在过去的几周里,我的公司被一群病毒淹没,包括一个.html附件。 其中一些受到UPS运输,一些西联。 他们都要求用户点击.html附件。 请注意,这些都没有被我networking上的任何安全软件所捕获。 主要是趋势科技产品,防毒墙networking版和Scanmail。
我试图把一些互联网的常识钻进我的人。 旧的, 如果真的很好 , 如果你不期待 ,等等,但我还有一些只是忘记了。 重新安装三台机器后,我意识到这是比我想象的更多的问题。 我的第一反应是阻止我们的趋势Scanmail服务器上的所有.html附件。 这似乎很好。 没有更多的病毒攻击。
这是我的问题。 我们的会计师/办公室经理今天来找我说,我需要允许.html文件。 看来她所有的在线会计服务都是通过.html附件进行交stream的。 她说,她已经失去了通讯,因为Scanmail正在删除所有的附件。
在我看来,真正的在线服务不应该通过电子邮件中的.html附件与客户进行交stream。 还有其他人同意吗? 这些附件是否被认为是安全的,还是属于与.exe和.bat的混合? 其他人如何处理这个问题? 我们是否应该联系这些服务,要求他们改变他们的政策? 我给出的当前设置唯一的其他选项是允许.html文件再次通过我所有的电子邮件用户。
趋势科技是否失去了联系? 我应该寻找新的安全软件吗? 我之所以select趋势科技,是因为他们在当时的performance相当不错,我不想使用赛门铁克或迈克菲(口碑不佳,长话短说)。 我该怎么办?
我们公司还在边界封锁.html附件。 我们也认为,对这种附件的需求不是很大。 然后,戴尔寄给我们一个价格报价,你猜,它是一个HTML附件。 我认为它比PDF文件稍微更标准化? 无论哪种方式,我们都清除了来自该域名的 HTML附件。 我认为这不是你的select?
趋势科技的performance我不能说太多。 你可能会尝试的一件事是将这些文件提交给这样的地方 ,这将会看到其他的AV厂商认为它是一个威胁。 这可能会告诉你,如果有一个更好的公司给你。
我们公司做的一件事似乎是相当成功的,就是在防火墙上阻止可执行文件的下载。 本质上,任何携带Windows可执行文件的HTTPstream量都会被阻塞。 我们有一个允许用户下载的白名单,如果他们真的需要的话,但是否则可以阻止一些令人惊讶的恶意软件通过。
几件事情:
该html本身并不是恶意软件,因此您的AV软件不会检测到任何东西。 点击该链接的动作启动一些包含恶意软件的链接,或者链接将浏览器引导至一个stream氓网站,然后该stream氓网站被用作恶意软件有效载荷的注入点。
这不是真正的UPS,联邦快递,西联汇款,国税局或任何其他实体发送这些电子邮件,因此联系这些实体之一,并要求他们停止发送这些电子邮件可能只会花费你的窃窃私语和guffaws。
如果每个客户端工作站上都有足够的实时AV扫描组件,那么如果用户单击其中一个链接,实时AV组件应该阻止恶意软件。 如果不是,我会研究为什么不是。
当用户收到来自UPS等的电子邮件,提示用户点击链接来收集他们的跟踪,运输等信息时,用户应该问自己:“我通过UPS运送东西了吗? 或“我期待Fedex的包裹吗?”等。如果答案是否定的,则删除电子邮件。 技术学不能解决缺乏常识的问题。 这里有一些严肃的terminal用户教育。
此外,不知道这个build议对您的networking体系结构有多大的可行性,但OpenDNS擅长阻止networking钓鱼/恶意软件网站 – 我在家里使用它,它似乎擅长它。
这些都没有被我的networking上的任何安全软件所捕获。 主要是趋势科技产品,防毒墙networking版和Scanmail
我可以推荐ClamAV (免费,跨平台)作为一个非常有效的networking钓鱼拦截器。 我已经看到一些报告显示它不如Anti-Virus中的一些商业扫描器 – 但是维护数据库很容易 – 和/或在MTA上使用SpamAssassin – 再次更新规则和贝叶斯数据库。
当然,因为只有一些硬件来运行它,所以它会乐于与当前的供应保持一致。
考虑一个外部的捕获和释放式消息过滤服务。
赛门铁克以Messagelabs的forms提供此function
Google以Postini的forms提供这个服务
这将更有效地控制networking边缘的垃圾邮件,同时仍然允许用户pipe理他们发现的垃圾邮件,并在必要时发布消息。
免责声明:可能有更多的公司提供类似的服务,所以货比三家find最适合你的。 我只是最熟悉上面的2。