Re: header_checks contre swen
Le dim 21/09/2003 à 01:51, Jacques L'helgoualc'h a écrit :
> Régis Grison a écrit, dimanche 21 septembre 2003, à 00:35 :
> > D'après le site :
> > http://www.f-secure.com/v-descs/swen.shtml
> >
> > la ligne suivante dans header_checks devrait stopper le virus (je l'ai
> > mis en place mais je n'ai pas le recul pour savoir si c'est efficace) :
> >
> > /^From:
> > (MS|Microsoft|Corporation|Program|internet|Network|Security|Division|\
> > Section|Departement|Center|Technical|Public|Customer|Bulletin|Services|\
> > Assistance|Support|)*<.*@(news|bulletin|confidence|advisor|updates|technet|\
> > support|newsletters).(ms|msn|msdn|microsoft)\.(com|net)>$/ REJECT
Après une nuit... il en passe toujours :(
> Il manque les doubles quotes autour de la première partie, et l'espace
> entre les mots :
>
> /^From: "(<---alternative1--->| )*" \
> <[a-z_-]*@((<--alternative2 ??? -->)[_.])*(net|com)> *$/ ?
J'avais regardé et il n'y en avait pas mais peut-être que certain en
ont... Donc va pour un "? de part et d'autres
> La droite du @ semble être [a-z]+([_.][a-z])?, mais le domaine de
> l'adresse est plus varié que ça :-/
Possible, j'ai suivi une doc, rien ne dit qu'elle est exaustive,
d'ailleurs j'ai reçu 4 mails qui avaient été traités par antivirus (donc
sans le fichier joint donc pas rejeté par mon serveur) et ils sont
passés à travers.
J'ai aussi repris ceux que j'avais eu hier, il y avait en plus dans le
nom : Net, System, Message, Delivery (que j'avais mais au pluriel),
Mail, Service.
Au niveau du mail, va pour [_\.] (attention au \, sinon c'est tout
caractère), j'avais hésité à le mettre, pour le cas où il y aurait autre
chose. J'ai vu par contre qu'on pouvait ne pas avoir la première partie
(j'ai un microsoft.com tout seul), je vois que tu as mis un "?", je
pense que c'est pour ça. J'ai aussi vu un news.com tout seul, et là ça
tape dans la partie de gauche seule, donc c'est l'un, l'autre, l'un et
l'autre, je corrige.
J'ai aussi vu passer un bigfoot.com, un netmail.net
Contre-exemple, j'ai un vcivhyah.com, et un sans From, pour ceux là, je
sais pas trop quoi faire...
> Toujours \.(com|net), on dirait ... => c'est lié à Verisign ? Il y a un
> peu de < ?>, @aol\.com, @america\.(com|net), etc.
Pas encore rencontré de aol ni america mais je veux bien les ajouter.
> Dans le sous-domaine, on trouve _ au lieu de \. : newsletters_ms.com, et
> il peut n'y avoir que deux mots : news.com, bulletin.net, etc.
>
> Ah, zut, il y a aussi un peu de sous-domaines aléatoires : @qpsbynu.com>
> ... encore du Verisign (je n'ai pas fait le whois ;) ?
Ouais :(
> Il y a aussi ^(FROM|TO|SUBJECT): qui en attrape beaucoup.
Oui, pourquoi pas, j'avais pris le parti de bloque l'expéditeur
seulement mais on peut étendre. Cela dit, ça marchera pas avec le sujet
puisque les mots ne sont pas nécessairement les mêmes et qu'il y a un
email de défini.
Pour le TO, je ne voudrais pas non plus empêcher d'écrire à microsoft,
ça ne m'est jamais arrivé mais je ne suis pas tout seul sur mon serveur.
Donc ma nouvelle proposition est :
/^From: "?(MS|Microsoft|Corporation|Program|internet|Network|Security|\
Division|Section|Departement|Center|Technical|Public|Customer|Bulletin|\
Services?|Assistance|Support|Net|Message|System|Delivery|Mail|Storage|\
Service| )*"? *<.*@(news|bulletin|confidence|advisor|updates|technet|\
support|newsletters|ms|msn|msdn|microsoft|bigfoot|netmail|aol|\
america|_|\.)+\.(com|net)>$/ REJECT
Régis.
Reply to: