Postfix 阻止存档附件中的双重扩展名

Postfix 阻止存档附件中的双重扩展名

这些天我遇到了附件中的木马问题,例如:

  1. //EZuS.zip//invoice_scan_xcFSuO.xls.js 包含一个可能被感染的对象 HEUR:Trojan-Downloader.Script.Generic。
  2. //TuxX.zip//invoice_YAFFOg.doc.js包含一个可能被感染的对象HEUR:Trojan-Downloader.Script.Generic。

我有一个到内部服务器的中继。使用 postfix + amavis + spam assassin + clamav 进行中继。

我们需要发送和接收 .js 文件。所以我只想阻止 .doc*.js 和 .xls*.js

阻止此类垃圾邮件最有效的方法是什么?

答案1

Postfix 头检查

可以使用正则表达式来阻止双重扩展名。以下是如何阻止任何扩展名的示例。

创造 /etc/postfix/header_checks并可能阻止其中一些扩展

按要求修改:这里有 2 种方法可以完成您要求的相同操作。

# do something with JS files
#
# method 1, much like what you asked for
/^(.*)name=\"(.*)\.[0-z]{3,}\.js\"$/ REJECT BAD_ATTACHMENT_3CHAR

# method 2, specific on extensions before the .js, customize as desired
/^(.*)name=\"(.*)\.(exe|lnk|dll|shs|vbe|hta|mht|com|vbs|vbe|js|jse|bat|cmd|vxd|scr|shm|pif|chm|pdf|zip|dmg)\.js\"$/ REJECT BAD_ATTACHMENT_PLUSJS

# log attachments
/^Content-(Type|Disposition):.*(file)?name=/    WARN ATTACHMENT
/^(.*)name=\"(.*)\./                            WARN ATTACHMENT

配置后缀使用这个:

postconf -e "header_checks = regexp:/etc/postfix/header_checks"
postfix reload

首先在测试系统上执行此操作并留意系统日志。

相关内容