说白了用户很傻
当然,不是全部。但是,当您为数百甚至数千用户处理电子邮件时,您将有一些用户会打开任何东西,在任何网络钓鱼页面上提供他们的凭据(即使是那些模仿不同网站的页面!)等等。
因此,所有类型的过滤器都被添加到邮件系统中,以防止恶意内容到达用户手中。它们可能包括 url 信誉、防病毒过滤,其中最强大的功能之一就是简单地阻止某些内容。
您最后一次需要通过电子邮件向 Windows 控制面板发送扩展程序是什么时候?是的,有几个人确实开发了它们。世界其他地方收到它只是一种病毒。即使您的 AV 解决方案没有检测到它。
同样,Ismael Miguel 在评论中提到了 .iso 文件。通过电子邮件发送 .iso 文件有什么好处?典型的 iso 文件至少为 500-600 MB。您的一些用户会很乐意通过电子邮件发送它们(甚至是 4 GB 的),但这是对系统的滥用,电子邮件不是为文件共享而设计的,并且在这方面做得相对较差。您应该寻找其他文件共享解决方案(不过,电子邮件是一种懒惰的方式)。
事实上,病毒正在使用奇怪的格式,例如 .iso 或旧的压缩格式,正是为了克服(电子邮件)过滤器,如果他们使用更常见的容器(例如 zip)会阻止病毒。
?
所以,是的,它只是为了保护天真的用户免于显式执行不受信任的附件。
使用一个又大又胖的警告是不够的,又名“你真的确定要这样做吗?”
经验表明并非如此。
打开带有宏的文档时,请查看 Microsoft Office 的界面。它会做到这一点,当打开从互联网下载的文件/电子邮件时,它会显示一个栏,例如:
请注意 - 电子邮件附件可能包含病毒。除非您需要编辑,否则留在受保护的视图中会更安全。
(受保护的视图消息列表)
但是,几乎每个恶意文档都包含指示用户禁用受保护视图“以便查看文档”的内容。实际上,这样恶意宏就会运行。
坏消息是 - 对于一小部分用户来说 - 他们工作。用户正在接收恶意电子邮件,打开被宏感染的附加(或链接)文档,禁用受保护的视图“沙盒”并被感染。最近的 Emotet 感染波主要(?)使用宏文档。人们被感染了。通过负载。
这并不是一个糟糕的设计。事实上,微软工程师没有太多选择,只能允许用户覆盖它(注意:系统管理员可能会强制他们被阻止),因为在某些合法情况下发送和接收带有宏的文档。
当然,接收其他被阻止的附件是合法的,包括可疑甚至已知的恶意内容。例如,abuse@ 电子邮件地址应该能够在他们自己的基础设施上接收到恶意 URL 的通知,该恶意 URL正在为木马提供服务,或者他们正在发送的电子邮件样本,而不是像某些系统那样在接收时阻止它(最佳做法是在发送和接收时都应用过滤器)。
因此,过滤器可以配置为排除某些需要接收否则被阻止的附件的发件人/收件人/邮箱。一个好的设置还可以确保它们只能从某些系统(可能与网络隔离,也许?)和/或一些已知不愚蠢的用户访问。:-)