Bloquear correos con adjuntos maliciosos (virus, macros) Endian

Endian Firewall es una herramienta excelente para entre otras cosas, servir como proxy de correo. Entre muchas de las habilidades que provee, bloquea los archivos con determinadas extensiones incluidas en los mensajes de correo, desgraciadamente viene una lista definida y no tiene forma desde su herramienta de administración (al menos en la versión 3.0.x) de agregar nuevas.

Desde hace algunas semanas se ha puesto de moda los programas que encriptan los documentos y hojas de cálculo de la computadora, que no se pueden recuperar y tratan de extorsionarte para que pagues un monto si quieres que te liberen tus archivos. Para esto la solución sería utilizar algo en la nube (como Google Docs, iCloud de Apple u OneDrive de Microsoft). Éstas tres soluciones ofrecen de forma gratuita tener documentos en la nube y disponibles en cualquiera de tus dispositivos sin el peligro de ser "infectados" o secuestrados por facinerosos que abundan en la red. Eso si, debes asegurarte que el acceso a tus datos sólo tu lo conozcas.

El punto es, que estaban llegando muchos correos con asunto de ser digitalizados (scan) desde una impresora, así que el remitente viene tipo "Lexmark", "Canon" , "HP... " y con un archivo con extensión .docm incluido. La gente muchas veces no se fija en ese tipo de cosas, las extensiones y nombres de archivos, simplemente asume que es un documento dirigido a su persona y lo abre, y aunque solo afecta ahora (en este ejemplo en particular) a personas que tengan Microsoft Office Instalado y que además, en teoría les manda una advertencia de que se ejecutarán unos macros... aún así la gente los sigue abriendo y es donde se pierde la batalla.

Consejo para usuarios: no abran archivos que no sean para ustedes.

Luego, en el caso de Endian para agregar esa extensión, debemos agregar una línea en el archivo (desde consola), primero nos aseguramos que no exista (como el caso del docm):

grep docm /usr/lib/efw/smtpscan/default/extensions
# en caso que no devuelva nada:
echo "docm|MS DOC macros" >> /usr/lib/efw/smtpscan/default/extensions

Eso es todo, ahora esa extensión deberá estar disponible en la sección Proxy » SMTP » Configuración — Bloquear archivos por extensión.

Eso es todo, ese paso se deberá repetir tantas veces como extensiones nuevas se quieran bloquear.

Configuraciones, Correo, Endian, Firewall

Escrito un miércoles 04 de enero, 2017 :)

¿Algo que comentar?


Populares estos días

    Suscríbete por correo electrónico, recibirás los nuevos escritos antes que nadie y es gratis 😊


    tar.mx es un blog personal de Jorge Martínez Mauricio