Niebezpieczeństwo przychodzące do firm i instytucji poprzez pocztę elektroniczną jest ogromne.
Klikanie na linki, otwieranie plików zip z niby faktura czy CV to ogromne zagrożenie.
Poniżej opiszę jak przy pomocy clamav wycinać wiadomości, z załącznikami zip zawierającymi skompresowane, potencjalnie niebezpieczne zawartości.
Funkcjonalność tą starałem się rozwiązać poprzez postfix, amavis itp. jednakże bezskutecznie. Dopiero sugestia na grupie https://www.facebook.com/groups/sysopspolska/ dała światełko w tunelu.
Przechodząc do rzeczy, tworzy plik w katalogu lib clama /var/lib/clamav o zawartości:
Archived_EXE:*:*:.*\.exe:*:*:*:*:*:*
Archived_SCR:*:*:.*\.scr:*:*:*:*:*:*
Archived_PIF:*:*:.*\.pif:*:*:*:*:*:*
Archived_COM:*:*:.*\.com:*:*:*:*:*:*
Archived_VB:*:*:.*\.vb:*:*:*:*:*:*
Archived_VBS:*:*:.*\.vbs:*:*:*:*:*:*
Archived_VBE:*:*:.*\.vbe:*:*:*:*:*:*
Archived_JS:*:*:.*\.js:*:*:*:*:*:*
Archived_JSE:*:*:.*\.jse:*:*:*:*:*:*
Archived_WS:*:*:.*\.ws:*:*:*:*:*:*
Archived_WSF:*:*:.*\.wsf:*:*:*:*:*:*
Archived_WSC:*:*:.*\.wsc:*:*:*:*:*:*
Archived_WSH:*:*:.*\.wsh:*:*:*:*:*:*
Zapisujemy jako skasowac.cdb i restartujemy clama.
To tyle.