سؤال
كيف يمكنني التقاط الارتباطات التشعبية المضمنة التي لها ملفات تنفيذية وحظرها؟
الإجابة
يمكنك إستخدام عامل تصفية الرسائل لمسح النص الأساسي وأي مرفقات HTML. عادة، تأتي هذه الرسائل عبر رسائل HTML. لكي يكتشف محرك المسح الضوئي ذلك، يجب أن تستخدم حالة إحتواء الجسم. إذا قمت بمعالجة البريد الصادر فقط، يمكنك إستخدام شرط 'فقط-body-contains'.
سيبحث عامل تصفية الرسائل التالي عن أي إرتباط تشعبي ذي طول ينتهي بملف تنفيذي. بمجرد استيفاء الشرط، سيتم تنشيط إجرائن. سيكون الإجراء الأول هو إعلام المسؤول المحلي عن طريق إرسال بريد إلكتروني إلى admin@example.com.
وسيكون الإجراء الثاني هو الإجراء النهائي لإسقاط البريد الإلكتروني. لا يلزم إسقاط البريد الإلكتروني، ولكن يمكن وضعه في الحجر الصحي بدلا من ذلك. يمكن إستبدال إزالة الإجراء أدناه من 'drop()؛' بالإجراء 'quarantine('policy')؛'.
يجب تحديد العزل، وإلا فلن يسمح محرك التصفية بعامل التصفية. يمكنك إما إستخدام العزل الافتراضي للنهج، أو إنشاء العزل الخاص بك (الرجاء الرجوع إلى الحجر الصحي في الدليل لإنشاء أو حذف الحجر الصحي).
Block_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
notify ("admin@example.com");
drop();
}
يمكنك أيضا إستخدام هذا الإصدار الذي قام بإزالة عناوين URL غير صحيحة من النص الأساسي واستبدالها بعنوان URL الذي تمت إزالته.
remove_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
edit-body-text("://\\S*\\.exe(\\s|\\b|$)", "URL REMOVED");
}
للحصول على إرشادات تفصيلية حول كيفية إدخال عامل تصفية الرسائل، يرجى مراجعة كيفية إضافة عامل تصفية رسائل جديد إلى جهاز Cisco IronPort؟
يرجى الرجوع إلى قسم دليل المستخدم المتقدم لأجهزة أمان البريد الإلكتروني Cisco ESA AsyncOS الذي يسمى فرض النهج لمراجعة عوامل تصفية الرسائل.
التعليقات