Pregunta
¿Cómo capturo y bloqueo los hipervínculos incrustados que tienen ejecutables?
Respuesta
Puede utilizar un filtro de mensajes para analizar el cuerpo y los adjuntos HTML. Por lo general, estos correos electrónicos se envían a través de correos electrónicos HTML. Para que el motor de exploración lo detecte, debe utilizar la condición de cuerpo-contiene. Si sólo procesa correo saliente, puede utilizar la condición 'only-body-contains'.
El siguiente filtro de mensajes buscará cualquier hipervínculo de longitud que termine con un ejecutable. Una vez cumplida la condición, se activarán dos acciones. La primera acción consistirá en notificar al administrador local enviando un correo electrónico a admin@example.com.
La segunda será una acción final de descartar el correo electrónico. No es necesario que el correo electrónico se elimine, sino que se puede poner en cuarentena. La eliminación de la acción siguiente de 'drop();' puede ser reemplazada por la acción de 'quarantine('Policy');'.
Debe definirse la cuarentena; de lo contrario, el motor de filtrado no permitirá el filtro. Puede utilizar la cuarentena de políticas predeterminada o crear su propia cuarentena (consulte las cuarentenas del manual para crear o eliminar cuarentenas).
Block_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
notify ("admin@example.com");
drop();
}
También puede utilizar esta versión que eliminó las URL erróneas del cuerpo y las reemplazó por URL ELIMINADA.
remove_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
edit-body-text("://\\S*\\.exe(\\s|\\b|$)", "URL REMOVED");
}
Para obtener instrucciones detalladas sobre cómo introducir un filtro de mensajes, consulte ¿Cómo puedo agregar un nuevo filtro de mensajes a mi dispositivo Cisco IronPort?
Consulte la sección Cisco ESA AsyncOS ADVANCED USER GUIDE for Email Security Appliances denominada Aplicación de políticas para revisar los filtros de mensajes.
Comentarios