Моя компания в последнее время имеет дело с некоторыми вирусами, и я заметил закономерность во всех из них: они отправляются каждому получателю в поле «скрытая копия:» и пустое поле «Кому:» вместе с вложенным файлом zip. В настоящее время мы используем Exchange 2010 и используем Exchange Online Protection.
До сих пор мы боролись с этим, блокируя имя файла вложения, как только мы видим, что приходит электронное письмо, но мне действительно нужен более активный подход.
Я попытался создать правило в EOP для удаления всех электронных писем, адрес получателя которых соответствует любым текстовым шаблонам: «^ $» и любое расширение файла вложения соответствует «zip», но оно не блокирует ни одно из моих тестовых писем.
Любые идеи?
Похоже, вы можете захотеть использовать конкретный предикат AnyOfToHeader. Статья Technet для справки.
Мой более важный вопрос: почему этот мусор проходит через EOP? Иногда я получаю документы с макросами внутри архивов, но обычно EOP быстро отфильтровывает повторения этих элементов.
В моем клиенте я применил другой подход к архивам ZIP / RAR / 7z. У меня есть правило транспорта, которое доставляет [элементы, содержащие ZIP / RAR / 7z] в административный почтовый ящик вместо пользователя, поэтому я могу просмотреть содержимое и доставить его конечному пользователю. Это приводит к задержке для конечного пользователя, но это менее эффективно, чем cryptolocker или какая-то ерунда, которая обходит наши общие файловые ресурсы.
Exchange Online (который явно не является вашей операционной средой) должен иметь выпуск функции приближается, что позволит уведомить конечного пользователя о выполнении правила транспорта. Я собираюсь использовать это для создания электронного письма и запроса на обслуживание в нашем ITSM-решении.