Итак, сегодня мы попробуем проверить функцию антивируса на Cisco Ironport Email Security Appliance.
Ориентироваться будем на схему подключения, изображенной на рисунке 1 из статьи по базовой настройке. Почта из Интернета попадает на ESA, проверяется на спам и вирусы и затем отправляется на внутренний почтовый сервер. В теории, чтобы проверить антивирусные функции системы, необходимо подключиться к публичному почтовому серверу и отправить письмо с вложением вируса (например eicar) на почтовый сервер нашей сети. На практике оказывается, что сначала надо найти публичный сервер, который при загрузке вируса не дропнет его, а также, что на пути сообщения не будет серверов, проводящих антивирусную проверку. Поэтому мы будем отправлять сообщение по telnet'у, непосредственно подключаясь интерфейсу устройства.
Таким образом, необходимо подключиться к устройству и по протоколу SMTP передать тестовый вирус. К сожалению, просто вставка строки eicar в тело сообщения не будет идентифицирована как вирус (но антивирус на межсетевом экране может поймать такое сообщение). Соответственно, необходимо строку eicar закодировать в формате base64 и отправить в теле письма. После команды data вставляем следующий фрагмент:
Subject:Attachment Test
MIME-Version: 1.0
Content-Type:multipart/mixed;boundary="KKKkkkjjwq"
--KkK170891tpbkKk__FV_KKKkkkjjwq
Content-Type:application/octet-stream;name="vir.txt"
Content-Transfer-Encoding:base64
Content-Disposition:attachment;filename="vir.txt"
WDVPIVAlQEFQWzRcUFpYNTQoUF4pN0NDKTd9JEVJQ0FSLVNUQU5EQVJELUFOVElWSVJVUy1URVNU
LUZJTEUhJEgrSCo=
--KKKkkkjjwq--
В данном случае в письме будет приложен файл vir.txt, который ESA идентифицирует и предпримет действия в соответствии с "Incoming Mail Policy".
Ориентироваться будем на схему подключения, изображенной на рисунке 1 из статьи по базовой настройке. Почта из Интернета попадает на ESA, проверяется на спам и вирусы и затем отправляется на внутренний почтовый сервер. В теории, чтобы проверить антивирусные функции системы, необходимо подключиться к публичному почтовому серверу и отправить письмо с вложением вируса (например eicar) на почтовый сервер нашей сети. На практике оказывается, что сначала надо найти публичный сервер, который при загрузке вируса не дропнет его, а также, что на пути сообщения не будет серверов, проводящих антивирусную проверку. Поэтому мы будем отправлять сообщение по telnet'у, непосредственно подключаясь интерфейсу устройства.
Таким образом, необходимо подключиться к устройству и по протоколу SMTP передать тестовый вирус. К сожалению, просто вставка строки eicar в тело сообщения не будет идентифицирована как вирус (но антивирус на межсетевом экране может поймать такое сообщение). Соответственно, необходимо строку eicar закодировать в формате base64 и отправить в теле письма. После команды data вставляем следующий фрагмент:
Subject:Attachment Test
MIME-Version: 1.0
Content-Type:multipart/mixed;boundary="KKKkkkjjwq"
--KkK170891tpbkKk__FV_KKKkkkjjwq
Content-Type:application/octet-stream;name="vir.txt"
Content-Transfer-Encoding:base64
Content-Disposition:attachment;filename="vir.txt"
WDVPIVAlQEFQWzRcUFpYNTQoUF4pN0NDKTd9JEVJQ0FSLVNUQU5EQVJELUFOVElWSVJVUy1URVNU
LUZJTEUhJEgrSCo=
--KKKkkkjjwq--
В данном случае в письме будет приложен файл vir.txt, который ESA идентифицирует и предпримет действия в соответствии с "Incoming Mail Policy".
Комментариев нет:
Отправить комментарий