Das beste ist doch, wenn verseuchte E-Mails erst gar nicht in den Rechner gelangen, sondern automatisch gelöscht werden, bevor sie überhaupt ins Postfach abgelegt werden. Warum wird in dem Artikel kein wirksamer Spam-Schutz besprochen?
Voraussetzung ist natürlich eine Filterregel, die E-Mails auch von bekannten Adressen untersucht, falls sie Dateianhänge transportieren. Archive müssen erst mal ausgepackt werden, wobei nicht nur passwortverschlüsselte Archive verdächtig sind, sondern auch "gefälschte": ein ZIP-Archiv beginnt grundsätzlich mit den Buchstaben "PK" - und wenn eine Datei mit "PK" beginnt und trotzdem eine Endung wie .rar oder .arc oder .7z hat, dann ist da etwas oberfaul! Vorsicht allerdings bei modernen Office-Dateien: diese stellen ebenfalls ein Archiv dar, das entzippt werden kann (und muss!) und deshalb mit "PK" beginnt.
Anschließend müssen sämtliche angehängten oder im Archiv gefundenen Dateien untersucht werden, ob sie verdächtige Endungen wie .docm oder .xlsm haben. Außerdem ist es sehr verdächtig, wenn sie Textfragmente wie "can not run in DOS mode" oder "system32" und dergleichen enthalten.
Dies alles kann man mit den Klassiker "Spamassassin" realisieren, und zwar durch die mit Hilfe der Möglichkeit, E-Mails durch selbst geschriebene Perl-Scripte untersuchen zu lassen. Es gibt sogar Filtermodule, die speziell entwickelt wurden, um gefährliche Macros in Office-Dateien zu erkennen.
Last but not least noch etwas ganz anderes: wir Europäer haben einen Vorteil, den jeder ausnutzen kann, indem er den Header einer verdächtigen E-Mail anschaut, und zwar die Einträge, die mit "Received: from" beginnen. Wenn die Adresse des Absenders eine .de-Domain hat, und in den "Received: from"-Zeilen tauchen andere Domains auf als .de, dann ist da etwas oberfaul, auch bei vorgeblichen Adressen bekannter Geschäftspartner!