Vraag
Hoe kan ik ingesloten hyperlinks met uitvoerbare bestanden vastleggen en blokkeren?
Antwoord
U kunt een berichtfilter gebruiken om de inhoud en eventuele HTML-bijlagen te scannen. Meestal, deze e-mails komen binnen via HTML e-mails. U moet de lichaamsbevattende voorwaarde gebruiken om het scanapparaat in staat te stellen het te detecteren. Als u alleen uitgaande post verwerkt, kunt u de voorwaarde 'only-body-bevat' gebruiken.
Het volgende bericht filter zal om het even welke lengtehyperlink zoeken die met uitvoerbaar eindigt. Wanneer aan de voorwaarde is voldaan, zullen twee acties in werking treden. De eerste actie zal zijn om de lokale beheerder op de hoogte te stellen door een e-mail te verzenden naar admin@example.com.
De tweede zal een laatste actie zijn van het laten vallen van de e-mail. De e-mail hoeft niet te worden verwijderd, maar kan in quarantaine worden geplaatst. Het verwijderen van de actie hieronder van 'drop();' kan worden vervangen door de actie 'quarantaine('beleid');'.
De quarantaine moet worden gedefinieerd, anders staat de filtermotor het filter niet toe. U kunt de standaard Policy quarantaine gebruiken, of uw eigen quarantaine maken (raadpleeg de quarantaine in de handleiding om quarantaine te maken of te verwijderen).
Block_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
notify ("admin@example.com");
drop();
}
U kunt ook deze versie gebruiken die de slechte URL's uit de behuizing verwijderde en door de URL VERWIJDERDE.
remove_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
edit-body-text("://\\S*\\.exe(\\s|\\b|$)", "URL REMOVED");
}
Raadpleeg Hoe kan ik een nieuw berichtfilter aan mijn Cisco IronPort-applicatie toevoegen voor uitgebreide instructies over het invoeren van een berichtfilter?
Raadpleeg de sectie Cisco ESA AsyncOS ADVANCED USER GUIDE for Email Security applicaties genaamd Beleidshandhaving om berichtfilters te bekijken.
Feedback