17 Jan 2021
Centre d'assistance
»
Base de connaissances
»
Contrôle des pièces jointes
Connexion
[Mot de passe perdu]
Courriel:
Mot de passe:
Se souvenir de moi:
Recherche
-- Site d'assistance complet --
Base de connaissances
Formation par webinaires
Détails des articles
Imprimer l'article
Ajouter aux Favoris
Contrôle des pièces jointes
Solution
IceWarp
v10, v11, v12 -
Voici quelques recommandations pour se protéger des pièces jointes contenant des malware :
sur le serveur, il est recommandé de ne pas accepter des pièces jointes avec des extensions dangereuses, directement ou dans un zip
sur les postes de travail, installer de préférence un antivirus autre que celui du serveur (qui est Kaspersky) pour avoir une meilleure garantie de détection.
Pour la partie serveur, le contrôle antivirus est effectué en tout premier dès que le mail est reçu.
1/ dans antivirus -> filtres d'extension, ajouter toutes les extensions que vous refuserez, notamment .exe
2/ Si le malware est encapsulé dans un ZIP protégé par mot de passe, l'antivirus intégré ne peut pas l'analyser. Il est recommandé de rejeter de tels fichiers en cochant antivirus -> avancé -> rejeter les fichiers protégés par mot de passe
3/ Si le virus malware est présenté comme une extension banale (ex: .pdf) ou encapsulé dans un zip (sans mot de passe), l'antivirus intégré devrait le détecter (faire une mise à jour de la base d'antivirus toutes les heures).
Mais, si jamais l'antivirus intégré ne détecte pas le virus/malware, on peut mettre un second niveau de sécurité en ajoutant un filtre spécifique pour refuser les fichiers avec une extension dangereuse (compressés dans une archive ou non).
Filtre de contrôle des extensions des pièces jointes
Avec les
versions 11 et 12
, il suffit de configurer les onglets "Filtres d'extension" et "Action" du menu Anti-Virus.
Pour éliminer les pièces jointes douteuses dans un .zip, il faut cocher "Appliquer les filtres d'extension aux archives"
Il n'est pas conseillé d'utiliser le filtre décrit ci-dessous en plus.
Avec la
version 10
, nous proposons un filtre spécifique ci-dessous
Le filtre proposé bloque les pièces jointes contenant des .exe, .cab, .msi, .elf, .dll, .java, .bat, .js, .pif, .com, .lnk, .ocx, .scr, .vbs, .cpl, .hta qu'elles soient jointes directement ou à l'intérieur d'un .zip
La liste des extensions peut être modifiée facilement.
Le mode d'emploi de ce filtre est :
Copier tous les fichiers du zip
téléchargeable ici
(scanzip.zip) dans un répertoire sur le serveur (appelé
D:\tmp\scanzip\ dans les fichiers téléchargés).
Le répertoire doit contenir 7 fichiers (3 .exe, 1 .bat, 1 .vbs et 2 .xml) ainsi qu'un sous répertoire (attachments) qui est vide.
Éditer les fichiers scanzip.bat (7 occurrences) et scanzip.vbs (1 occurrence) pour remplacer toutes les occurrences de D:\tmp\scanzip\ par le nom du répertoire dans lequel les fichiers de
scanzip.zip
ont été stockés.
Importer les deux filtres XML présents dans Mail -> Règles -> Filtres de contenu -> Importer.
Mettre les deux filtres assez haut dans la liste de filtres (juste après les 3 règles de base "delete messages with missing general headers", "fix rfc822 violation" et "fix missing message-id header"). Attention: Le filtre "extraire attachements" doit venir AVANT le filtre "bloquer les exécutables même dans un zip".
Dans la console, éditer les deux filtres pour remplacer le chemin D:\tmp\scanzip\ par le nom du répertoire où les fichiers
de
scanzip.zip
ont été stockés
(1 occurrence dans chaque filtre).
Éditer le filtre "bloquer les exécutables même dans un zip" pour (1) indiquer une adresse email valide dans l'action "transférer à" et (2) indiquer une adresse email dans le champ "De:" de l'action "message"
.
Éditer le filtre "bloquer les exécutables même dans un zip" pour personnaliser le texte de l'action "message" selon vos souhaits.
Pour modifier la liste de suffixes bloqués, éditer (1) le script scanzip.bat et (2) le filtre "bloquer les exécutables même dans un zip" - en respectant la syntaxe existante dans chaque fichier
Maj 20 mai 2014
Détails des articles
Code d'identification de l'article:
368
Créé le:
28 Nov 2013 10:31 AM
Cette réponse m'a été utile
Cette réponse ne m'a pas été utile
