案發時間: 2015
現場(環境):CentOS 6
被害人(套件名稱):MailScanner
!!!!這邊是在分享很久以前遇到的一個真實案例!!!
筆錄(錯誤原因):
寄件者有夾帶檔案,而該檔案可能為執行檔(.exe)的檔案 ;
或者寄件者電腦中毒,要寄的普通檔案中被塞入的.exe的病毒。
這邊分享的就是txt檔被塞東西。
詳細狀況(錯誤訊息):
其實這個狀況,是完全不可以放行的。
但總會遇到有比較高階層的人說,
這個很急一定要馬上[ 寄信出去 / 收信進來 ],
如果公司 &^%#^$%&$%&# 怎麼了怎辦 ?
可是站在 IT 資訊安全的立場上,絕對不能開也不准開。
解決方法有兩種:
1. 請寄件者把要寄送的副檔名另外壓縮起來做寄送的動作。
(我現在還是看到很多人會用郵件寄送執行類型的檔案....)
2 進mail Server進行修改 MailScanner部分
(非常逼不得已,開完確認高階主管有將[ 寄信出去 / 收信進來 ],
確認後就馬上改回來)。
# ee /usr/local/etc/MailScanner/filetype.rules.conf
把圈起來的這行註解(#)掉就可以了。
這行主要是阻擋執行檔進出。
修改完就可以寄出執行檔(EXE),也可以收包含執行檔(EXE)的信進來。
但會要承擔相當的風險!!!
(1) 寄出執行檔郵件的公司 的 Mail Server 一定會被列入黑名單。(這我經歷過)
(2 )收包含執行檔的信件真的沒問題嗎??如果有病毒呢???
3. 思考要不要換個地方重新開始 (大誤
為了公司好,這種狀況你一定要去詳細說明,
為什麼不能寄送夾帶執行檔的檔案。
況且你這邊寄得出去,對方也不一定收得到。
因為收件者那邊的公司IT人員也不是笨蛋,
一定會阻擋夾帶執行檔的郵件下來。
如果你一直沒辦法說明成功,就考慮考慮其他地方吧。
不然後續出事你會被追究很大的責任。
(本篇完)