这些天我遇到了附件中的木马问题,例如:
- //EZuS.zip//invoice_scan_xcFSuO.xls.js 包含一个可能被感染的对象 HEUR:Trojan-Downloader.Script.Generic。
- //TuxX.zip//invoice_YAFFOg.doc.js包含一个可能被感染的对象HEUR:Trojan-Downloader.Script.Generic。
我有一个到内部服务器的中继。使用 postfix + amavis + spam assassin + clamav 进行中继。
我们需要发送和接收 .js 文件。所以我只想阻止 .doc*.js 和 .xls*.js
阻止此类垃圾邮件最有效的方法是什么?
答案1
Postfix 头检查
可以使用正则表达式来阻止双重扩展名。以下是如何阻止任何扩展名的示例。
创造 /etc/postfix/header_checks
并可能阻止其中一些扩展
按要求修改:这里有 2 种方法可以完成您要求的相同操作。
# do something with JS files
#
# method 1, much like what you asked for
/^(.*)name=\"(.*)\.[0-z]{3,}\.js\"$/ REJECT BAD_ATTACHMENT_3CHAR
# method 2, specific on extensions before the .js, customize as desired
/^(.*)name=\"(.*)\.(exe|lnk|dll|shs|vbe|hta|mht|com|vbs|vbe|js|jse|bat|cmd|vxd|scr|shm|pif|chm|pdf|zip|dmg)\.js\"$/ REJECT BAD_ATTACHMENT_PLUSJS
# log attachments
/^Content-(Type|Disposition):.*(file)?name=/ WARN ATTACHMENT
/^(.*)name=\"(.*)\./ WARN ATTACHMENT
配置后缀使用这个:
postconf -e "header_checks = regexp:/etc/postfix/header_checks"
postfix reload
首先在测试系统上执行此操作并留意系统日志。