web-dev-qa-db-ja.com

アーカイブ添付ファイルの接尾辞ブロックの二重拡張子

最近、次のような添付ファイルのトロイの木馬に問題があります。

  1. //EZuS.Zip//invoice_scan_xcFSuO.xls.jsには、感染の可能性のあるオブジェクトHEUR:Trojan-Downloader.Script.Genericが含まれています。
  2. //TuxX.Zip//invoice_YAFFOg.doc.jsには、感染の可能性のあるオブジェクトHEUR:Trojan-Downloader.Script.Genericが含まれています。

社内サーバーへのリレーがあります。 postfix + amavis +スパム暗殺者+ clamavでリレーします。

.jsファイルを送受信する必要があります。だから私は.doc * .jsと.xls * .jsだけをブロックしたい

この種のスパムをブロックする最も効率的な方法はどれですか?

2
Max

接尾辞ヘッダーチェック

二重拡張のブロックは、正規表現を使用して実行できます。拡張機能をブロックする方法の例を次に示します。

作成/etc/postfix/header_checksそして多分これらの拡張機能のいくつかをブロックします

必要に応じて変更する:要求したのと同じことを行う2つの方法があります。

# do something with JS files
#
# method 1, much like what you asked for
/^(.*)name=\"(.*)\.[0-z]{3,}\.js\"$/ REJECT BAD_ATTACHMENT_3CHAR

# method 2, specific on extensions before the .js, customize as desired
/^(.*)name=\"(.*)\.(exe|lnk|dll|shs|vbe|hta|mht|com|vbs|vbe|js|jse|bat|cmd|vxd|scr|shm|pif|chm|pdf|Zip|dmg)\.js\"$/ REJECT BAD_ATTACHMENT_PLUSJS

# log attachments
/^Content-(Type|Disposition):.*(file)?name=/    WARN ATTACHMENT
/^(.*)name=\"(.*)\./                            WARN ATTACHMENT

構成これを使用するための接尾辞:

postconf -e "header_checks = regexp:/etc/postfix/header_checks"
postfix reload

最初にテストシステムでこれを実行し、syslogを監視します。

4
Aaron