Etant donné que j'en avais un peu marre d'effacer des messages toutes
les 5 minutes, et étant donné que j'aimerais m'endormir sans que ma
boite n'explose (ce qui s'est passé la nuit passée...), je me suis enfin
résolu à placer un filtre sur mon serveur de courrier qui permet de
filtrer sur le corps du message (Yahoo! mail), jusque là ça marche
impec'. Bref je vous livre mes filtres, dites toujours ce que vous en
pensez:
this is the latest version of security update
et aussi:
<iframe src=3D"cid
(pour le 2e, je pars du principe qu'un message qui contient ça est
forcément pas sympa)
salut "Nicolas Richard" a écrit dans le message news:
marche impec'. Bref je vous livre mes filtres, dites toujours ce que vous en pensez:
bah, j'y connais pas grand chose mais tu sembles être sur la bonne voie news:bkdf1p$jte$
this is the latest version of security update et aussi: <iframe src="cid
(pour le 2e, je pars du principe qu'un message qui contient ça est forcément pas sympa)
ça c'est sûr, du html dans un mail... c'est mal :-)
@tchao
Philippe Boulet
On Fri, 19 Sep 2003 23:56:28 +0200, Nicolas Richard wrote:
Bonjour,
Etant donné que j'en avais un peu marre d'effacer des messages toutes les 5 minutes, et étant donné que j'aimerais m'endormir sans que ma boite n'explose (ce qui s'est passé la nuit passée...), je me suis enfin résolu à placer un filtre sur mon serveur de courrier qui permet de filtrer sur le corps du message (Yahoo! mail),
Heureux homme ! Sauf erreur, Free, Wanado, fnac.net, laposte.net et m6net.fr ne le permettent pas :-( Je dois les télécharger régulièrement pour vider les boites.
jusque là ça marche impec'. Bref je vous livre mes filtres, dites toujours ce que vous en pensez:
this is the latest version of security update
Ok.
et aussi: <iframe src="cid (pour le 2e, je pars du principe qu'un message qui contient ça est forcément pas sympa)
(premiers caractères des pièces jointes pour les 2 types de messages)
-- Philippe Boulet
On Fri, 19 Sep 2003 23:56:28 +0200, Nicolas Richard
<theonewiththeevillook@yahoo.fr> wrote:
Bonjour,
Etant donné que j'en avais un peu marre d'effacer des messages toutes
les 5 minutes, et étant donné que j'aimerais m'endormir sans que ma
boite n'explose (ce qui s'est passé la nuit passée...), je me suis enfin
résolu à placer un filtre sur mon serveur de courrier qui permet de
filtrer sur le corps du message (Yahoo! mail),
Heureux homme !
Sauf erreur, Free, Wanado, fnac.net, laposte.net et m6net.fr ne le
permettent pas :-(
Je dois les télécharger régulièrement pour vider les boites.
jusque là ça marche impec'. Bref je vous livre mes filtres, dites
toujours ce que vous en pensez:
this is the latest version of security update
Ok.
et aussi:
<iframe src="cid
(pour le 2e, je pars du principe qu'un message qui contient ça est
forcément pas sympa)
On Fri, 19 Sep 2003 23:56:28 +0200, Nicolas Richard wrote:
Bonjour,
Etant donné que j'en avais un peu marre d'effacer des messages toutes les 5 minutes, et étant donné que j'aimerais m'endormir sans que ma boite n'explose (ce qui s'est passé la nuit passée...), je me suis enfin résolu à placer un filtre sur mon serveur de courrier qui permet de filtrer sur le corps du message (Yahoo! mail),
Heureux homme ! Sauf erreur, Free, Wanado, fnac.net, laposte.net et m6net.fr ne le permettent pas :-( Je dois les télécharger régulièrement pour vider les boites.
jusque là ça marche impec'. Bref je vous livre mes filtres, dites toujours ce que vous en pensez:
this is the latest version of security update
Ok.
et aussi: <iframe src="cid (pour le 2e, je pars du principe qu'un message qui contient ça est forcément pas sympa)
(premiers caractères des pièces jointes pour les 2 types de messages)
-- Philippe Boulet
Nicolas Richard
ça ne marche pas chez moi
Pense qu'il s'agit du corps du message (accessoirement un très faible pourcentage des virus n'ont pas le "3D" dans la balise <iframe>). Sinon regarde voir la source du message si elle contient bien ces chaines de caractères (on sait jamais).
Au fait, pense à lire "Répondre sur Usenet" : http://giromini.org/usenet-fr/repondre.html
Bonne journée.
-- Nico.
ça ne marche pas chez moi
Pense qu'il s'agit du corps du message (accessoirement un très faible
pourcentage des virus n'ont pas le "3D" dans la balise <iframe>). Sinon
regarde voir la source du message si elle contient bien ces chaines de
caractères (on sait jamais).
Au fait, pense à lire "Répondre sur Usenet" :
http://giromini.org/usenet-fr/repondre.html
Pense qu'il s'agit du corps du message (accessoirement un très faible pourcentage des virus n'ont pas le "3D" dans la balise <iframe>). Sinon regarde voir la source du message si elle contient bien ces chaines de caractères (on sait jamais).
Au fait, pense à lire "Répondre sur Usenet" : http://giromini.org/usenet-fr/repondre.html
Bonne journée.
-- Nico.
Nicolas Richard
et aussi: <iframe src="cid (pour le 2e, je pars du principe qu'un message qui contient ça est forcément pas sympa)
Pourquoi le penser ?
Parce que c'est iframe et que je n'aime pas ça (et en général je n'aime pas le html dans les mails, c'est lourd et inutile), et que le 3D n'a rien à faire là (à moins qu'on ait changé de syntaxe dernierement dans les balises html ?)
-- Nico.
et aussi:
<iframe src="cid
(pour le 2e, je pars du principe qu'un message qui contient ça est
forcément pas sympa)
Pourquoi le penser ?
Parce que c'est iframe et que je n'aime pas ça (et en général je n'aime
pas le html dans les mails, c'est lourd et inutile), et que le 3D n'a
rien à faire là (à moins qu'on ait changé de syntaxe dernierement dans
les balises html ?)
et aussi: <iframe src="cid (pour le 2e, je pars du principe qu'un message qui contient ça est forcément pas sympa)
Pourquoi le penser ?
Parce que c'est iframe et que je n'aime pas ça (et en général je n'aime pas le html dans les mails, c'est lourd et inutile), et que le 3D n'a rien à faire là (à moins qu'on ait changé de syntaxe dernierement dans les balises html ?)
-- Nico.
Frederic Bonroy
Nicolas Richard wrote:
Pense qu'il s'agit du corps du message (accessoirement un très faible pourcentage des virus n'ont pas le "3D" dans la balise <iframe>).
En fait, tous n'ont pas le iframe non plus.
Nicolas Richard wrote:
Pense qu'il s'agit du corps du message (accessoirement un très faible
pourcentage des virus n'ont pas le "3D" dans la balise <iframe>).
Le Sat, 20 Sep 2003 at 13:32 GMT, Philippe a écrit:
En fait, tous n'ont pas le iframe non plus. Et n'y a t-il pas des cas ou cette balise 3D soit dans un mail
légitime ? C'est une simple question.
Question posée dans le thread "swen et procmail", Virginie Renoncé a eu la gentillesse d'y répondre. En gros : il s'agit d'une tentative d'exploiter une faille de vieux outlook express. D'aprés un admin, 0% de fausses alertes.
Et qui pense quoi de mes filtres ? Body: "R0lGODlhaAA7APcAAP" Body: "TVqQAAMAAAAEAAAA"
Testé chez moi, a priori, procmail n'a intercepté aucun message avec cette règle. Mais j'utilise une autre règle avant (détéction du FROM/SUBJECT en majuscule), qui elle, intercepte 80% des mails vérolés. Soit ta règle est inefficace (j'en doute), soit c'est parce que la règle sur le champ SUBJECT/FROM en majuscule a détecté tout les messages respectant ta règle. Du coup, préférer : :O D * ^(SUBJECT|FROM) /dev/null
Le Sat, 20 Sep 2003 at 13:32 GMT, Philippe a écrit:
En fait, tous n'ont pas le iframe non plus.
Et n'y a t-il pas des cas ou cette balise 3D soit dans un mail
légitime ?
C'est une simple question.
Question posée dans le thread "swen et procmail", Virginie Renoncé a eu
la gentillesse d'y répondre. En gros : il s'agit d'une tentative
d'exploiter une faille de vieux outlook express. D'aprés un admin, 0% de
fausses alertes.
Et qui pense quoi de mes filtres ?
Body: "R0lGODlhaAA7APcAAP"
Body: "TVqQAAMAAAAEAAAA"
Testé chez moi, a priori, procmail n'a intercepté aucun message avec
cette règle. Mais j'utilise une autre règle avant (détéction du
FROM/SUBJECT en majuscule), qui elle, intercepte 80% des mails vérolés.
Soit ta règle est inefficace (j'en doute), soit c'est parce que la règle
sur le champ SUBJECT/FROM en majuscule a détecté tout les messages
respectant ta règle.
Du coup, préférer :
:O D
* ^(SUBJECT|FROM)
/dev/null
Le Sat, 20 Sep 2003 at 13:32 GMT, Philippe a écrit:
En fait, tous n'ont pas le iframe non plus. Et n'y a t-il pas des cas ou cette balise 3D soit dans un mail
légitime ? C'est une simple question.
Question posée dans le thread "swen et procmail", Virginie Renoncé a eu la gentillesse d'y répondre. En gros : il s'agit d'une tentative d'exploiter une faille de vieux outlook express. D'aprés un admin, 0% de fausses alertes.
Et qui pense quoi de mes filtres ? Body: "R0lGODlhaAA7APcAAP" Body: "TVqQAAMAAAAEAAAA"
Testé chez moi, a priori, procmail n'a intercepté aucun message avec cette règle. Mais j'utilise une autre règle avant (détéction du FROM/SUBJECT en majuscule), qui elle, intercepte 80% des mails vérolés. Soit ta règle est inefficace (j'en doute), soit c'est parce que la règle sur le champ SUBJECT/FROM en majuscule a détecté tout les messages respectant ta règle. Du coup, préférer : :O D * ^(SUBJECT|FROM) /dev/null
Moi j'aurais tendance à ne pas l'utiliser pour éviter les erreurs ("faux positifs" mais je n'aime pas ce terme) parce que la chaine ne veut rien dire,
C'est le début de pièces jointes.
En fait, c'est une grosse erreur pour le premier. C'est le GIF du "joli" message (et donc de tous les GIF's) Je l'ai supprimé.
Et le second filtre tous les mails avec un EXE. Ce qui est plutôt une bonne chose.
et que sur un fichier j'ai l'impression qu'il y a des chances qu'un de ces chaines apparaissent quelque part (mais j'ai la flemme de calculer des probas ;)).
Assez faible la probabilité. En cas de doute, on peut augmenter la longeur et/ou prendre une chaine plus caractéristique.
En tout cas, pas eu d'erreurs judiciaires pour l'instant. -- Philippe Boulet
On Sat, 20 Sep 2003 16:23:21 +0200, Nicolas Richard
<theonewiththeevillook@yahoo.fr> wrote:
Moi j'aurais tendance à ne pas l'utiliser pour éviter les erreurs ("faux
positifs" mais je n'aime pas ce terme) parce que la chaine ne veut rien
dire,
C'est le début de pièces jointes.
En fait, c'est une grosse erreur pour le premier.
C'est le GIF du "joli" message (et donc de tous les GIF's)
Je l'ai supprimé.
Et le second filtre tous les mails avec un EXE. Ce qui est plutôt une
bonne chose.
et que sur un fichier j'ai l'impression qu'il y a des chances
qu'un de ces chaines apparaissent quelque part (mais j'ai la flemme de
calculer des probas ;)).
Assez faible la probabilité.
En cas de doute, on peut augmenter la longeur et/ou prendre une chaine
plus caractéristique.
En tout cas, pas eu d'erreurs judiciaires pour l'instant.
--
Philippe Boulet
Moi j'aurais tendance à ne pas l'utiliser pour éviter les erreurs ("faux positifs" mais je n'aime pas ce terme) parce que la chaine ne veut rien dire,
C'est le début de pièces jointes.
En fait, c'est une grosse erreur pour le premier. C'est le GIF du "joli" message (et donc de tous les GIF's) Je l'ai supprimé.
Et le second filtre tous les mails avec un EXE. Ce qui est plutôt une bonne chose.
et que sur un fichier j'ai l'impression qu'il y a des chances qu'un de ces chaines apparaissent quelque part (mais j'ai la flemme de calculer des probas ;)).
Assez faible la probabilité. En cas de doute, on peut augmenter la longeur et/ou prendre une chaine plus caractéristique.
En tout cas, pas eu d'erreurs judiciaires pour l'instant. -- Philippe Boulet
