问题

如何捕获并且阻塞有可执行软件的嵌入式超链接？

答案

您能使用消息过滤器扫描正文和所有HTML附件。通常，这些电子邮件通过HTML电子邮件进来。 为了扫描引擎能检测它，您必须使用正文包含情况。如果只处理出站邮件，则您能使用‘只正文包含’情况。

下列信息过滤器将寻找该所有长度的超链接与可执行的末端。一旦情况符合，两操作将激活。第一操作将是通知本地管理员通过发送电子邮件对admin@example.com。 

第二将是丢弃电子邮件最后的行动。电子邮件不需要是丢弃，反而可以被检疫。 删除下面操作‘drop(); ’能用‘检疫替换(‘策略的’操作); ’。 

必须定义检疫，否则过滤器引擎不会允许过滤器。您能或者使用默认策略检疫，或者请创建您自己的检疫(请参考的检疫创建或删除检疫的指南)。

 

Block_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
notify ("admin@example.com");
drop();
}

您能也使用删除坏URL从正文和替换他们用删除的URL的此版本。

 

remove_exe_urls: if body-contains("://\\S*\\.exe(\\s|\\b|$)")
{
edit-body-text("://\\S*\\.exe(\\s|\\b|$)", "URL REMOVED");
}

关于关于如何的详细信息说明输入消息过滤器，请查看我如何添加一个新的消息过滤器到我的思科IronPort设备？

请参考电子邮件安全工具部分呼叫的策略执行的思科ESA AsyncOS^™高级用户指南能查看消息过滤器。