18 Jun 2018 
Centre d'assistance » Base de connaissances » Contrôle des pièces jointes
 Connexion [Mot de passe perdu] 
Courriel:
Mot de passe:
Se souvenir de moi:
 
 Recherche
 Détails des articles
 Contrôle des pièces jointes
Solution IceWarp v10 et v11 -

Voici quelques recommandations pour se protéger des pièces jointes contenant des malware :
  • sur le serveur, il est recommandé de ne pas accepter des pièces jointes avec des extensions dangereuses, directement ou dans un zip
  • sur les postes de travail, installer de préférence un antivirus autre que celui du serveur (qui est Kaspersky) pour avoir une meilleure garantie de détection.

Pour la partie serveur, le contrôle antivirus est effectué en tout premier dès que le mail est reçu.

1/ dans antivirus -> filtres d'extension, ajouter toutes les extensions que vous refuserez, notamment .exe

2/ Si le malware est encapsulé dans un ZIP protégé par mot de passe, l'antivirus intégré ne peut pas l'analyser. Il est recommandé de rejeter de tels fichiers en cochant antivirus -> avancé -> rejeter les fichiers protégés par mot de passe

3/ Si le virus malware est présenté comme une extension banale (ex: .pdf) ou encapsulé dans un zip (sans mot de passe), l'antivirus intégré devrait le détecter (faire une mise à jour de la base d'antivirus toutes les heures).
Mais, si jamais l'antivirus intégré ne détecte pas le virus/malware, on peut mettre un second niveau de sécurité en ajoutant un filtre spécifique pour refuser les fichiers avec une extension dangereuse (compressés dans une archive ou non).

Filtre de contrôle des extensions des pièces jointes

Avec la version 11, il suffit de configurer les onglets "Filtres d'extension" et "Action" du menu Anti-Virus.
Pour éliminer les pièces jointes douteuses dans un .zip, il faut cocher "Appliquer les filtres d'extension aux archives"
Il n'est pas conseillé d'utiliser le filtre décrit ci-dessous en plus.

Avec la version 10, nous proposons un filtre spécifique ci-dessous

Le filtre proposé bloque les pièces jointes contenant des .exe, .cab, .msi, .elf, .dll, .java, .bat, .js, .pif, .com, .lnk, .ocx, .scr, .vbs, .cpl, .hta qu'elles soient jointes directement ou à l'intérieur d'un .zip
La liste des extensions peut être modifiée facilement.

Le mode d'emploi de ce filtre est :
  • Copier tous les fichiers du zip téléchargeable ici (scanzip.zip) dans un répertoire sur le serveur (appelé D:\tmp\scanzip\ dans les fichiers téléchargés).
  • Le répertoire doit contenir 7 fichiers (3 .exe, 1 .bat, 1 .vbs et 2 .xml) ainsi qu'un sous répertoire (attachments) qui est vide.
  • Éditer les fichiers scanzip.bat (7 occurrences) et scanzip.vbs (1 occurrence) pour remplacer toutes les occurrences de D:\tmp\scanzip\ par le nom du répertoire dans lequel les fichiers de scanzip.zip ont été stockés.
  • Importer les deux filtres XML présents dans Mail -> Règles -> Filtres de contenu -> Importer.
  • Mettre les deux filtres assez haut dans la liste de filtres (juste après les 3 règles de base "delete messages with missing general headers", "fix rfc822 violation" et "fix missing message-id header"). Attention: Le filtre "extraire attachements" doit venir AVANT le filtre "bloquer les exécutables même dans un zip".
  • Dans la console, éditer les deux filtres pour remplacer le chemin D:\tmp\scanzip\ par le nom du répertoire où les fichiers de scanzip.zip ont été stockés (1 occurrence dans chaque filtre).
  • Éditer le filtre "bloquer les exécutables même dans un zip" pour (1) indiquer une adresse email valide dans l'action "transférer à" et (2) indiquer une adresse email dans le champ "De:" de l'action "message".
  • Éditer le filtre "bloquer les exécutables même dans un zip" pour personnaliser le texte de l'action "message" selon vos souhaits.
  • Pour modifier la liste de suffixes bloqués, éditer (1) le script scanzip.bat et (2) le filtre "bloquer les exécutables même dans un zip" - en respectant la syntaxe existante dans chaque fichier

Maj 20 mai 2014


Détails des articles
Code d'identification de l'article: 368
Créé le: 28 Nov 2013 10:31 AM

 Cette réponse m'a été utile  Cette réponse ne m'a pas été utile