Re: header_checks contre swen
Le dim 21/09/2003 à 02:12, Ultimateclem a écrit :
> Le Dimanche 21 Septembre 2003 01:51, Jacques L'helgoualc'h a écrit :
> > Régis Grison a écrit, dimanche 21 septembre 2003, à 00:35 :
> > > D'après le site :
> > > http://www.f-secure.com/v-descs/swen.shtml
> > >
> > > la ligne suivante dans header_checks devrait stopper le virus (je l'ai
> > > mis en place mais je n'ai pas le recul pour savoir si c'est efficace) :
> > >
> > > /^From:
> > > (MS|Microsoft|Corporation|Program|internet|Network|Security|Division|\
> > > Section|Departement|Center|Technical|Public|Customer|Bulletin|Services|\
> > > Assistance|Support|)*<.*@(news|bulletin|confidence|advisor|updates|techne
> > >t|\ support|newsletters).(ms|msn|msdn|microsoft)\.(com|net)>$/ REJECT
> >[...]
> Dans le corps de message, il y a "Thank you for using Micro$oft products" qui
> en attrape un peu moins de la moitié et "iframe $rc" qui attrape l'autre
> moitié (remplacez $ par s). Ca me semble beaucoup plus efficace que des tests
> sur les headers générés "aléatoirement" par le virus.
Oui mais comme j'ai modifié logcheck pour notifier en cas de rejet lié à
un fichier attaché, je préfère bloquer au niveau du header. C'est un peu
spécifique à chez moi mais bon...
Cette modif de logcheck est un tout petit peu bugguée (normalement la
langue peut-être choisie et l'anglais ajouté si on choisit une autre
langue et de temps en temps j'ai un mail en anglais qui part je sais pas
pourquoi). Si ça intéresse quelqu'un je peux quand même lui donner et si
jamais quelqu'un était prêt à m'aider à trouver la cause de ce bug, je
pourrais rendre le patch public.
Régis.
Reply to: