Pergunta
Como capturar e bloquear hiperlinks incorporados que têm executáveis?
Resposta
Você pode usar um filtro de mensagem para examinar o corpo e todos os anexos HTML. Normalmente, esses e-mails chegam via e-mails em HTML. Para que o mecanismo de varredura o detecte, você deve usar a condição body-contains. Se você processar apenas e-mails de saída, poderá usar a condição 'only-body-contains'.
O filtro de mensagem a seguir procurará qualquer comprimento de hiperlink que termine com um executável. Quando a condição for atendida, duas ações serão ativadas. A primeira ação será notificar o administrador local enviando um e-mail para admin@example.com.
A segunda será uma ação final de remover o e-mail. O e-mail não precisa ser descartado, mas pode ser colocado em quarentena. A remoção da ação abaixo de 'drop();' pode ser substituída pela ação de 'quarantine('Policy');'.
A quarentena deve ser definida, caso contrário o mecanismo de filtro não permitirá o filtro. Você pode usar a quarentena padrão de política ou criar sua própria quarentena (consulte as quarentenas no manual para criar ou excluir quarentenas).
Block_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
notify ("admin@example.com");
drop();
}
Você também pode usar esta versão que removeu os URLs incorretos do corpo e os substituiu por URL REMOVIDO.
remove_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
edit-body-text("://\\S*\\.exe(\\s|\\b|$)", "URL REMOVED");
}
Para obter instruções detalhadas sobre como inserir um filtro de mensagem, consulte Como adiciono um novo filtro de mensagem ao meu dispositivo Cisco IronPort?
Consulte a seção Cisco ESA AsyncOS ADVANCED USER GUIDE for Email Security Appliances chamada Aplicação de política para revisar filtros de mensagem.
Feedback