Wie kann ich eingebettete Hyperlinks mit ausführbaren Dateien erfassen und blockieren?

Download-Optionen

  • PDF     (279.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (87.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (71.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. Oktober 2014
Dokument-ID:118454

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Frage
Antwort

Frage

Wie kann ich eingebettete Hyperlinks mit ausführbaren Dateien erfassen und blockieren?

Antwort

Sie können einen Nachrichtenfilter verwenden, um den Text und alle HTML-Anhänge zu scannen. In der Regel werden diese E-Mails über HTML-E-Mails zugestellt.  Damit die Scan Engine dies erkennt, müssen Sie die Bedingung body-contains (Textkörper enthält) verwenden. Wenn Sie nur ausgehende E-Mails verarbeiten, können Sie die Bedingung 'only-body-contains' verwenden.

Der folgende Nachrichtenfilter sucht nach einem Hyperlink in beliebiger Länge, der mit einer ausführbaren Datei endet. Sobald die Bedingung erfüllt ist, werden zwei Aktionen aktiviert. Die erste Aktion besteht darin, den lokalen Administrator durch Senden einer E-Mail an admin@example.com zu benachrichtigen. 

Der zweite Schritt ist der Abbruch der E-Mail. Die E-Mail muss nicht verworfen werden, sondern kann in Quarantäne verschoben werden.  Wenn Sie die unten angegebene Aktion von 'drop();' entfernen, kann sie durch die Aktion 'quarantine('Policy');' ersetzt werden. 

Die Quarantäne muss definiert werden, andernfalls lässt die Filter-Engine den Filter nicht zu. Sie können entweder die Standardquarantäne für Richtlinien verwenden oder eine eigene Quarantäne erstellen (siehe Quarantänen im Handbuch zum Erstellen oder Löschen von Quarantänen).

 

Block_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
notify ("admin@example.com");
drop();
}

Sie können auch diese Version verwenden, die die schädlichen URLs aus dem Text entfernt und durch URL ENTFERNT ersetzt hat.

 

remove_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
edit-body-text("://\\S*\\.exe(\\s|\\b|$)", "URL REMOVED");
}

Detaillierte Anweisungen zum Eingeben eines Nachrichtenfilters finden Sie unter Wie füge ich einen neuen Nachrichtenfilter zu meiner Cisco IronPort-Appliance hinzu?

Informationen zur Überprüfung von Nachrichtenfiltern finden Sie im Abschnitt Cisco ESA AsyncOS™ ADVANCED USER GUIDE for Email Security Appliances (Cisco ESA, AsyncOS, ERWEITERTE BENUTZERANLEITUNG für E-Mail-Security-Appliances) mit der Bezeichnung Policy Enforcement (Richtliniendurchsetzung).

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
13-Oct-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.