Re: header_checks contre swen
Ultimateclem a écrit, dimanche 21 septembre 2003, à 02:12 :
> Le Dimanche 21 Septembre 2003 01:51, Jacques L'helgoualc'h a écrit :
> > Régis Grison a écrit, dimanche 21 septembre 2003, à 00:35 :
[regexps à rallonges]
> Dans le corps de message, il y a "Thank you for using Micro$oft products" qui
> en attrape un peu moins de la moitié et "iframe $rc" qui attrape l'autre
> moitié (remplacez $ par s). Ca me semble beaucoup plus efficace que des tests
> sur les headers générés "aléatoirement" par le virus.
Précis, sans doute. Efficace, ça dépend du contexte.
Personnellement, j'ai une règle simple et (peut-être trop ;) efficace :
effacer tout ce qui dépasse 120k dans ma boîte POP...
D'un autre côté, scanner systématiquement le corps du message
- consomme des ressources ;
- n'est pas utilisable en RTC.
Bien sûr, sur un serveur passant déjà tout le courrier à la moulinette,
tester d'abord quelques chaînes clés (surtout au début du corps)
économisera le passage à l'antivirus.
Dans les deux cas, on peut tester la taille d'abord, pas cher et évite
sûrement les faux positifs cités plus bas : à la procmail, en évitant
les procmélismes,
:0
* <170000
* >140000
{
:0 # le [ ] contient blanc et TAB
* ^From:[ ]*"[a-z ]*" <( *|[a-z]+([._-][a-z]+)?@[a-z_.]*\.(com|net))>
{
:0 B
# (tests sur le corps)
/dev/null
}
}
On peut rajouter sous * ^From: le test du destinataire (un peu simplifié)
* ^To:[ ]*"[a-z ]*" <( *|[a-z._-]+@[a-z_.]*\.(com|net))>
et aussi, sur un filtre personnel, si la règle ci-dessus peut marcher :
* ! ^To:.*$MON_ZIMEL
Les From et To testés avec grep -E détectent mes 260 exemples ; sur la
liste en septembre, un seul
To: "Cyril" cyril (at) brole (point) net
pas de Cc:, mais déjà 15 From:
1 "Dominique Arpin" dominique (at) espacecourbe (point) com
1 "Scotty" scotty (point) debian (at) ifrance (point) com
2 "Cyril" cyril (at) brole (point) net
2 "STOJICEVIC E InfoEdpRsa" Edi (point) Stojicevic (at) socgen (point) com
3 "Alain" mailinglistes (at) lepoetedisparu (point) net
3 "Daniel Dupont" daniel (point) dupont (at) dldt (point) net
3 "Roger Bouchard" rhbaie (at) msn (point) com
J'ai un peu maquillé pour les archives, mais de toutes façons, la liste
semble une source d'adresses : mon « lhh plus deb », que je n'utilise
qu'ici dans Mail-Reply-To:, représente près de 10% de mes swens.
Bah, il paraît que les Message-ID: sont spammés aussi... au moins, ça
polluera la base DNS de Verisign.
--
Jacques L'helgoualc'h, ¡ no pasaran !
(comment dit-on spam en espagnol ?)
Reply to: