Seguridad : Cisco Email Security Appliance

¿Cómo capturo y bloqueo los enlaces hipertexto integrados que tienen executables?

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Pregunta

¿Cómo capturo y bloqueo los enlaces hipertexto integrados que tienen executables?

Contribuido por los ingenieros de Cisco TAC.

Respuesta

Usted puede utilizar un filtro del mensaje para analizar el cuerpo y cualquier conexión HTML. Generalmente, estos correos electrónicos vienen adentro vía los correos electrónicos HTML.  Para que el motor de análisis lo detecte, usted debe utilizar cuerpo-contiene la condición. Si usted procesa solamente el correo saliente, después usted puede utilizar “solamente-cuerpo-contiene” la condición.

El filtro del siguiente mensaje buscará cualquier enlace hipertexto de la longitud ese los extremos con un ejecutable. Una vez que se cumple la condición, dos acciones activarán. La primera acción será notificar al administrador local enviando un correo electrónico a admin@example.com. 

El segundo será una última acción de caer el correo electrónico. El correo electrónico no necesita ser descenso, sino que por el contrario puede quarantined.  Quitando la acción abajo del drop(); ” puede ser substituido por la acción “de la cuarentena (“directiva "); . 

La cuarentena debe ser definida, si no el motor del filtro no permitirá el filtro. Usted puede o utilizar la cuarentena de la política predeterminada, o cree su propia cuarentena (refiera por favor a las cuarentenas en el manual para crear o para borrar las cuarentenas).

 

Block_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
notify ("admin@example.com");
drop();
}

Usted puede también utilizar esta versión que quitó los malos URL del cuerpo y substituidos les por el URL QUITADOS.

 

remove_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
edit-body-text("://\\S*\\.exe(\\s|\\b|$)", "URL REMOVED");
}

¿Para las instrucciones del detalle en cómo ingresar un filtro del mensaje, revise por favor cómo agrego un nuevo filtro del mensaje a mi aplicación de Cisco IronPort?

Refiera por favor a la GUÍA de USUARIO AVANZADO del ™ de Cisco ESA AsyncOS para que la aplicación de políticas llamada sección de los dispositivos de seguridad del correo electrónico revise los filtros del mensaje.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118454