«Не надо ждать уязвимости в Apache, когда можно заблокировать вредоносный EXE на почтовом шлюзе прямо сейчас. Безопасность — это про фильтрацию очевидного, а не только про охоту на нуллы.»
Блокировать неавторизованные типы файлов во вложении
Вложения в письмах — классический канал для компрометации. Вирус в документе — это изощрённо. Вирус в EXE-файле, который приходит по почте в 2024 году — это показатель того, что базовые механизмы фильтрации отключены или не настроены.
Что на самом деле представляет угрозу
Идентификация риска начинается не с анализа поведения файла, а с его расширения. Современные почтовые клиенты и шлюзы умеют определять MIME-типы и сигнатуры, но первая линия защиты — банальный чёрный список форматов, которые не должны появляться в корпоративной переписке никогда.
| Категория файлов | Примеры расширений | Почему блокируются первыми |
|---|---|---|
| Исполняемые файлы | .exe, .bat, .cmd, .com, .scr, .msi | Прямой запуск кода на машине пользователя без дополнительных условий. |
| Скрипты | .js, .vbs, .ps1, .wsf, .hta | Исполняются встроенными механизмами Windows, часто обходя простые антивирусные проверки. |
| Архивы вложенных архивов | .zip, .rar, .7z, .tar.gz | Способ скрыть реальное расширение файла и обойти фильтры, основанные только на первом уровне вложенности. |
| Документы с поддержкой макросов | .docm, .xlsm, .pptm, .slk | Легитимный формат, который может автоматически исполнять вредоносный код при открытии. |
Где и как блокировать: больше чем просто M365
Microsoft 365 с Exchange Online Protection — распространённый, но не единственный вариант. Принцип везде один: создать правило на почтовом шлюзе, которое проверяет вложения и отклоняет письма по заданным критериям.
Логика работы любого шлюза
Независимо от вендора (Barracuda, Cisco ESA, Яндекс 360, почтовый сервер на базе Postfix+ClamAV), процесс настройки сводится к трём шагам:
- Определение условия: «Если у письма есть вложение с расширением из списка X…».
- Задание действия: «… то отклонить письмо, отправить уведомление отправителю, поместить в карантин».
- Определение области применения: «… и применять это правило для всех входящих/исходящих писем».
Конкретика для Exchange Online (Microsoft 365)
Интерфейс может меняться, но суть правил транспорта остаётся. Основные настройки находятся в Центре администрирования Exchange в разделе «Поток почты» → «Правила».
Критически важный нюанс, который часто упускают: правило должно проверять все уровни вложенности архивов. EXE-файл, запакованный в ZIP, который затем вложен в RAR, всё равно должен быть обнаружен и заблокирован. В условиях правила для этого есть отдельная опция «Проверять архивированные вложения».
Что делать с легитимными исключениями
Абсолютная блокировка невозможна. Отдел разработки может легитимно пересылать скрипты .ps1, а бухгалтерия — архивные выгрузки. Жёсткий запрет приведёт к тому, что сотрудники начнут использовать личную почту.
Выхода два, и их стоит комбинировать:
- Создание правил-исключений: Настроить отдельное разрешающее правило для конкретных отправителей (например, доменов партнёров) или получателей (специальная группа рассылки «Разрешенные вложения»). Важно: правило-исключение должно иметь более высокий приоритет, чем правило-запрет.
- Использование защищённых каналов: Вместо разрешения опасных вложений внедрить политику: «Архивы >50 МБ и исполняемые файлы передавать только через корпоративный облачный диск или SFTP». Это смещает риск из непросматриваемого почтового потока в контролируемую систему.
Это не отменяет другие меры
Блокировка по расширению — тактическая, грубая мера. Она не заменяет и должна дополняться другими слоями защиты:
- Антивирусная проверка на шлюзе: ClamAV или аналоги для сканирования разрешённых типов (PDF, DOCX) на предмет известных угроз.
- Песочница (Sandboxing): Динамический анализ подозрительных, но легитимных форматов (например, тех же DOCX) в изолированной среде.
- Обучение пользователей: Сообщение об отказе должно быть понятным: «Письмо заблокировано. Исполняемые файлы запрещены. Используйте «. Это снижает нагрузку на службу поддержки.
Итог прост: настройка такой фильтрации — это не вопрос выбора, а обязательный базовый гигиенический минимум. Это тот случай, когда час, потраченный на создание правила, предотвращает сотни потенциальных инцидентов, связанных с самой примитивной, но от этого не менее эффективной, социальной инженерией.