IT001

案發時間： 2015

現場(環境)：CentOS 6

被害人(套件名稱)：MailScanner

!!!!這邊是在分享很久以前遇到的一個真實案例!!!

筆錄(錯誤原因)：

寄件者有夾帶檔案，而該檔案可能為執行檔(.exe)的檔案 ;

或者寄件者電腦中毒，要寄的普通檔案中被塞入的.exe的病毒。

這邊分享的就是txt檔被塞東西。

詳細狀況(錯誤訊息)：

其實這個狀況，是完全不可以放行的。
但總會遇到有比較高階層的人說，

這個很急一定要馬上[ 寄信出去 / 收信進來 ]，

如果公司 &^%#^$%&$%&#  怎麼了怎辦 ?

可是站在 IT 資訊安全的立場上，絕對不能開也不准開。

解決方法有兩種:

1.  請寄件者把要寄送的副檔名另外壓縮起來做寄送的動作。 

               (我現在還是看到很多人會用郵件寄送執行類型的檔案....)

2  進mail Server進行修改 MailScanner部分

              (非常逼不得已，開完確認高階主管有將[ 寄信出去 / 收信進來 ]，

           確認後就馬上改回來)。

                       # ee /usr/local/etc/MailScanner/filetype.rules.conf

把圈起來的這行註解(#)掉就可以了。

這行主要是阻擋執行檔進出。

修改完就可以寄出執行檔（EXE），也可以收包含執行檔(EXE)的信進來。

但會要承擔相當的風險!!!

(1) 寄出執行檔郵件的公司 的 Mail  Server   一定會被列入黑名單。(這我經歷過)

(2  )收包含執行檔的信件真的沒問題嗎??如果有病毒呢???

3. 思考要不要換個地方重新開始 (大誤

       為了公司好，這種狀況你一定要去詳細說明，

為什麼不能寄送夾帶執行檔的檔案。

  況且你這邊寄得出去，對方也不一定收得到。

  因為收件者那邊的公司IT人員也不是笨蛋，

一定會阻擋夾帶執行檔的郵件下來。

  如果你一直沒辦法說明成功，就考慮考慮其他地方吧。

  不然後續出事你會被追究很大的責任。

   (本篇完)