2007 技術通報 - Web threat 防治二部曲-電子郵件防毒策略
上一期技術通報我們針對HTTP閘道提供各產品的建議設定來防範Web threat的攻擊,本期技術通報將針對電子郵件方面提出各項產品的建議設定,除了啟用Intellitrap與封鎖可執行檔外,也可設定封鎖較小的壓縮檔以避免病毒使用壓縮加密過的壓縮檔躲避防毒軟體的偵測.
- SMEX 7.0/8.0建議設定
- 啟用Apac Pattern功能(建議只在閘道端防毒軟體啟用)
1.1 點選「Update」->「Download Source」,選擇「Other Update Source」,輸入
http://smex-p.activeupdate.trendmicro.com/activeupdate/apac/,按「Save」並執行更新
- 啟用File Blocking 功能阻擋Executable File
注意事項:
阻擋所有可執行程式會阻擋所有挾帶著執行檔的信件。
2.1 點選「Attachment Blocking」,勾選「Enable Attachment Blocking」->「Specified Attachments」,選擇「Applications and Executables」,勾選「Executable and Linking Format」與「Executable」
- 啟用Intellitrap功能
3.1 請至下列網址下載tmblack.xxx與tmwhite.xxx兩個檔案〈xxx為版本號碼〉
http://smex-p.activeupdate.trendmicro.com/activeupdate/pattern/tmblack.zip
http://smex-p.activeupdate.trendmicro.com/activeupdate/pttern/tmwhite.zip
3.2 停止所有Smex的服
3.3 將檔案解壓縮至Smex存放病毒碼lpt$vpn.xxx的目錄
3.4 重新啟動Smex的服務
3.5 若使用SMEX 8.0,Intellitrap已經整合在介面中,直接勾選即可啟用。點選「Virus Scan」->「Intellitrap」->「Enable Intellitrap」
- 啟用Apac Pattern功能(建議只在閘道端防毒軟體啟用)
- SMD 3.0建議設定
- 啟用Apac Pattern(建議只在閘道端防毒軟體啟用)
1.1 點選Configurations->Policies
1.2 選擇「Default Policy」->「Schedule Update」,點選update rule
1.3 點選「Source」,選擇「Other Internet Source」,輸入http://smln-p.activeupdate.trendmicro.com/activeupdate/apac/
- 啟用File Blocking 功能阻擋Executable File
注意事項:
阻擋所有可執行程式會阻擋所有挾帶著執行檔的信件。
2.1 點選Configurations->Policies
2.2 選擇「Default Policy」,在Mail Scan的選項中點選Default Mail Scan Rule
2.3 點選「Scan Options」->「Attachment Filter」,勾選「Enable Attachment Filter」,在「Filter Attachment by File Type」下點選「Specified」,並勾選「Executables」
- 啟用Intellitrap功能
3.1 請至下列網址下載tmblack.xxx與tmwhite.xxx兩個檔案〈xxx為版本號碼〉
http://smln-p.activeupdate.trendmicro.com/activeupdate/pattern/tmblack.zip
http://smln-p.activeupdate.trendmicro.com/activeupdate/pttern/tmwhite.zip
3.2 執行下列指令停止SMD的服務
tell SMDreal quit
tell SMDmon quit
tell SMDemf quit
3.3 將檔案解壓縮至..\Lotus\Domino\Data資料夾下
3.4 執行下列指令啟動SMD的服務
load SMDreal
load SMDmon
load SMDemf
- 啟用Apac Pattern(建議只在閘道端防毒軟體啟用)
- IMSS 5.7建議設定
- 啟用IMSS Intellitrap功能
1.1 登入IMSS Console後,點選「Policy Manager」->「Global Policy」->「Virus」項目中的「Filter Type」,選擇「Edit」
1.2 在「IntelliTrap」下勾選Enable,選擇處理行動「Pass」or「Delete」,並勾選「Also send sample to TrendLabs」的選項以便將被偵測到的Sample送至趨勢科技病毒實驗室分析
- 如何設定攔截較小size的壓縮檔
某些病毒會將病毒檔案壓縮成zip與rar檔案,甚至加上密碼,造成防毒軟體無法偵測,這類型的病毒附加檔案通常檔案不會超過200K,可設定規則阻擋這類型的病毒郵件。
2.1 在Incoming Policy下新增一個Policy,Type選擇「General Content Filter Type」
2.2 在「Filtering criteria」下面選擇Message size小於200KB且附帶檔案為zip檔的
2.3 選擇Trigger的處理行動
- 如何啟用Apac Pattern
3.1 點選「Update」,「Schedule Update」,選擇「Other Internet Source」,輸入
http://imss-p.activeupdate.trendmicro.com/activeupdate/apac
,存檔後套用並更新
- 如何封鎖特定檔案類型
注意事項:
阻擋所有可執行程式會阻擋所有挾帶著執行檔的信件,若有特定人員不希望套用此規則,可設定mail group不套用此則
Policy。
4.1 點選「Global Policy」,將「Potential Virus-Infected Files」選擇「Active」
- 啟用IMSS Intellitrap功能
- IMSS 7.0建議設定
- 啟用IMSS Intellitrap功能
1.1 點選「Policy」->「Policy List」->「Global antivirus rule」
1.2 點選「And scanning conditions match」
1.3 勾選「Intellitrap」與「Send the Intellitrap samples to TrendLab」並按「Save」
- 如何攔截較小的size的壓縮檔
2.1 點選「Policy」->「Policy List」->「Add」
2.2 在上方下拉式選表中選擇「Incoming messages」,點選「Recipients」,在空白欄位填入內部的domian名稱並按下「Add」然後按「Save」
2.3 回前一畫面檢查Routing是否正確並按下一步
2.4 勾選「Attachment」中的「True file type」,設定Message Size < 200K,勾選後點選「True file type」
2.5 點選「Compressed files」,勾選「RAR」與「Zip」,按「Save」回到前一頁後按下一步
2.6 選擇不阻擋信件只刪除符合條件的附加檔案
- 如何封鎖特定檔案類型
3.1 請重複2.1-2.3的步驟
3.2 勾選「Attachment」中的「True file type」,勾選後點選「True file type」
3.3 勾選「Executable」並按「Save」回前頁後按下一步
3.4 選擇不阻擋信件只刪除符合條件的附加檔案
- 如何啟用Apac Pattern
4.1 點選「Administration」->「Updates」-> 「Source」,點選「Other Internet source」在空白欄位中輸入網址後按「Save」:
http://imss-p.activeupdate.trendmicro.com/activeupdate/server.ini
- 啟用IMSS Intellitrap功能
