記事としてまとまっているのでメモ。
企業内の管理者としては、アナウンス及び、検証後問題が無いようであれば、Microsoft社がアドバイザリで紹介している方法をとるか、wmfな添付ファイルを全て弾くようにするか...かなぁ。
もっとも、サーバサイドで拡張子で弾く設定をしたところで、

Windows XPでは拡張子だけではなくファイルの中身でもWMFかどうかを判別するという。このため別の拡張子であっても，読み込まれた後にWMFとして処理される可能性がある。.wmfのファイルに注意することは大切だが，拡張子だけで判断するのは危険だ。

ということもあるので、まずは、自身のウィルス対策ソフトの対応バージョンなどを確認しましょう。
同様の記事：ITmedia エンタープライズ：休暇中のWebアクセスには注意、Windowsに新たな未パッチの脆弱性
参考：WMF に関する exploit code(日本のセキュリティチームのblog)