Как заблокировать входящие электронные письма, которые имеют пробел к полю и вложению zip?
Моя компания имела дело с некоторыми вирусами в последнее время, и я заметил, что шаблон во всех них был то, что они отправляются с каждым получателем в "скрытой копии": поле и пустое "к": поле наряду с вложением zip-файла. Мы в настоящее время используем обменный 2010 и имеем Exchange Защита Онлайн.
До сих пор мы имели дело с ним путем блокирования имени файла вложения, как только мы видим, что электронная почта входит, но я действительно хотел бы более превентивный подход.
Я пытался создать правило в EOP для удаления всех электронных писем, где адрес получателя соответствует любым текстовым шаблонам: "$ ^" и расширение файла любого вложения соответствуют "zip", но это не блокирует ни одного из моих тестовых электронных писем.
Какие-либо идеи?
Похоже, вы можете захотеть использовать конкретный предикат AnyOfToHeader . Статья Technet для справки .
Мой главный вопрос: почему этот мусор проходит через EOP? Иногда я получаю документы с макросами внутри архивов, но обычно EOP быстро отфильтровывает повторения этих элементов.
В моем клиенте я применил другой подход к архивам ZIP / RAR / 7z. У меня есть правило транспорта, которое доставляет [элементы, содержащие ZIP / RAR / 7z] в административный почтовый ящик вместо пользователя, поэтому я могу просмотреть содержимое и доставить его конечному пользователю. Это приводит к задержке для конечного пользователя, но это менее эффективно, чем cryptolocker или какая-то ерунда, которая обходит наши общие файловые ресурсы.
Exchange Online (который явно не является вашей операционной средой) должен иметь выход функции , который позволит уведомлять конечного пользователя при выполнении правила транспорта. Я собираюсь использовать это для создания электронного письма и запроса на обслуживание в нашем решении ITSM.