問題
如何捕獲和阻止具有執行檔的嵌入超連結?
答案
您可以使用郵件過濾器掃描正文和任何HTML附件。通常,這些電子郵件透過HTML電子郵件進入。 若要讓掃描引擎偵測到它,您必須使用body-contains條件。如果只處理出站郵件,則可以使用「only-body-contains」條件。
以下郵件過濾器將查詢以執行檔結尾的任何長度的超連結。一旦符合條件,就會啟動兩個動作。第一個動作是透過傳送電子郵件至admin@example.com來通知本機管理員。
第二步是最終刪除電子郵件。電子郵件不需要丟棄,而是可以隔離。 移除'drop();'下方的動作可以取代為'quarantine('Policy');'的動作。
必須定義隔離區,否則過濾器引擎將不允許該過濾器。您可以使用預設策略隔離區,也可以建立您自己的隔離區(請參閱手冊中的隔離區以建立或刪除隔離區)。
Block_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
notify ("admin@example.com");
drop();
}
您也可以使用此版本,從本文中刪除錯誤的URL,並將其替換為URL REMOVED。
remove_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
edit-body-text("://\\S*\\.exe(\\s|\\b|$)", "URL REMOVED");
}
有關如何輸入郵件過濾器的詳細說明,請參閱如何向Cisco IronPort裝置增加新郵件過濾器?
有關檢查消息過濾器的資訊,請參閱郵件安全裝置的思科ESA AsyncOS高級使用手冊部分(稱為策略實施)。