Question
Comment capturer et bloquer des liens hypertexte incorporés contenant des exécutables ?
Réponse
Vous pouvez utiliser un filtre de message pour analyser le corps et les pièces jointes HTML. En général, ces e-mails sont envoyés via des e-mails HTML. Pour que le moteur d'analyse puisse le détecter, vous devez utiliser la condition body-containeur. Si vous ne traitez que le courrier sortant, vous pouvez utiliser la condition « only-body-contents ».
Le filtre de message suivant recherche tout lien hypertexte de longueur se terminant par un exécutable. Une fois la condition remplie, deux actions sont activées. La première action consiste à avertir l'administrateur local en envoyant un e-mail à admin@example.com.
La deuxième étape consiste à supprimer l'e-mail. L'e-mail n'a pas besoin d'être supprimé, mais peut être mis en quarantaine. La suppression de l'action ci-dessous de 'drop();' peut être remplacée par l'action de 'quarantine('Policy');'.
La quarantaine doit être définie, sinon le moteur de filtrage n'autorise pas le filtre. Vous pouvez soit utiliser la quarantaine de stratégie par défaut, soit créer votre propre quarantaine (reportez-vous aux quarantaines du manuel pour créer ou supprimer des quarantaines).
Block_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
notify ("admin@example.com");
drop();
}
Vous pouvez également utiliser cette version qui a supprimé les URL incorrectes du corps et les a remplacées par URL REMOVED.
remove_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
edit-body-text("://\\S*\\.exe(\\s|\\b|$)", "URL REMOVED");
}
Pour obtenir des instructions détaillées sur la saisie d'un filtre de messages, consultez Comment ajouter un nouveau filtre de messages à mon appareil Cisco IronPort ?
Reportez-vous à la section Cisco ESA AsyncOS ADVANCED USER GUIDE for Email Security Appliances intitulée Policy enforcement pour consulter les filtres de messages.
Commentaires