Si les bases de vos utilisateurs ont reçu des mails qui contiennent des virus comme locky, une des premières opérations, une fois que l'on a identifié les critères des mails, est de stopper l'infection en empêchant les utilisateurs de les ouvrir ..
Voici un script, que vous pourrez adapter pour trouver puis supprimer les mails des bases de vos utilisateurs sans avoir à le faire à la main.
Il faut, bien sûr, soit le jouer en FullAdmin soit avoir les droits sur les bases ..
Voila ce que ca donne avec les log dans ma base d'outils
Et voilà le code de l'agent
%REM
Agent V - Scan des bases mail
Created 13 mai 2016 by Thierry Laurent/Tilaune
Description: Permet de supprimer des mails vérolés dans les bases de mails des utilisateurs
ne fonctionne que si la base est indexée
Il faut positionner les constantes de début du script pour aller vite mais on peut passer via des doc de
paramètres
%END REM
Option Public
Option Declare
Dim thisdb As NotesDatabase
Dim db As NotesDatabase
Dim pos As Integer
Dim servername As String
Dim mailpath As String
Dim mailowner As String
Dim searchstring As String
Dim doccol As NotesDocumentCollection
Dim doc As NotesDocument
Dim docsuppr As NotesDocument
Dim doclog As NotesDocument
Sub Initialize
'PARAMETERS TO CODE
'Indicate mail subdirectory name
mailpath = "mail\"
'Server name (in canonical format) or leave blank for local server/directory:
servername = "[le nom canonique du serveur]"
'Indicate the string to search for
searchstring = "la chaine de caractères que l'on cherche pour identifier le mail"
Dim session As New NotesSession
Set thisdb = session.CurrentDatabase
Dim dbdir As New NotesDbDirectory(servername)
'Cycle through databases on the server
Set db = dbdir.GetFirstDatabase(DATABASE)
While Not db Is Nothing
'Skip databases which you don't have access to
On Error 4060 GoTo Error4060
'Check to see if this database is in the mail directory
pos = InStr(LCase(db.FilePath), LCase(mailpath))
'if the code find database the script begin
If pos = 1 Then
'open the database direct form the server
Call db.Open(servername, db.FilePath)
'Search for documents using search string
'search the string in all documents database
Set doccol = db.FTSearch(searchstring,0)
'got to the frist document oin the database
Set doc = doccol.GetFirstDocument
'parse all document find
While Not doc Is Nothing
'==> Log détaillé
'on crée le document de log pour savoir tout les documents détruits
'you must create mask and view to view log document
Set docLog = thisdb.Createdocument()
docLog.form="LogMailUser"
doclog.LockyFullName = db.Title
doclog.LockyMailDatabase = db.Filename
doclog.LockyMailFilePath = db.Filepath
doclog.LockyMailDateCreated = doc.Created
doclog.LockyMailSubject = doc.Subject(0)
doclog.LockyMailSender = doc.From(0)
'comme on va détruire le document on se position sur le suivant avant de le détruire
'if you want to keep the document in this database delete the rem bellow
'Copy all documents found to current database beware you need memo mask to see the mail
'Call doc.CopyToDatabase(thisdb)
Set docsuppr = doc
Set doc = doccol.GetNextDocument(doc)
'delete document form the database
Call docsuppr.Removepermanently(True)
'save the log document
Call doclog.Save(True,True)
Wend
End If
GetNextDb:
Set db = dbdir.GetNextDatabase()
Wend
Exit Sub
Error4060:
'If the code reaches here then the user does not have access rights.
Resume GetNextDb
End Sub
Aucun commentaire:
Enregistrer un commentaire