Сейчас у меня проблемы с троянами во вложениях вроде:
- //EZuS.zip//invoice_scan_xcFSuO.xls.js содержит потенциально зараженный объект HEUR: Trojan-Downloader.Script.Generic.
- //TuxX.zip//invoice_YAFFOg.doc.js содержит потенциально зараженный объект HEUR: Trojan-Downloader.Script.Generic.
У меня есть реле к моему внутреннему серверу. Реле с постфиксом + amavis + spam assassin + clamav.
Нам нужно отправлять и получать файлы .js. Итак, я хочу заблокировать только .doc * .js и .xls * .js
Какой самый эффективный способ заблокировать такой спам?
Проверка заголовка Postfix
Блокировать двойные расширения можно с помощью регулярного выражения. Вот пример того, как заблокировать любое расширение.
Создайте /etc/postfix/header_checks
и, возможно, заблокировать некоторые из этих расширений
При необходимости измените: вот два способа сделать то же, о чем вы просили.
# do something with JS files
#
# method 1, much like what you asked for
/^(.*)name=\"(.*)\.[0-z]{3,}\.js\"$/ REJECT BAD_ATTACHMENT_3CHAR
# method 2, specific on extensions before the .js, customize as desired
/^(.*)name=\"(.*)\.(exe|lnk|dll|shs|vbe|hta|mht|com|vbs|vbe|js|jse|bat|cmd|vxd|scr|shm|pif|chm|pdf|zip|dmg)\.js\"$/ REJECT BAD_ATTACHMENT_PLUSJS
# log attachments
/^Content-(Type|Disposition):.*(file)?name=/ WARN ATTACHMENT
/^(.*)name=\"(.*)\./ WARN ATTACHMENT
Настроить постфикс, чтобы использовать это:
postconf -e "header_checks = regexp:/etc/postfix/header_checks"
postfix reload
Сначала сделайте это на тестовой системе и следите за системным журналом.