Re: [Exim-users] exim и блокировка внутри архивов вложений по расширению

Thu, 24 Oct 2013 03:05:15 -0700 

> >acl_check_mime:
> >   deny message = A .zip attachment contains a file with suspicious 
> >   extension
> >        condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}}
> >        decode = default
> >        condition = ${if match{${run{/usr/local/bin/unzip -l \
> >                                     $mime_decoded_filename}}\
> >{\N(?i)\.(com|vbs|bat|pif|scr|hta|js|cmd|chm|cpl|jsp|reg|vbe|lnk|dll|sys)\n\N}}
> >
> >   accept
> 
> К сожалению данный код не работает, буду разбираться.

Там одной скобки не хватает. Исправленный вариант (с добавкой блокировки
.exe в .zip и незаархивированных исполняемых файлов):

acl_check_mime:
  deny message = A .zip attachment contains a Windows-executable file - \
                 blocked because we are afraid of new viruses \
                 not recognized [yet] by antiviruses.
       condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}}
       condition = ${if def:sender_host_address}
       condition = ${if !def:sender_host_authenticated}
       decode = default
       condition = ${if match{${run{/usr/local/bin/unzip -l \
                                    $mime_decoded_filename}}}\
                             {\N(?i)\.(exe|com|vbs|bat|pif|scr|hta|js\
                              |cmd|chm|cpl|jsp|reg|vbe|lnk|dll|sys)\n\N}}

  deny message = Windows-executable attachments forbidden because we are \
                 afraid of new viruses not recognized [yet] by antiviruses.
       condition = ${if def:sender_host_address}
       condition = ${if !def:sender_host_authenticated}
       log_message = forbidden attachment: filename=$mime_filename, \
                     content-type=$mime_content_type, recipients=$recipients
       condition = ${if or{\
                           {match{$mime_content_type}{(?i)executable}}\
                           {match{$mime_filename}{\N(?i)\.(exe|com|vbs|bat|pif\
                     |scr|hta|js|cmd|chm|cpl|jsp|reg|vbe|lnk|dll|sys)$\N}}\
                          }}

  accept

Такая защита от вирусов рассчитана на совсем неграмотных пользователей
(тут приводили в пример некоторых бухгалтеров).
Однако, это не спасает их от спама со ссылками на редиректы на сайты с
drive-by exploit kits, молча устанавливающие в винду троянов,
используя дыры в винде, браузерах и их plugin-ах (Java, Flash, Acrobat).

_______________________________________________
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Ответить