Заблокировать.exe внутри.zip

Если мы хотим заблокировать расширение в нашем брандмауэре, мы можем использовать правило, подобное этому:

example iptables rules:
iptables -A INPUT -p tcp -m string --string ".exe" --algo bm -j DROP

Или мы можем сделать это в нашем прокси с правилом, похожим на это:

example squid-cache rules:
acl blext url_regex -i "blext.txt"
http_access deny blext
acl blmime rep_mime_type -i "blmime.txt"
http_reply_access deny blmime

Где blmime и blext ACL содержат следующее (источник IANA):

blext.txt
\.exe([a-zA-Z][0-9]*)?(\?.*)?$
\.zip([a-zA-Z][0-9]*)?(\?.*)?$
\.rar([a-zA-Z][0-9]*)?(\?.*)?$
etc

blmime.txt
^application/exe$
^application/zip$
^application/octet-stream$
etc

Мой вопрос:

Как я могу заблокировать расширение.zip или.rar, которое содержит (внутри) файл.exe?

PD: Я не могу заблокировать.rar или.zip, так как это приведет к ложным срабатываниям, потому что существуют законные загрузки, которые не содержат.exe или.bat внутри контейнеров