In parole povere Gli utenti sono stupidi
Non tutti, ovviamente. Ma quando gestisci l'email di centinaia o addirittura migliaia di utenti, avrai alcuni di quegli utenti che apriranno qualsiasi cosa, forniranno le loro credenziali su qualsiasi pagina di phishing (anche quelli che imitano un sito diverso!), ecc.
Così tutti i tipi di filtri vengono aggiunti ai sistemi di posta per impedire che contenuti dannosi arrivino agli utenti. Possono includere la reputazione dell'URL, il filtro antivirus e uno dei più potenti è semplicemente bloccare determinati contenuti.
Quando è stata l'ultima volta che hai dovuto inviare un'estensione al pannello di controllo di Windows tramite e-mail? Sì, alcune persone li sviluppano. Il resto del mondo che ne riceve uno è solo un virus. Anche se non viene rilevato dalla tua soluzione AV.
Allo stesso modo, in un commento Ismael Miguel menziona i file .iso. A che serve inviare un file .iso tramite e-mail? Un tipico file ISO sarà di almeno 500-600 MB. Alcuni dei tuoi utenti li invierebbero volentieri via e-mail (anche da 4 GB), ma questo è un abuso del sistema, l'e-mail non è progettata per la condivisione di file e fa un lavoro relativamente scarso. Dovresti cercare altre soluzioni per la condivisione di file (la posta elettronica è un modo pigro, però).
Il fatto è che i virus utilizzano formati strani come .iso, o vecchi formati di compressione, proprio per superare ( E-mail) che bloccherebbero il virus se utilizzassero un contenitore più comune (come zip).
Quindi, sì, è semplicemente per proteggere gli utenti ingenui dall'esecuzione esplicita un allegato non attendibile.
Non sarebbe sufficiente utilizzare un grande e grosso avviso noto anche come "Sei davvero sicuro di volerlo fare?"
L'esperienza ha dimostrato che non lo è.
Guarda l'interfaccia di Microsoft Office quando apri un documento con le macro. Farà esattamente questo, quando si apre un file scaricato da Internet / un'e-mail mostrerà una barra come:
Fai attenzione: gli allegati e-mail possono contenere virus. A meno che non sia necessario apportare modifiche, è più sicuro rimanere in Visualizzazione protetta.
( Elenco dei messaggi di Visualizzazione protetta)
Tuttavia, quasi tutti documento dannoso conterrà contenuto che richiede all'utente di disabilitare la visualizzazione protetta "per visualizzare il documento". In realtà, in modo che le macro dannose vengano eseguite.
E la cattiva notizia è che, per una frazione di utenti, funzionano. Gli utenti ricevono email dannose, aprono i documenti allegati (o collegati) infettati da macro, disattivano la visualizzazione protetta "Sandbox" e vengono infettati. Le recenti ondate di infezione di Emotet utilizzano principalmente (?) Documenti macro. E le persone sono state infettate. Dai carichi.
Non è che sia un cattivo design. In effetti, gli ingegneri Microsoft non avevano molta scelta se non consentire agli utenti di sovrascriverlo (nota: l'amministratore di sistema potrebbe imporre che vengano bloccati), poiché esistono alcuni casi legittimi per l'invio e la ricezione di documenti con le macro.
Ci sono ovviamente casi legittimi per la ricezione di allegati altrimenti bloccati, inclusi contenuti sospetti o addirittura dannosi. Ad esempio, un abuso @ indirizzo email, dovrebbe essere in grado di ricevere un avviso dell'URL dannoso sulla propria infrastruttura che serve un trojan o un campione dell'email stanno inviando invece di bloccarlo alla ricezione come fanno alcuni sistemi (la migliore pratica sarebbe applicare filtri sia sull'invio che sulla ricezione).
Pertanto, i filtri potrebbero essere configurato per esentare determinati mittenti / destinatari / caselle di posta che devono ricevere allegati altrimenti bloccati. Una buona configurazione può inoltre garantire che sia possibile accedervi solo da determinati sistemi (isolati dalla rete, forse?) E / o da alcuni utenti noti per non essere stupidi. :-)