Etant donné que j'en avais un peu marre d'effacer des messages toutes
les 5 minutes, et étant donné que j'aimerais m'endormir sans que ma
boite n'explose (ce qui s'est passé la nuit passée...), je me suis enfin
résolu à placer un filtre sur mon serveur de courrier qui permet de
filtrer sur le corps du message (Yahoo! mail), jusque là ça marche
impec'. Bref je vous livre mes filtres, dites toujours ce que vous en
pensez:
this is the latest version of security update
et aussi:
<iframe src=3D"cid
(pour le 2e, je pars du principe qu'un message qui contient ça est
forcément pas sympa)
Le Sat, 20 Sep 2003 at 13:32 GMT, Philippe a écrit:
En fait, tous n'ont pas le iframe non plus. Et n'y a t-il pas des cas ou cette balise 3D soit dans un mail
légitime ? C'est une simple question.
Question posée dans le thread "swen et procmail", Virginie Renoncé a eu la gentillesse d'y répondre. En gros : il s'agit d'une tentative d'exploiter une faille de vieux outlook express. D'aprés un admin, 0% de fausses alertes.
Merci. Je vais y réféchir. Surtout depuis que des serveurs bien intentionnés suppriment le ver en laissant passer le message :-(
Et qui pense quoi de mes filtres ? Body: "R0lGODlhaAA7APcAAP" Body: "TVqQAAMAAAAEAAAA"
Testé chez moi, a priori, procmail n'a intercepté aucun message avec cette règle. Mais j'utilise une autre règle avant (détéction du FROM/SUBJECT en majuscule), qui elle, intercepte 80% des mails vérolés. Soit ta règle est inefficace (j'en doute), soit c'est parce que la règle sur le champ SUBJECT/FROM en majuscule a détecté tout les messages respectant ta règle.
Etonnant. La chaine se trouve forcément là. Au moins pour la seconde. La première est l'en-tête du Gif du logo Microsoft (filtre malheureux pour les autres GIF, je l'ai suprimé) non présent dans tous les mails.
A moins que procmail ne cherche pas dans les pièces jointes (ca serait étonnant)?
Mes nouvelles règles (toujours pour RegExFilter de SpamPal)
X-MailScanner: "Found to be clean" [SOBIG] Subject: "Use this patch immediately !" [SWEN] Body: "this is the latest version of security update" [SWEN] Body: "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAA" [EXE]
Du coup, préférer : :O D * ^(SUBJECT|FROM) /dev/null
Je vais essayer.
Avec RegExFilter ca devrait donner: Header: {(?-i) SUBJECT:} Header: {?-i) FROM:} -- Philippe Boulet
On 20 Sep 2003 13:53:17 GMT, JL Picard
<nospam@public.jeru.orgi.invalid> wrote:
Le Sat, 20 Sep 2003 at 13:32 GMT, Philippe a écrit:
En fait, tous n'ont pas le iframe non plus.
Et n'y a t-il pas des cas ou cette balise 3D soit dans un mail
légitime ?
C'est une simple question.
Question posée dans le thread "swen et procmail", Virginie Renoncé a eu
la gentillesse d'y répondre. En gros : il s'agit d'une tentative
d'exploiter une faille de vieux outlook express. D'aprés un admin, 0% de
fausses alertes.
Merci. Je vais y réféchir.
Surtout depuis que des serveurs bien intentionnés suppriment le ver en
laissant passer le message :-(
Et qui pense quoi de mes filtres ?
Body: "R0lGODlhaAA7APcAAP"
Body: "TVqQAAMAAAAEAAAA"
Testé chez moi, a priori, procmail n'a intercepté aucun message avec
cette règle. Mais j'utilise une autre règle avant (détéction du
FROM/SUBJECT en majuscule), qui elle, intercepte 80% des mails vérolés.
Soit ta règle est inefficace (j'en doute), soit c'est parce que la règle
sur le champ SUBJECT/FROM en majuscule a détecté tout les messages
respectant ta règle.
Etonnant.
La chaine se trouve forcément là.
Au moins pour la seconde. La première est l'en-tête du Gif du logo
Microsoft (filtre malheureux pour les autres GIF, je l'ai suprimé) non
présent dans tous les mails.
A moins que procmail ne cherche pas dans les pièces jointes (ca serait
étonnant)?
Mes nouvelles règles (toujours pour RegExFilter de SpamPal)
X-MailScanner: "Found to be clean" [SOBIG]
Subject: "Use this patch immediately !" [SWEN]
Body: "this is the latest version of security update" [SWEN]
Body: "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAA" [EXE]
Du coup, préférer :
:O D
* ^(SUBJECT|FROM)
/dev/null
Je vais essayer.
Avec RegExFilter ca devrait donner:
Header: {(?-i) SUBJECT:}
Header: {?-i) FROM:}
--
Philippe Boulet
Le Sat, 20 Sep 2003 at 13:32 GMT, Philippe a écrit:
En fait, tous n'ont pas le iframe non plus. Et n'y a t-il pas des cas ou cette balise 3D soit dans un mail
légitime ? C'est une simple question.
Question posée dans le thread "swen et procmail", Virginie Renoncé a eu la gentillesse d'y répondre. En gros : il s'agit d'une tentative d'exploiter une faille de vieux outlook express. D'aprés un admin, 0% de fausses alertes.
Merci. Je vais y réféchir. Surtout depuis que des serveurs bien intentionnés suppriment le ver en laissant passer le message :-(
Et qui pense quoi de mes filtres ? Body: "R0lGODlhaAA7APcAAP" Body: "TVqQAAMAAAAEAAAA"
Testé chez moi, a priori, procmail n'a intercepté aucun message avec cette règle. Mais j'utilise une autre règle avant (détéction du FROM/SUBJECT en majuscule), qui elle, intercepte 80% des mails vérolés. Soit ta règle est inefficace (j'en doute), soit c'est parce que la règle sur le champ SUBJECT/FROM en majuscule a détecté tout les messages respectant ta règle.
Etonnant. La chaine se trouve forcément là. Au moins pour la seconde. La première est l'en-tête du Gif du logo Microsoft (filtre malheureux pour les autres GIF, je l'ai suprimé) non présent dans tous les mails.
A moins que procmail ne cherche pas dans les pièces jointes (ca serait étonnant)?
Mes nouvelles règles (toujours pour RegExFilter de SpamPal)
X-MailScanner: "Found to be clean" [SOBIG] Subject: "Use this patch immediately !" [SWEN] Body: "this is the latest version of security update" [SWEN] Body: "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAA" [EXE]
Du coup, préférer : :O D * ^(SUBJECT|FROM) /dev/null
Je vais essayer.
Avec RegExFilter ca devrait donner: Header: {(?-i) SUBJECT:} Header: {?-i) FROM:} -- Philippe Boulet
Philippe Boulet
On Sat, 20 Sep 2003 18:33:43 +0200, Philippe Boulet wrote:
Du coup, préférer : :O D * ^(SUBJECT|FROM) /dev/null
Je vais essayer.
Avec RegExFilter ca devrait donner: Header: {(?-i) SUBJECT:} Header: {?-i) FROM:}
Marche pas. Mais c'est juste un problème de syntaxe. Une aide ou dois-je RTFM :-)
-- Philippe Boulet
On Sat, 20 Sep 2003 18:33:43 +0200, Philippe Boulet
<philippe.boulet@fnac.net> wrote:
Du coup, préférer :
:O D
* ^(SUBJECT|FROM)
/dev/null
Je vais essayer.
Avec RegExFilter ca devrait donner:
Header: {(?-i) SUBJECT:}
Header: {?-i) FROM:}
Marche pas.
Mais c'est juste un problème de syntaxe.
Une aide ou dois-je RTFM :-)
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
Un tout grand merci !!!
Il passe de loin en loin un machin de 1 ou 2 k qui doit être un effet secondaire de Swen, mais ma vie est bien plus facile depuis vos filtres (alors que j'avais dû virer à la main le tiers des 1 000 intrus précédents que mes filtres artisanaux sur To et From rataient).
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
Un tout grand merci !!!
Il passe de loin en loin un machin de 1 ou 2 k qui doit être
un effet secondaire de Swen, mais ma vie est bien plus facile
depuis vos filtres (alors que j'avais dû virer à la main le
tiers des 1 000 intrus précédents que mes filtres artisanaux
sur To et From rataient).
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
Un tout grand merci !!!
Il passe de loin en loin un machin de 1 ou 2 k qui doit être un effet secondaire de Swen, mais ma vie est bien plus facile depuis vos filtres (alors que j'avais dû virer à la main le tiers des 1 000 intrus précédents que mes filtres artisanaux sur To et From rataient).
Pierre Hallet
JMB
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
J'ai foutu cela sur les filtres de la Poste... je suis parti dans les bois avec mon gamin.... je suis revenu et ma BAL était pleine... mais mon panier à champignon vide !!!!
JMB
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
J'ai foutu cela sur les filtres de la Poste... je suis parti dans les bois
avec mon gamin.... je suis revenu et ma BAL était pleine... mais mon panier
à champignon vide !!!!
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
J'ai foutu cela sur les filtres de la Poste... je suis parti dans les bois avec mon gamin.... je suis revenu et ma BAL était pleine... mais mon panier à champignon vide !!!!
JMB
Pierre Hallet
JMB :
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
J'ai foutu cela sur les filtres de la Poste... je suis parti dans les bois avec mon gamin.... je suis revenu et ma BAL était pleine... mais mon panier à champignon vide !!!!
Vous êtes sûr de n'avoir pas mis de « un » au lieu de « l minuscule » dans la première chaîne ?
Pierre Hallet
JMB :
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
J'ai foutu cela sur les filtres de la Poste... je suis parti
dans les bois avec mon gamin.... je suis revenu et ma BAL
était pleine... mais mon panier à champignon vide !!!!
Vous êtes sûr de n'avoir pas mis de « un » au lieu de
« l minuscule » dans la première chaîne ?
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
J'ai foutu cela sur les filtres de la Poste... je suis parti dans les bois avec mon gamin.... je suis revenu et ma BAL était pleine... mais mon panier à champignon vide !!!!
Vous êtes sûr de n'avoir pas mis de « un » au lieu de « l minuscule » dans la première chaîne ?
Pierre Hallet
Serge Paccalin
Le samedi 20 septembre 2003 à 16:50:27, Frederic Bonroy a écrit dans fr.comp.securite.virus :
disons que je ne sais pas à quoi sert le 3D mais je pars du principe qu'il s'agit d'une petite erreur dans le virus
Non, je l'ai déjà vu ailleurs. C'est peut-être une histoire de codage et de jeux de caractères.
« = » est le codage en Quoted-printable du caractère « = ».
-- ___________ 2003-09-20 21:17:11 _/ _ _`_`_`_) Serge PACCALIN -- sp ad mailclub.net _L_) Il faut donc que les hommes commencent -'(__) par n'être pas fanatiques pour mériter _/___(_) la tolérance. -- Voltaire, 1763
Le samedi 20 septembre 2003 à 16:50:27, Frederic Bonroy a écrit dans
fr.comp.securite.virus :
disons que je ne sais pas à quoi sert le 3D mais je pars du principe
qu'il s'agit d'une petite erreur dans le virus
Non, je l'ai déjà vu ailleurs. C'est peut-être une histoire de codage
et de jeux de caractères.
« = » est le codage en Quoted-printable du caractère « = ».
--
___________ 2003-09-20 21:17:11
_/ _ _`_`_`_) Serge PACCALIN -- sp ad mailclub.net
_L_) Il faut donc que les hommes commencent
-'(__) par n'être pas fanatiques pour mériter
_/___(_) la tolérance. -- Voltaire, 1763
Le samedi 20 septembre 2003 à 16:50:27, Frederic Bonroy a écrit dans fr.comp.securite.virus :
disons que je ne sais pas à quoi sert le 3D mais je pars du principe qu'il s'agit d'une petite erreur dans le virus
Non, je l'ai déjà vu ailleurs. C'est peut-être une histoire de codage et de jeux de caractères.
« = » est le codage en Quoted-printable du caractère « = ».
-- ___________ 2003-09-20 21:17:11 _/ _ _`_`_`_) Serge PACCALIN -- sp ad mailclub.net _L_) Il faut donc que les hommes commencent -'(__) par n'être pas fanatiques pour mériter _/___(_) la tolérance. -- Voltaire, 1763
Nicolas Richard
« = » est le codage en Quoted-printable du caractère « = ».
Parfois j'me sens con, moi.
-- Nico.
« = » est le codage en Quoted-printable du caractère « = ».
« = » est le codage en Quoted-printable du caractère « = ».
Parfois j'me sens con, moi.
-- Nico.
Philippe Boulet
On Sat, 20 Sep 2003 20:48:48 +0200, "JMB" wrote:
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
J'ai foutu cela sur les filtres de la Poste... je suis parti dans les bois avec mon gamin.... je suis revenu et ma BAL était pleine... mais mon panier à champignon vide !!!!
J'ai essayé. Apparement le filtre de laposte.net n'agit pas sur les pièces jointes.
-- Philippe Boulet
On Sat, 20 Sep 2003 20:48:48 +0200, "JMB" <jbonnard@zzzzlaposte.net>
wrote:
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
J'ai foutu cela sur les filtres de la Poste... je suis parti dans les bois
avec mon gamin.... je suis revenu et ma BAL était pleine... mais mon panier
à champignon vide !!!!
J'ai essayé.
Apparement le filtre de laposte.net n'agit pas sur les pièces jointes.
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
J'ai foutu cela sur les filtres de la Poste... je suis parti dans les bois avec mon gamin.... je suis revenu et ma BAL était pleine... mais mon panier à champignon vide !!!!
J'ai essayé. Apparement le filtre de laposte.net n'agit pas sur les pièces jointes.
-- Philippe Boulet
Philippe Boulet
On Sat, 20 Sep 2003 20:40:19 +0200, Pierre Hallet wrote:
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
En fait, le premier n'est même pas utile. C'est l'en-tête des GIFen particulier du logo de Microsoft. Préférable de le supprimer pour recevoir les messages humoristiques des copains :-)
Le second filtre toute les messages avec un EXE en pièce jointe ce qui n'est pas plus mal à mon avis.
Un tout grand merci !!!
De rien. mais ça fait plaisir :-)
Il passe de loin en loin un machin de 1 ou 2 k qui doit être un effet secondaire de Swen
Les mails "nettoyés" par les serveurs arrivent quand même mais avec une PJ innofensive ou supprimée.
, mais ma vie est bien plus facile depuis vos filtres (alors que j'avais dû virer à la main le tiers des 1 000 intrus précédents que mes filtres artisanaux sur To et From rataient).
L'inconvénient c'est que ca ne fonctionne ni dans Outlook Express ni directement dans les filtres des serveurs que je connais qui, même s'ils cherchent dans le corps, ne cherchent pas dans les pièces jointes.
-- Philippe Boulet
On Sat, 20 Sep 2003 20:40:19 +0200, Pierre Hallet
<pierre.hallet@skynet.be> wrote:
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
En fait, le premier n'est même pas utile. C'est l'en-tête des GIFen
particulier du logo de Microsoft.
Préférable de le supprimer pour recevoir les messages humoristiques
des copains :-)
Le second filtre toute les messages avec un EXE en pièce jointe ce qui
n'est pas plus mal à mon avis.
Un tout grand merci !!!
De rien. mais ça fait plaisir :-)
Il passe de loin en loin un machin de 1 ou 2 k qui doit être
un effet secondaire de Swen
Les mails "nettoyés" par les serveurs arrivent quand même mais avec
une PJ innofensive ou supprimée.
, mais ma vie est bien plus facile
depuis vos filtres (alors que j'avais dû virer à la main le
tiers des 1 000 intrus précédents que mes filtres artisanaux
sur To et From rataient).
L'inconvénient c'est que ca ne fonctionne ni dans Outlook Express ni
directement dans les filtres des serveurs que je connais qui, même
s'ils cherchent dans le corps, ne cherchent pas dans les pièces
jointes.
Depuis que je les ai mis, aucun des 300 intrus n'est passé.
En fait, le premier n'est même pas utile. C'est l'en-tête des GIFen particulier du logo de Microsoft. Préférable de le supprimer pour recevoir les messages humoristiques des copains :-)
Le second filtre toute les messages avec un EXE en pièce jointe ce qui n'est pas plus mal à mon avis.
Un tout grand merci !!!
De rien. mais ça fait plaisir :-)
Il passe de loin en loin un machin de 1 ou 2 k qui doit être un effet secondaire de Swen
Les mails "nettoyés" par les serveurs arrivent quand même mais avec une PJ innofensive ou supprimée.
, mais ma vie est bien plus facile depuis vos filtres (alors que j'avais dû virer à la main le tiers des 1 000 intrus précédents que mes filtres artisanaux sur To et From rataient).
L'inconvénient c'est que ca ne fonctionne ni dans Outlook Express ni directement dans les filtres des serveurs que je connais qui, même s'ils cherchent dans le corps, ne cherchent pas dans les pièces jointes.
