Re: (fetchmail aŭ getmail) + procmail

[ĸ <lfpor@lujz.org>]

 ******  Edmund GRIMLEY EVANS = E. 
 
>E.: Tio dependas de la retservo, ĉu oni povas ruli iujn filtrilojn en la
>E.: servilo. Multaj homoj havas aliron nur per POP3. Tamen, via problemo
>E.: ŝajnas esti la viruso Swen, kiu estas facile rekonebla per la ĉapaĵo.
>E.: Vi eble povas adapti la kunsenditan Perl-programeton, kiun mi uzas por
>E.: forigi ĉiujn mesaĝojn kun la menciita granda kaj aŭ majuskla SUBJECT
>E.: aŭ manko de mencio pri "rano" en la ĉapaĵo. (Evidente vi ŝanĝu la
>E.: vorton "rano".)

Fakte, ĉiuj ili estas kun "SUBJECT".
Tamen foje foje estas aliaj spamoj ĉi tie, kaj mi provos unue mailfilter
antaŭ provi vian perlaĵon. Ĝi estas por "kuri kaŝita", ĉu?
"./dosiero.perl &"

>E.: 
>E.: Mi pensas, ke procmail ne komprenas la MIME-strukturon de mesaĝoj, sed
>E.: ĝi povas apliki regulajn esprimojn al la korpo de mesaĝo, kaj oni
>E.: povas alvoki aliajn programojn de procmailrc por fari eventualajn
>E.: komplikajn analizojn. Oni bezonas la flagojn "HB" por rigardi la
>E.: korpon.

Ĉar vi ne elŝutas mesaĝojn kiel mi, kaj uzas procmail, mi informas pri
alia maniero, kiun mi trovis, kaj por Swen ĝi estas laŭdire tute trafa:

http://lists.debian.org/debian-user-portuguese/2003/debian-user-portuguese-200309/msg01649.html

Apanhados de outras listas, para filtrar o Swen e outros virus via
procmail:

**********************************

There's another way of filtering Swen more efficiently. Put the
following inside your .procmailrc and already procmail takes care of it:

:0
* > 140000
* < 165000
{
:0 BD
	* b3IAAABBZG1pbgAAAEdFVCBodHRwOi8vd3cyLmZjZS52dXRici5jei9iaW4vY291bnRlci5naWYv
	/dev/null
}

That string is a base64-encoded part of the executable
itself.

************************************

# Broad antivirus recipe:
#
# Look at attachment content.  The 2nd condition is the
# header of a
# win32 exe encoded with base64.  No matter how the
# virus is named,
# that header MUST have this specific form, or it won't
# be recognized
# by Windows as an exe.  So every # attachment that
# starts with
# TVqQAAMAAAAEAAAA//8AALg is a win32 program: a #
# potential virus.
# The 3rd condition is the string "this program cannot
# be run in
# MS-DOS mode" encoded in base64.  It's helps avoid
# false positives.
#
# Thank you Roland Smith <rsmith@xs4all.nl>
#
:0 B
* ^Content-Transfer-Encoding:.*base64
* ^TVqQAAMAAAAEAAAA//8AALg
* 4fug4AtAnNIbg
{
   LOG="[virus: win32 exe]     "
   :0
   /dev/null
}


--
 http://www.lujz.org/lfpor/