覆盖三大系统,90+危险后缀:一份可直接套用的邮件网关拦截清单

admin 2026-07-10 05:51:12 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文提出邮件网关附件拦截的三级策略:直接拦截可执行文件与脚本等危险后缀,沙箱检测压缩包与Office文档,对HTML等文件添加警告标识。同时提供压缩包嵌套深度限制、加密包强制隔离、文件头检测等进阶配置,帮助安全运维人员有效阻断恶意载荷投递,平衡安全与业务可用性。 综合评分: 93 文章分类: 安全建设,安全工具,实战经验,恶意软件


cover_image

覆盖三大系统,90+危险后缀:一份可直接套用的邮件网关拦截清单

原创

ZKAFKA ZKAFKA

网络安全研究站

2026年7月9日 21:18 广东

在小说阅读器读本章

去阅读

面向安全运维人员的策略设计与落地实践

01

策略设计思路

邮件网关附件拦截的核心原则是 “分层拦截,逐级处置” 。基于对当前主流攻击手法的分析,我们将附件分为三个处置层级:

第一级:直接拦截/隔离

此类文件在正常业务中几乎不存在合法的邮件传输场景,90%以上的概率为恶意软件。一旦放行,终端即面临极高沦陷风险。拦截即止损。

第二级:沙箱检测+抄送审计

此类文件有正常业务用途,但也是攻击者的常用载体。先过沙箱,确认安全后再释放,在可用性与安全性之间取得平衡。

第三级:警告标识

此类文件本身无害,但可能被用于藏匿恶意内容。通过邮件头或正文注入提示,将最终决策权交给用户,同时尽到告知义务。

02

后缀清单

1. 第一级

Windows 可执行程序与安装包: .exe .com .scr .pif .hta .cpl .prg .appx .msi .msp .mst .msu

Windows 脚本引擎文件: .ps1``.psm1``.ps1xml``.ps2``.ps2xml``.psc1``.psc2``.psd1``.psdm1``.msh``.msh1``.msh2``.mshxml``.msh1xml``.msh2xml``.vbs``.vbe``.js``.jse``.bat``.cmd``.shb``.shs``.vb``.ws``.wsc``.wsf``.wsh``.sct .scf

Windows 快捷方式与协议文件: .lnk .library-ms .search-ms .msc

Windows 映像与帮助文件: .iso .img .chm

Linux 脚本与可执行文件: .sh``.bash``.zsh``.csh``.py``.pyc``.pyo``.pyw``.pyz``.pyzw``.pl``.rb``.bin``.run``.deb``.rpm .desktop

macOS 脚本与应用: .scpt .applescript .command .term .app .pkg .dmg .jar .prg

为什么这样配? 上述后缀对应的文件类型,其设计目的就是 “执行代码” 。在邮件传输场景下,没有任何正当业务理由需要通过附件传递此类文件。因此,拦截它们不会影响正常业务,但能有效阻断绝大多数恶意载荷的投递通道。

  1. 第二级

以下后缀在日常业务中常见,但同时也是攻击者的热门“跳板”。不直接拦截,但必须在沙箱环境中确认安全后再交付。

.zip .rar .7z .gz .tar.gz .docm .xlsm .pptm .doc .xls .rtf .pdf

为什么这样配? 压缩包和 Office/PDF 文档在正常业务往来中大量存在,不能一刀切拦截。但攻击者常利用它们藏匿恶意宏、嵌入 JavaScript 或携带 Exploit 载荷。沙箱动态分析能有效识别未知威胁,是平衡效率与安全的最优解。

部分企业缺乏沙箱条件,可通过抄送安全人员的方式进行审计复核

  1. 第三级

对于无直接执行能力的纯数据文件,策略是原样投递,但强制插入视觉警示,由用户做出最终判断。

.htm .html .svg

为什么这样配? HTML 和 SVG 本身是文本格式,但可内嵌 JavaScript。在邮件客户端中直接预览可能触发脚本执行,导致钓鱼或重定向。直接拦截可能误拦正常业务邮件(如 HTML 格式的电子报、SVG 格式的正式图表),因此采用“投递 + 警告”的方案,既保证业务可用,又尽到安全告知义务。

03

进阶配置:绕过伪装的三道防线

以上三层策略已经能够覆盖绝大多数攻击场景,但在实战中,攻击者会通过技术手段绕过基于后缀的静态检测。以下三道防线可根据实际运营需求选择性启用。

防线一:压缩包嵌套深度限制

攻击者常将恶意文件多层压缩(如 virus.zip → 内嵌 payload.zip → 内嵌 virus.exe),以逃避单层解压扫描。

  • 配置建议:设置最大解压层数为 3 层(Exchange Online 默认支持,在安全附件策略中开启“递归解压”)
  • 处置动作:超过层数的压缩包直接隔离,记录日志供分析
  • 为什么是 3 层? 正常业务的压缩包极少超过 2 层嵌套,3 层足以覆盖正常场景,同时限制攻击者的嵌套绕过尝试

防线二:加密压缩包强制隔离

加密压缩包无法进行内容扫描和沙箱分析,是攻击者最常用的绕过手段。

  • 配置建议:检测到带密码的压缩包附件时,不进行扫描,直接进入人工审核流程或退信要求发件人提供密码
  • Exchange Online:安全附件策略中启用“限制加密邮件”选项(针对传入邮件)
  • 开源方案:Amavisd 的 banned_quarantine_to 可配置将加密压缩包单独隔离
  • 为什么这样配? 沙箱无法解开加密包,任何自动放行的行为都意味着向未知风险敞开了大门。人工审核是当前唯一可靠的处置路径

防线三:文件头(Magic Byte)检测

攻击者常将可执行文件重命名为 report.pdf,仅靠后缀拦截会被轻松绕过。文件头检测依据文件内容中的魔术数字(Magic Number)判断真实类型,与文件名无关。

  • 配置说明:在网关层开启 MIME 类型检测,对附件进行文件头签名校验
  • Exchange Online:常见附件筛选器默认启用此类检测(会检测 application/x-msdownload 等真实 MIME 类型),无需额外配置
  • 开源方案(ClamAV):在 clamd.conf 中启用 ScanPEScanELFScanOLE2 等选项,ClamAV 会在扫描时对文件头进行识别;Amavisd 的 bypass_banned_checks_maps 需关闭,确保 ClamAV 返回的检测结果被完整应用
  • 处置逻辑示例:如果文件头显示为 PE 可执行文件(MZ 头)或 ELF 可执行文件,无论后缀为何,均按第一级规则直接拦截

本站致力于做最深度、专业、前沿的网络安全知识分享平台,欢迎点赞、关注、推荐,为您持续更新深度好文。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:网络安全研究站 ZKAFKA ZKAFKA《覆盖三大系统,90+危险后缀:一份可直接套用的邮件网关拦截清单》

评论:0   参与:  0