最近測試在 Fortigate 310B,看到擋到了一堆病毒訊息,雖然知道有擋到該病毒(擋掉附件 module.zip),但是垃圾郵件還是照常傳送進來,因此忍不住查詢了一下Log,整理之後,手動將之加入黑名單內。
該病毒是透過 smtp 傳送進來的,如果能在解析郵件標頭時,就先過濾掉的話,就不用再經過防毒機制掃描附件了,而且該封郵件也直接在防火牆就過濾掉了,不至於還跑進內部來。
當然,如果可以知道來源IP,則連解析郵件的動作都能省略,可惜這次的IP真的很多。
觀察了二天,暫時沒有發現有漏掉的。雖然是出現在 Fortigate 的 Spam 紀錄中,但是病毒訊息少了95%以上。(還是會有其他病毒攻擊)
附件:module.zip
Mail Domain:有7個,只要封鎖下列的Domain即可,7筆紀錄即可。
@banksystemid23923.com
@bankreport.com
@bankmailing.com
@banksystemid22133.com
@bankmailingsystem.com
@bankalerting.com
@supportbankmailing.com
IP:因為IP實在太多,即使整理出來,我也是懶得加入IP封鎖記錄,而且判斷條件太多也是增加防火牆的負擔。
沒有留言:
張貼留言