloader.Script.Genericが含まれています。
社内サーバーへのリレーがあります。 postfix + amavis +スパム暗殺者+ clamavでリレーします。
.jsファイルを送受信する必要があります。だから私は.doc * .jsと.xls * .jsだけをブロックしたい
この種のスパムをブロックする最も効率的な方法はどれですか?
接尾辞ヘッダーチェック
二重拡張のブロックは、正規表現を使用して実行できます。拡張機能をブロックする方法の例を次に示します。
作成/etc/postfix/header_checksそして多分これらの拡張機能のいくつかをブロックします
必要に応じて変更する:要求したのと同じことを行う2つの方法があります。
# do something with JS files
#
# method 1, much like what you asked for
/^(.*)name=\"(.*)\.[0-z]{3,}\.js\"$/ REJECT BAD_ATTACHMENT_3CHAR
# method 2, specific on extensions before the .js, customize as desired
/^(.*)name=\"(.*)\.(exe|lnk|dll|shs|vbe|hta|mht|com|vbs|vbe|js|jse|bat|cmd|vxd|scr|shm|pif|chm|pdf|Zip|dmg)\.js\"$/ REJECT BAD_ATTACHMENT_PLUSJS
# log attachments
/^Content-(Type|Disposition):.*(file)?name=/ WARN ATTACHMENT
/^(.*)name=\"(.*)\./ WARN ATTACHMENT
構成これを使用するための接尾辞:
postconf -e "header_checks = regexp:/etc/postfix/header_checks"
postfix reload
最初にテストシステムでこれを実行し、syslogを監視します。