質問
実行可能ファイルを含む埋め込みハイパーリンクをどのようにキャプチャおよびブロックできますか。
応答(Answer)
メッセージフィルタを使用して、本文およびHTML添付ファイルをスキャンできます。通常、これらの電子メールはHTML電子メールを介して送信されます。 スキャンエンジンで検出されるためには、body-contains条件を使用する必要があります。送信メールのみを処理する場合は、「本体のみ」の条件を使用できます。
次のメッセージフィルタは、実行可能ファイルで終わる長さのハイパーリンクを検索します。条件が満たされると、2つのアクションがアクティブになります。最初のアクションは、admin@example.comに電子メールを送信してローカル管理者に通知することです。
2つ目は、電子メールをドロップする最終的なアクションです。電子メールをドロップする必要はありませんが、代わりに隔離できます。 以下の'drop();'のアクションを削除すると、'quarantine('Policy');'のアクションに置き換えることができます。
隔離を定義する必要があります。定義しないと、フィルタエンジンでフィルタが許可されません。デフォルトのポリシー隔離を使用することも、独自の隔離を作成することもできます(隔離の作成または削除については、マニュアルの隔離を参照してください)。
Block_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
notify ("admin@example.com");
drop();
}
このバージョンを使用して、不正なURLを本文から削除し、URL REMOVEDに置き換えることもできます。
remove_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
edit-body-text("://\\S*\\.exe(\\s|\\b|$)", "URL REMOVED");
}
メッセージフィルタの入力方法の詳細については、「Cisco IronPortアプライアンスに新しいメッセージフィルタを追加するにはどうすればよいですか」を参照してください。
メッセージフィルタを確認するには、『Cisco ESA AsyncOS Advanced User Guide for Email Security Appliances』の「Policy enforcement」セクションを参照してください。