Journal Encore un virus qui va innonder nos boites aux lettres...

• # Re: Encore un virus qui va innonder nos boites aux lettres...

  Posté par Caeies le 20 janvier 2004 à 17:05. Évalué à 1.

  

  mort de rire :)
  je reçois ce type de mail depuis un bout de temps et je ne savais pas que c'était un virus :).
  Bon vais nettoyer la boite de mes parents alors.
  
  Caeies

• # Re: Encore un virus qui va innonder nos boites aux lettres...

  Posté par Colin Leroy (site web personnel) le 20 janvier 2004 à 17:41. Évalué à 2.

  

  /^(.*)name=\"(.*)\.(exe|lnk|dll|shs|vbe|hta|com|vbs|vbe|js|jse|bat|cmd|vxd|scr|shm|pif|chm)\"$/ REJECT
  
  Inonder quoi ?

  • [^] # Re: Encore un virus qui va innonder nos boites aux lettres...

    Posté par Yves Agostini (site web personnel) le 20 janvier 2004 à 17:47. Évalué à 2.

    

    un peu plus sophistiqué :
    
    http://www.impsec.org/email-tools/procmail-security.html(...)
    
    nettoyage html, macro word, ....

    • [^] # Re: Encore un virus qui va innonder nos boites aux lettres...

      Posté par Colin Leroy (site web personnel) le 20 janvier 2004 à 18:06. Évalué à 5.

      

      En effet, c'est plus évolué.
      Perso j'ai tendance à préférer le brutal...
      
      Au cas où la totalité des filtres que j'utilise intéresse quelqu'un:
      http://www.geekounet.org/filters/header_checks(...) (postfix, teste les entêtes)
      http://www.geekounet.org/filters/body_checks(...) (postfix, teste les corps de mail)
      http://www.geekounet.org/filters/helo_checks(...) (postfix, teste le HELO)
      http://www.geekounet.org/filters/forbid_from(...) (postfix, emails blacklistées)
      
      avec dans le main.cf:
      
      
      smtpd_error_sleep_time = 10s
      smtpd_soft_error_limit = 3
      smtpd_hard_error_limit = 5
      
      header_checks = regexp:/etc/postfix/header_checks
      body_checks = regexp:/etc/postfix/body_checks
      smtpd_helo_required = yes
      smtpd_helo_restrictions = 
              permit_mynetworks, permit_sasl_authenticated,
              reject_invalid_hostname, reject_non_fqdn_hostname,
              check_helo_access regexp:/etc/postfix/helo_checks
      smtpd_sender_restrictions = 
              regexp:/etc/postfix/forbid_from,
              reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated,
              reject_unknown_sender_domain, reject_unauth_destination, 
              reject_non_fqdn_sender
      smtpd_recipient_restrictions = 
              permit_mynetworks, permit_sasl_authenticated,
              reject_rbl_client sbl.spamhaus.org,
              reject_rbl_client relays.ordb.org,
              reject_rbl_client relays.visi.com,
              reject_rbl_client korea.services.net,
              reject_rbl_client blackholes.mail-abuse.org,
              reject_rbl_client dialups.mail-abuse.org,
              reject_rhsbl_sender rhsbl.sorbs.net,
              reject_unauth_destination,
              reject_invalid_hostname,
              reject_non_fqdn_sender,
              reject_non_fqdn_recipient,
              reject_unknown_sender_domain
      
      
      + spamassassin, car il en reste après filtrage postfix :
      http://www.geekounet.org/filters/local.cf(...) (spamassassin, scores)
      http://www.geekounet.org/filters/35_gappy.cf(...) (spamassassin, reconnaissance des "g-a-p-p-y t-e-x-t")
      
      (et le filtermail.sh de spamassassin envoie dans /dev/null pour tout spam au score > 10)...
      

      • [^] # Re: Encore un virus qui va innonder nos boites aux lettres...

        Posté par Tutur le 21 janvier 2004 à 13:40. Évalué à 1.

        

        Sais-tu s'il y a un moyen pour que le reject ne soit pas Immédiat (attente de 2-3 second avant). Parce que dans ce cas la, si un grand nombre de personnes le font, les machines en relay de spams serait vite saturé.

        • [^] # Re: Encore un virus qui va innonder nos boites aux lettres...

          Posté par Colin Leroy (site web personnel) le 23 janvier 2004 à 11:32. Évalué à 1.

          

          C'est le "smtpd_error_sleep_time = 10s".

• # Re: Encore un virus qui va innonder nos boites aux lettres...

  Posté par Nÿco (site web personnel) le 20 janvier 2004 à 19:19. Évalué à 3.

  

  Euh... ah oui tiens, c'est dans les "Junk"...

• # Re: Encore un virus qui va innonder nos boites aux lettres...

  Posté par Edouard Gomez (site web personnel) le 20 janvier 2004 à 22:39. Évalué à 1.

  

  Petit filtre procmail fait maison pour bagle:

  :0 B :
    * -200^0
    *  100^0 Subject: Hi
    *  100^0 Test \=\)
    *  100^0 Test, yep\.
    "${MAIL_DIR}/junk"
  

  En gros ca score les mails entrants, si le sujet est Hi, et que y'a les deux parties fixes du virus dans le corps du email... le score passe dans le positif et zou dans ta boite junk...

  • [^] # Re: Encore un virus qui va innonder nos boites aux lettres...

    Posté par Edouard Gomez (site web personnel) le 20 janvier 2004 à 22:42. Évalué à 1.

    

    Oops petite erreur de copiage, faut rajouter un H sur la premiere ligne puisque Subject fait partie du header.

    :0 BH :
      * -200^0
      *  100^0 Subject: Hi
      *  100^0 Test \=\)
      *  100^0 Test, yep\.
      "${MAIL_DIR}/junk"
    

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.