Назад | Перейти на главную страницу

Postfix блокирует двойные расширения во вложении архива

Сейчас у меня проблемы с троянами во вложениях вроде:

  1. //EZuS.zip//invoice_scan_xcFSuO.xls.js содержит потенциально зараженный объект HEUR: Trojan-Downloader.Script.Generic.
  2. //TuxX.zip//invoice_YAFFOg.doc.js содержит потенциально зараженный объект HEUR: Trojan-Downloader.Script.Generic.

У меня есть реле к моему внутреннему серверу. Реле с постфиксом + amavis + spam assassin + clamav.

Нам нужно отправлять и получать файлы .js. Итак, я хочу заблокировать только .doc * .js и .xls * .js

Какой самый эффективный способ заблокировать такой спам?

Проверка заголовка Postfix

Блокировать двойные расширения можно с помощью регулярного выражения. Вот пример того, как заблокировать любое расширение.

Создайте /etc/postfix/header_checks и, возможно, заблокировать некоторые из этих расширений

При необходимости измените: вот два способа сделать то же, о чем вы просили.

# do something with JS files
#
# method 1, much like what you asked for
/^(.*)name=\"(.*)\.[0-z]{3,}\.js\"$/ REJECT BAD_ATTACHMENT_3CHAR

# method 2, specific on extensions before the .js, customize as desired
/^(.*)name=\"(.*)\.(exe|lnk|dll|shs|vbe|hta|mht|com|vbs|vbe|js|jse|bat|cmd|vxd|scr|shm|pif|chm|pdf|zip|dmg)\.js\"$/ REJECT BAD_ATTACHMENT_PLUSJS

# log attachments
/^Content-(Type|Disposition):.*(file)?name=/    WARN ATTACHMENT
/^(.*)name=\"(.*)\./                            WARN ATTACHMENT

Настроить постфикс, чтобы использовать это:

postconf -e "header_checks = regexp:/etc/postfix/header_checks"
postfix reload

Сначала сделайте это на тестовой системе и следите за системным журналом.