问题
如何捕获和阻止包含可执行文件的嵌入式超链接?
答案
您可以使用邮件过滤器扫描正文和任何HTML附件。通常,这些电子邮件通过HTML电子邮件传入。 要使扫描引擎检测到它,必须使用body-contains条件。如果仅处理出站邮件,则可以使用“only-body-contains”条件。
以下邮件过滤器将查找以可执行文件结尾的任何长度的超链接。满足条件后,将激活两个操作。第一个操作是通过向admin@example.com发送邮件来通知本地管理员。
第二个步骤是删除邮件的最后操作。电子邮件不需要丢弃,但可以隔离。 删除“drop();”的以下操作可以替换为“quarantine('Policy');”的操作。
必须定义隔离区,否则过滤器引擎将不允许该过滤器。您可以使用默认策略隔离区,也可以创建您自己的隔离区(请参阅手册中的隔离区以创建或删除隔离区)。
Block_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
notify ("admin@example.com");
drop();
}
还可以使用此版本,从正文中删除不良URL并将其替换为URL REMOVED。
remove_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
edit-body-text("://\\S*\\.exe(\\s|\\b|$)", "URL REMOVED");
}
有关如何输入邮件过滤器的详细说明,请参阅如何向Cisco IronPort设备添加新的邮件过滤器?
请参阅《邮件安全设备Cisco ESA AsyncOS高级用户指南》中名为“策略实施”的部分,查看邮件过滤器。
反馈