질문
실행 파일이 있는 포함된 하이퍼링크를 어떻게 캡처하고 차단합니까?
답변
메시지 필터를 사용하여 본문 및 HTML 첨부 파일을 스캔할 수 있습니다. 일반적으로 이러한 이메일은 HTML 이메일을 통해 전송됩니다. 검사 엔진이 이를 탐지하려면 body-contains 조건을 사용해야 합니다. 아웃바운드 메일만 처리하는 경우 'only-body-contains' 조건을 사용할 수 있습니다.
다음 메시지 필터는 실행 파일로 끝나는 모든 길이의 하이퍼링크를 찾습니다. 조건이 충족되면 두 가지 작업이 활성화됩니다. 첫 번째 작업은 admin@example.com으로 이메일을 보내 로컬 관리자에게 알리는 것입니다.
두 번째는 이메일을 삭제하는 최종 작업입니다. 이 이메일은 삭제할 필요는 없지만 격리할 수 있습니다. 'drop();' 아래의 작업을 제거하는 작업은 'quarantine('Policy');' 작업으로 대체할 수 있습니다.
격리를 정의해야 합니다. 그렇지 않으면 필터 엔진에서 필터를 허용하지 않습니다. 기본 정책 격리를 사용하거나 고유한 격리를 생성할 수 있습니다(격리를 생성하거나 삭제하려면 설명서의 격리를 참조하십시오).
Block_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
notify ("admin@example.com");
drop();
}
본문에서 잘못된 URL을 제거하고 URL REMOVED로 교체한 이 버전을 사용할 수도 있습니다.
remove_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
edit-body-text("://\\S*\\.exe(\\s|\\b|$)", "URL REMOVED");
}
메시지 필터를 입력하는 방법에 대한 자세한 지침은 How do I add a new message filter to my Cisco IronPort Appliance(내 Cisco IronPort 어플라이언스에 새 메시지 필터를 추가하려면 어떻게 합니까)?를 참조하십시오.
메시지 필터를 검토하려면 Cisco ESA AsyncOS ADVANCED USER GUIDE for Email Security Appliances 섹션(정책 시행이라고 함)을 참조하십시오.