sslug-teknik team mailing list archive

Thread
Date

Re: Procmail-regel til at fange den seneste nye orm/virus

To: sslug-teknik@xxxxxxxx
From: Jacob Sparre Andersen <sparre@xxxxxx>
Date: 28 Jan 2004 12:41:47 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <plektkjqua.fsf@sparre.crs4.it>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Sender: sparre@xxxxxxxxxxxxxx
User-agent: Gnus/5.09 (Gnus v5.9.0) Emacs/21.2

Jacob Sparre Andersen skrev:

> Jeg har kigget lidt på den orm/virus der florerer for tiden, og jeg
> tror jeg har fundet en Procmail-regel, der fanger den uden at fange
> legitim post:
> 
>    :0 B
>    * charset="Windows-1252"^Content-Transfer-Encoding: 7bit
>    skidtpost/orme/doom

Denne regel fanger vist desværre ikke alle varianter af den.  :-(

Jeg har lige fået én, hvor der korrekt nok stod at CP1252 er en
8-bit-kodning.

Hvad kan man så gøre?  Hvordan kan jeg (stadig i Procmail - og
eventuelt med et /bin/sh-program) lave noget der får brevhovedet og
tjekker "Received"-felterne for dokumentfalsk?  Den seneste besked der
slap i gennem filtret indeholdt blandt andet denne linje:

   Received: from itu.dk (251.68-182-adsl-pool.axelero.hu)

Det ville være lækkert med noget der slog IP-adressen på "itu.dk" og
"251.68-182-adsl-pool.axelero.hu" op, og tjekkede om det var den
samme.  Hvis ikke, så skal Procmail frasortere beskeden.

Nogle forslag?

Jacob
-- 
"You've got to build bypasses!"

Follow ups

Re: Procmail-regel til at fange den seneste nye orm/virus
From: Ivar Madsen, 2004-02-04
Re: Procmail-regel til at fange den seneste nye orm/virus
From: Morten Bo Johansen, 2004-01-28
Re: Procmail-regel til at fange den seneste nye orm/virus
From: René Mølsted, 2004-01-28

References

Procmail-regel til at fange den seneste nye orm/virus
From: Jacob Sparre Andersen, 2004-01-28