Jacob Sparre Andersen skrev:
Jeg har kigget lidt på den orm/virus der florerer for tiden, og jeg
tror jeg har fundet en Procmail-regel, der fanger den uden at fange
legitim post:
:0 B
* charset="Windows-1252"^Content-Transfer-Encoding: 7bit
skidtpost/orme/doom
Denne regel fanger vist desværre ikke alle varianter af den. :-(
Jeg har lige fået én, hvor der korrekt nok stod at CP1252 er en
8-bit-kodning.
Hvad kan man så gøre? Hvordan kan jeg (stadig i Procmail - og
eventuelt med et /bin/sh-program) lave noget der får brevhovedet og
tjekker "Received"-felterne for dokumentfalsk? Den seneste besked der
slap i gennem filtret indeholdt blandt andet denne linje:
Received: from itu.dk (251.68-182-adsl-pool.axelero.hu)
Det ville være lækkert med noget der slog IP-adressen på "itu.dk" og
"251.68-182-adsl-pool.axelero.hu" op, og tjekkede om det var den
samme. Hvis ikke, så skal Procmail frasortere beskeden.
Nogle forslag?
