Re: header_checks contre swen

To: debian-user-french@lists.debian.org
Subject: Re: header_checks contre swen
From: Jacques L'helgoualc'h <lhh@free.fr>
Date: Sun, 21 Sep 2003 12:39:32 +0200
Message-id: <[🔎] 20030921103932.GA17877@lhh.free.fr>
Mail-followup-to: debian-user-french@lists.debian.org
Reply-to: lhh+deb@free.fr
In-reply-to: <[🔎] 3F557CC8009EFD10@mail03.pds.libertysurf.fr>
References: <[🔎] 1064097320.14523.3.camel@arcane> <[🔎] 20030920235102.GA12865@lhh.free.fr> <[🔎] 3F557CC8009EFD10@mail03.pds.libertysurf.fr>

Ultimateclem a écrit, dimanche 21 septembre 2003, à 02:12 :
> Le Dimanche 21 Septembre 2003 01:51, Jacques L'helgoualc'h a écrit :
> > Régis Grison a écrit, dimanche 21 septembre 2003, à 00:35 :
[regexps à rallonges]
> Dans le corps de message, il y a "Thank you for using Micro$oft products" qui 
> en attrape un peu moins de la moitié et "iframe $rc" qui attrape l'autre 
> moitié (remplacez $ par s). Ca me semble beaucoup plus efficace que des tests 
> sur les headers générés "aléatoirement" par le virus.

Précis, sans doute. Efficace, ça dépend du contexte. 

Personnellement, j'ai une règle simple  et (peut-être trop ;) efficace :
effacer tout ce qui dépasse 120k dans ma boîte POP...

D'un autre côté, scanner systématiquement le corps du message

 - consomme des ressources ;

 - n'est pas utilisable en RTC.

Bien sûr, sur un serveur passant  déjà tout le courrier à la moulinette,
tester  d'abord  quelques  chaînes  clés  (surtout au  début  du  corps)
économisera le passage à l'antivirus.

Dans les deux  cas, on peut tester la taille d'abord,  pas cher et évite
sûrement les  faux positifs cités plus  bas : à la  procmail, en évitant
les procmélismes,

:0
* <170000
* >140000
{
	:0 # le [ 	] contient blanc et TAB
	* ^From:[ 	]*"[a-z ]*" <( *|[a-z]+([._-][a-z]+)?@[a-z_.]*\.(com|net))>
	{
		:0 B
		# (tests sur le corps)
		/dev/null
	}
}

On peut rajouter sous * ^From: le test du destinataire (un peu simplifié)

       * ^To:[ 	]*"[a-z ]*" <( *|[a-z._-]+@[a-z_.]*\.(com|net))>

et aussi, sur un filtre personnel, si la règle ci-dessus peut marcher :

       * ! ^To:.*$MON_ZIMEL

Les From et To  testés avec grep -E détectent mes 260  exemples ; sur la
liste en septembre, un seul

 To: "Cyril" cyril (at) brole (point) net

pas de Cc:, mais déjà 15 From:

 1  "Dominique Arpin" dominique (at) espacecourbe (point) com
 1  "Scotty" scotty (point) debian (at) ifrance (point) com
 2  "Cyril" cyril (at) brole (point) net
 2  "STOJICEVIC E     InfoEdpRsa" Edi (point) Stojicevic (at) socgen (point) com
 3  "Alain" mailinglistes (at) lepoetedisparu (point) net
 3  "Daniel Dupont" daniel (point) dupont (at) dldt (point) net
 3  "Roger Bouchard" rhbaie (at) msn (point) com

J'ai un peu maquillé pour les  archives, mais de toutes façons, la liste
semble une  source d'adresses : mon «  lhh plus deb »,  que je n'utilise
qu'ici dans Mail-Reply-To:, représente près de 10% de mes swens.

Bah, il  paraît que les Message-ID:  sont spammés aussi...  au moins, ça
polluera la base DNS de Verisign.

-- 
Jacques L'helgoualc'h, ¡ no pasaran ! 
(comment dit-on spam en espagnol ?)

Reply to:

Follow-Ups:
- Re: header_checks contre swen
  - From: Ultimateclem <deb_ultimateclem@yahoo.fr>

References:
- header_checks contre swen
  - From: Régis Grison <regis-debian@grison.org>
- Re: header_checks contre swen
  - From: Jacques L'helgoualc'h <lhh@free.fr>
- Re: header_checks contre swen
  - From: Ultimateclem <deb_ultimateclem@yahoo.fr>

Prev by Date: Re: passerelle ADSL
Next by Date: LILO warning.. et SPAM...Virus
Previous by thread: Re: header_checks contre swen
Next by thread: Re: header_checks contre swen
Index(es):
- Date
- Thread