Двойные расширения блока Postfix во вложении архива
Сейчас у меня проблемы с троянами во вложениях типа:
- // EZuS.zip//invoice_scan_xcFSuO.xls.js содержит потенциально зараженный объект HEUR: Trojan-Downloader. Script.Generic.
- // TuxX.zip//invoice_YAFFOg.doc.js содержит потенциально зараженный объект HEUR: Trojan-Downloader.Script.Generic.
У меня есть ретранслятор для моего внутреннего сервера. Реле с постфиксом + amavis + spam assassin + clamav.
Нам нужно отправлять и получать файлы .js. Итак, я хочу заблокировать только файлы .doc * .js и .xls * .js
Какой самый эффективный способ заблокировать такой спам?
Проверка заголовка Postfix
Блокирование двойных расширений может быть выполнено с помощью регулярного выражения. Вот пример того, как заблокировать любое расширение.
Создайте / etc / postfix / header_checks и, возможно, заблокируйте некоторые из этих расширений
При необходимости измените: Вот два способа сделать то же самое, что вы просили.
# do something with JS files
#
# method 1, much like what you asked for
/^(.*)name=\"(.*)\.[0-z]{3,}\.js\"$/ REJECT BAD_ATTACHMENT_3CHAR
# method 2, specific on extensions before the .js, customize as desired
/^(.*)name=\"(.*)\.(exe|lnk|dll|shs|vbe|hta|mht|com|vbs|vbe|js|jse|bat|cmd|vxd|scr|shm|pif|chm|pdf|zip|dmg)\.js\"$/ REJECT BAD_ATTACHMENT_PLUSJS
# log attachments
/^Content-(Type|Disposition):.*(file)?name=/ WARN ATTACHMENT
/^(.*)name=\"(.*)\./ WARN ATTACHMENT
Настроить postfix, чтобы использовать это:
postconf -e "header_checks = regexp:/etc/postfix/header_checks"
postfix reload
Сначала сделайте это на тестовой системе и следите за системным журналом.