Всем доброго времени суток.
Есть такое правило. И работает оно ...
deny message = This message contains dangerous file(s) in ZIP attachment.
condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}}
decode = default
condition = ${if match{${run{/usr/local/bin/unzip -l
$mime_decoded_filename}}} {\N(?i)\.(com|pif|scr|lnk|exe)\n\N} }
log_message = REJECTED: dangerous file in ZIP attachment
Но прошло на днях одно письмо ...
Не просто письмо, а с вложенным архивом, а в архиве исполняемый файл EXE.
И это был вирус. Его не открыли, не запустили, но пересылали - значит
приняли за важный документ (бухгалтерия) ...
Content-Type: application/x-zip-compressed;
name="=?windows-1251?B?yu7v6Ohf5O7q8+zl7fLu4l/k6/9f7uft4Oru7Ovl7ej/XzY0ODQ1L
mRvYy56aXA=?="
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="=?windows-1251?B?yu7v6Ohf5O7q8+zl7fLu4l/k6/9f7uft4Oru7Ovl7ej/XzY0O
DQ1LmRvYy56aXA=?="
Суть в том, что Exim не увидел $mime_filename с расширением zip, так как его
небыло в /var/spool/exim/scan ...
Как видим, вложение zip в письме есть. И почтовый клиент его видит.
А Exim - не видит.
Пример письма (вложением не прошло в рассылку) -
http://gmn.org.ua/1YT8IX-0000VA-1k.eml
Напоминаю, в письме во вложении вирус.
> -----Original Message-----
> From: Exim-users [mailto:[email protected]] On Behalf
> Of [email protected]
> Sent: Monday, February 02, 2015 4:02 PM
> To: Exim MTA на русском
> Subject: Re: [Exim-users] exe in zip
>
> > как блокировать прохождение письма, если в атаче
> > зип-архив.
>
> acl_smtp_mime = acl_check_mime
> begin acl
> acl_check_mime:
> deny message = A .zip attachment contains a Windows-executable file - \
> blocked because we are afraid of new viruses \
> not recognized [yet] by antiviruses.
> condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}}
> condition = ${if def:sender_host_address}
> !authenticated = *
> decode = default
> log_message = forbidden binary in attachment:
> filename=$mime_filename, \
> recipients=$recipients
> condition = ${if match{${run{/usr/local/bin/unzip -l \
> $mime_decoded_filename}}}\
> {\N(?i)\.(exe|com|vbs|bat|pif|scr|hta|js\
> |cmd|chm|cpl|jsp|reg|vbe|lnk|dll|sys|btm|dat|msi|prf|vb)\n\N}}
>
> > в письмах, которые я видел обычно идет архив в архиве
> > - двойное архивирование.
>
> В run можно вписать распаковку и проверку.
>
> > Кламав я так понимаю не распаковывает второй архив что-ли? Но с
> этим
> > архивом в архиве можно разобраться - его можно просто
> заблокировать.
>
> Можно в список расширений добавить zip, но сначала проверить,
> не бывает ли "zip" в конце какой-то строки в начале или конце вывода
> unzip -l.
>
> _______________________________________________
> Exim-users mailing list
> [email protected]
> http://mailground.net/mailman/listinfo/exim-users
_______________________________________________
Exim-users mailing list
[email protected]
http://mailground.net/mailman/listinfo/exim-users
