21.7. Блокировка сообщений с вложениями
Проблема
Требуется заблокировать сообщения с определёнными видами вложений на уровне SMTP. Это может защитить сеть от распространения вредоносного ПО, передаваемого через вложения в электронные письма.
Решение
Для этого можно использовать следующий фрагмент с регулярными выражениями:
# Одна неразрывная строка
/filename="?(.*)\.(bat|cmd|com|dot|exe|hta|scr|pif|vbe|vbs)"?$/ REJECT keep your malware off my network
# Одна неразрывная строка
/^Content-(Disposition|Type).*name\s*=\s*"?(.+)\.(asd|hlp|ocx|reg|bat|c[ho]m|cmd|exe|vxd|p1f|scr|hta|jse?|sh[mbs]|vb[esx]|ws[fh])"?\s*$/ REJECT Attachments that contain or end in "$3" are prohibited on this server.
Сохраните этот код в файл /etc/postfix/mime_header_checks
. Затем добавьте в main.cf
следующую директиву:
mime_header_checks = regexp:/etc/postfix/mime_header_checks
После внесения изменений выполните команду postfix reload
, чтобы обновить конфигурацию. Этот пример позволяет блокировать файлы с расширениями, часто используемыми для распространения вредоносных программ (например, .bat
, .cmd
, .exe
и т. д.). При необходимости список расширений можно дополнить или изменить. В представленный список не включены форматы файлов Microsoft Office (.xls
, .doc
, .ppt
), но вы можете добавить их, если это необходимо для вашей системы безопасности.
Комментарий
Чтобы заблокировать все сообщения с вложениями, можно использовать более простое регулярное выражение:
/filename=.* REJECT all messages with attachments are rejected
При этом блокируются все виды вложений, включая VCard, вложенные подписи GPG, HTML-сообщения с вложенной графикой и сообщения Outlook/Outlook Express в формате MS-TNEF. Это может быть полезно в случае, если нет необходимости получать сообщения с вложениями. Следует учитывать, что формат MS-TNEF используется исключительно в Outlook и является закрытым стандартом, который может быть бесполезен для большинства пользователей, не работающих с этим почтовым клиентом.
В представленном списке в основном указаны форматы файлов, ассоциируемые с Microsoft. Это связано с тем, что большая часть вредоносного ПО распространяется именно через файлы, совместимые с Windows. Конечно, список можно настроить под конкретные нужды, добавляя или исключая любые расширения.
Для повышения безопасности рекомендуется регулярно обновлять список запрещённых расширений, учитывая новые угрозы. Постоянный анализ почтового трафика и мониторинг безопасности помогают минимизировать вероятность заражения сети.
См. также
Файл Postfix SMTPD_ACCESS_README
и access(5)
; статья «Unsafe File List» в Microsoft Knowledge Base Article 291369.