Re: procmail: ausführbare Dateien filtern

To: debian-user-german@lists.debian.org
Subject: Re: procmail: ausführbare Dateien filtern
From: Andreas Metzler <ametzler@downhill.at.eu.org>
Date: Thu, 25 Sep 2003 12:24:07 +0200
Message-id: <[🔎] E1A2TI7-0002K1-EB@mid.downhill.at.eu.org>
Mail-followup-to: <debian-user-german@lists.debian.org>
References: <[🔎] 003101c3834a$fe234a10$0a00a8c0@client1>

Thilo Engelbracht <info@engelbracht.de> wrote:
[... .exe ausfiltern.]
> Im ersten Schritt habe ich mir - zu Testzwecken - über einen
> FreeMail-Anbieter eine E-Mail gesendet. Diese Nachricht enthielt eine
> ausführbare Datei. Nach einigen Minuten hat fetchmail diese E-Mail von einem
> externen Postfach abgeholt. Mit einem Editor habe ich mir die Nachricht
> angesehen und folgende Zeile gefunden:

>     Content-Type: application/octet-stream; name="Aquarium.exe"
>     Content-Disposition: inline; filename="Aquarium.exe"

> Meine Idee: Procmail soll nach Zeilen suchen, die mit <content-> anfangen
> und mit <.exe"> enden.
> Entsprechend habe ich die Datei "/home/thilo/.procmailrc" wie folgt
> abgeändert:
[...]
>     :0:
>     * ^content-.*\.exe"$
>     ! dateianhaenge@home.engelbracht.de


> Leider funktioniert das nicht - eine weitere Testnachricht wird nicht an den
> Benutzer "dateianhaenge" (der natuerlich existiert) weitergeleitet..... Wie
> man an den anderen Zeilen sehen kann, spielt die Groß- und Kleinschreibung
> keine Rolle.

Die entsprechende Zeile steht nicht im Header[1], per default matcht
procmail aber nur auf diesen. Man kann natuerlich auf den Body matchen
lassen, aber das ist gefaehrlich, es wuerde auch das hier erwischen.
-------------
ich moechte alles ausfiltern, was
Content-Type:...irgendwas.exe
gesetzt hat. Wie geht das mit procmail?
-------------

Wenn man das ordentlich erwischen will, muss man wohl MIME parsen und
z.B. exiscan-acl mit
warn  message = X-thilo-attachment: $found_extension
      demime = com:vbs:bat:pif:scr:exe
oder das am 20. September auf debian-mentors mit Betreff "Filter for
W32/Swen@MM" gepostete python script verwenden.

Das hier
http://www.stahl.bau.tu-bs.de/~hildeb/postfix/postfix_sobigf.shtml
koennte sich auch fuer procmail verwenden lassen.
               cu andreas
[1] Es sei denn, die Nachricht besteht nur aus dem .exe Attachment.
-- 
Hey, da ist ein Ballonautomat auf der Toilette!
Unofficial _Debian-packages_ of latest unstable _tin_
http://www.logic.univie.ac.at/~ametzler/debian/tin-snapshot/

Reply to:

References:
- procmail: ausführbare Dateien filtern
  - From: "Thilo Engelbracht" <info@engelbracht.de>

Prev by Date: Re: Runlevel
Next by Date: user account der sich nur local einloggen darf
Previous by thread: Re: procmail: ausführbare Dateien filtern
Next by thread: Re: procmail: ausführbare Dateien filtern
Index(es):
- Date
- Thread