MyDoom: mais pourquoi les passerelles antivirus sont-elles si connes?
27 réponses
Xavier Roche
Avec le "succès" de MyDoom, un problème autrement plus ennuyeux est
apparu. Filtrer les virus est chose aisée, et il est donc possible de
faire totalement disparaitre la pollution liée à MyDoom.
Le gros problème résiduel, ce sont les milliers de passerelles antivirus
qui renvoient des "bounces" ou des alertes lorsqu'elles détectent un
virus, vers des personnes n'ayant jamais été infectées, car l'adresse
d'émission a été falsifiée.
Une question me turlupine: les éditeurs d'antivirus sont-ils tous des
demeurés, et n'ont pas encore compris que tous les virus falsifiaient
l'adresse d'expédition ?
Avec le "succès" de MyDoom, un problème autrement plus ennuyeux est apparu. Filtrer les virus est chose aisée, et il est donc possible de faire totalement disparaitre la pollution liée à MyDoom.
Le gros problème résiduel, ce sont les milliers de passerelles antivirus qui renvoient des "bounces" ou des alertes lorsqu'elles détectent un virus, vers des personnes n'ayant jamais été infectées, car l'adresse d'émission a été falsifiée.
Une question me turlupine: les éditeurs d'antivirus sont-ils tous des demeurés, et n'ont pas encore compris que tous les virus falsifiaient l'adresse d'expédition ?
Les demeurés ce sont aussi les administrateurs qui tolèrent cet envoi massif et totalement inutile d'alertes.
Avec le "succès" de MyDoom, un problème autrement plus ennuyeux est
apparu. Filtrer les virus est chose aisée, et il est donc possible de
faire totalement disparaitre la pollution liée à MyDoom.
Le gros problème résiduel, ce sont les milliers de passerelles antivirus
qui renvoient des "bounces" ou des alertes lorsqu'elles détectent un
virus, vers des personnes n'ayant jamais été infectées, car l'adresse
d'émission a été falsifiée.
Une question me turlupine: les éditeurs d'antivirus sont-ils tous des
demeurés, et n'ont pas encore compris que tous les virus falsifiaient
l'adresse d'expédition ?
Les demeurés ce sont aussi les administrateurs qui tolèrent cet envoi
massif et totalement inutile d'alertes.
Avec le "succès" de MyDoom, un problème autrement plus ennuyeux est apparu. Filtrer les virus est chose aisée, et il est donc possible de faire totalement disparaitre la pollution liée à MyDoom.
Le gros problème résiduel, ce sont les milliers de passerelles antivirus qui renvoient des "bounces" ou des alertes lorsqu'elles détectent un virus, vers des personnes n'ayant jamais été infectées, car l'adresse d'émission a été falsifiée.
Une question me turlupine: les éditeurs d'antivirus sont-ils tous des demeurés, et n'ont pas encore compris que tous les virus falsifiaient l'adresse d'expédition ?
Les demeurés ce sont aussi les administrateurs qui tolèrent cet envoi massif et totalement inutile d'alertes.
Frederic Bonroy
Perso je crois pas que ce soit aussi "aisé" da faire une passerelle AV efficace.
Oui bon, c'est leur métier pour lequel ils sont payés...
Perso je crois pas que ce soit aussi "aisé" da faire une passerelle AV efficace.
Oui bon, c'est leur métier pour lequel ils sont payés...
Perso je crois pas que ce soit aussi "aisé" da faire une passerelle AV efficace.
Oui bon, c'est leur métier pour lequel ils sont payés...
Frederic Bonroy
Comment veux-tu que les serveurs différencient les erreurs venant de vraies adresses des erreurs venant de fausses adresses?
Chez nous ils ont trouvé le truc (attention ironie): ils vérifient d'abord si l'adresse expéditeur existe avant d'envoyer une alerte ou bien avant de délivrer un message à destination.
C'est vraiment à vous faire pleurer.
Comment veux-tu que les serveurs différencient les erreurs venant de vraies
adresses des erreurs venant de fausses adresses?
Chez nous ils ont trouvé le truc (attention ironie): ils vérifient
d'abord si l'adresse expéditeur existe avant d'envoyer une alerte ou
bien avant de délivrer un message à destination.
Comment veux-tu que les serveurs différencient les erreurs venant de vraies adresses des erreurs venant de fausses adresses?
Chez nous ils ont trouvé le truc (attention ironie): ils vérifient d'abord si l'adresse expéditeur existe avant d'envoyer une alerte ou bien avant de délivrer un message à destination.
C'est vraiment à vous faire pleurer.
djehuti
salut "Frederic Bonroy" a écrit dans le message news: bv8c7g$p742f$
Perso je crois pas que ce soit aussi "aisé" da faire une passerelle AV efficace.
Oui bon, c'est leur métier pour lequel ils sont payés...
ben on peut se le demander *eg*
monsieur postmaster (de la sncf) ferait mieux de chercher qui est infecté *chez* lui... plutôt que de me balancer une /alerte/ toutes les 5 minutes (pour un mail que je n'ai jamais envoyé)
y a encore du boulot
@tchao
salut
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message news:
bv8c7g$p742f$1@ID-75150.news.uni-berlin.de
Perso je crois pas que ce soit aussi "aisé" da faire une passerelle
AV efficace.
Oui bon, c'est leur métier pour lequel ils sont payés...
ben on peut se le demander *eg*
monsieur postmaster (de la sncf) ferait mieux de chercher qui est infecté
*chez* lui... plutôt que de me balancer une /alerte/ toutes les 5 minutes
(pour un mail que je n'ai jamais envoyé)
salut "Frederic Bonroy" a écrit dans le message news: bv8c7g$p742f$
Perso je crois pas que ce soit aussi "aisé" da faire une passerelle AV efficace.
Oui bon, c'est leur métier pour lequel ils sont payés...
ben on peut se le demander *eg*
monsieur postmaster (de la sncf) ferait mieux de chercher qui est infecté *chez* lui... plutôt que de me balancer une /alerte/ toutes les 5 minutes (pour un mail que je n'ai jamais envoyé)
y a encore du boulot
@tchao
Corinne Rainbow
NewsGroups : Hello/Bonjour Frederic Bonroy , tu nous a dit / you told us
Comment veux-tu que les serveurs différencient les erreurs venant de vraies adresses des erreurs venant de fausses adresses?
Chez nous ils ont trouvé le truc (attention ironie): ils vérifient d'abord si l'adresse expéditeur existe avant d'envoyer une alerte ou bien avant de délivrer un message à destination.
C'est vraiment à vous faire pleurer.
Ce qui ne changerait pas grand chose : en effet si le virus utilise ton adresse pour s'envoyer, ton adresse existe!
-- Corinne Pour m'écrire perso / To write me : corinne.rainbow serveur : ibelgique.com La FAQ d'OE : http://www.faqoe.com/
The OE FAQ : http://insideoe.tomsterdam.com/ The OE Helps : http://www.oehelp.com/ Autres sites (en français) http://www.secuser.com http://jceel.free.fr http:// www.hoaxbuster.com
NewsGroups : Hello/Bonjour Frederic Bonroy , tu nous a dit / you told us
Comment veux-tu que les serveurs différencient les erreurs
venant de vraies adresses des erreurs venant de fausses adresses?
Chez nous ils ont trouvé le truc (attention ironie): ils vérifient
d'abord si l'adresse expéditeur existe avant d'envoyer une alerte
ou bien avant de délivrer un message à destination.
C'est vraiment à vous faire pleurer.
Ce qui ne changerait pas grand chose : en effet si le virus utilise ton
adresse pour s'envoyer, ton adresse existe!
--
Corinne
Pour m'écrire perso / To write me :
corinne.rainbow serveur : ibelgique.com
La FAQ d'OE : http://www.faqoe.com/
The OE FAQ : http://insideoe.tomsterdam.com/
The OE Helps : http://www.oehelp.com/
Autres sites (en français)
http://www.secuser.com
http://jceel.free.fr
http:// www.hoaxbuster.com
NewsGroups : Hello/Bonjour Frederic Bonroy , tu nous a dit / you told us
Comment veux-tu que les serveurs différencient les erreurs venant de vraies adresses des erreurs venant de fausses adresses?
Chez nous ils ont trouvé le truc (attention ironie): ils vérifient d'abord si l'adresse expéditeur existe avant d'envoyer une alerte ou bien avant de délivrer un message à destination.
C'est vraiment à vous faire pleurer.
Ce qui ne changerait pas grand chose : en effet si le virus utilise ton adresse pour s'envoyer, ton adresse existe!
-- Corinne Pour m'écrire perso / To write me : corinne.rainbow serveur : ibelgique.com La FAQ d'OE : http://www.faqoe.com/
The OE FAQ : http://insideoe.tomsterdam.com/ The OE Helps : http://www.oehelp.com/ Autres sites (en français) http://www.secuser.com http://jceel.free.fr http:// www.hoaxbuster.com
Laurent Wacrenier
EPiKoiEncore écrit:
J'ai eu beau leur expliquer 1 que l'adresse de l'expéditeur ne pouvait pas exister, 2 qu'ils saturaient le réseau à la même vitesse que le virus, 3 qu'en prenant en considération le nom du virus (parfaitement connu) on pouvait peut être n'envoyer l'info que pour des virus ne modifiant pas les entetes ........
Aussi, que lorsqu'on doit vraiment envoyer un message automatique, il faut envoyer des messages de service (MAIL FROM:<>) et qu'il ne faut pas envoyer de messages de service uniquement en fonction de l'entête et non pas de l'enveloppe.
EPiKoiEncore <af@verisign.com> écrit:
J'ai eu beau leur expliquer
1 que l'adresse de l'expéditeur ne pouvait pas exister,
2 qu'ils saturaient le réseau à la même vitesse que le virus,
3 qu'en prenant en considération le nom du virus (parfaitement connu) on
pouvait peut être n'envoyer l'info que pour des virus ne modifiant pas les
entetes ........
Aussi, que lorsqu'on doit vraiment envoyer un message automatique, il
faut envoyer des messages de service (MAIL FROM:<>) et qu'il ne faut
pas envoyer de messages de service uniquement en fonction de l'entête
et non pas de l'enveloppe.
J'ai eu beau leur expliquer 1 que l'adresse de l'expéditeur ne pouvait pas exister, 2 qu'ils saturaient le réseau à la même vitesse que le virus, 3 qu'en prenant en considération le nom du virus (parfaitement connu) on pouvait peut être n'envoyer l'info que pour des virus ne modifiant pas les entetes ........
Aussi, que lorsqu'on doit vraiment envoyer un message automatique, il faut envoyer des messages de service (MAIL FROM:<>) et qu'il ne faut pas envoyer de messages de service uniquement en fonction de l'entête et non pas de l'enveloppe.
gojulgarbmail
Nicob wrote in message news:...
On Wed, 28 Jan 2004 09:29:59 +0100, Xavier Roche wrote:
Mouais. D'un autre côté, un AV pas foutu de gérer un truc aussi évident, moi ne j'achète pas.
Ces AV ont tous une option "ne pas prévenir l'expéditeur", mais elle est désactivée par défaut. A moins que tu ne parlais de la fonction de renvoi sélectif selon le type de virus rencontré, qui est elle très peu implémentée ...
Sur KAV, la fonction "prévenir l'expéditeur" est désactivée par défaut.
Nicob <nicob@I.hate.spammers.com> wrote in message news:<pan.2004.01.28.08.39.19.52690@I.hate.spammers.com>...
On Wed, 28 Jan 2004 09:29:59 +0100, Xavier Roche wrote:
Mouais. D'un autre côté, un AV pas foutu de gérer un truc aussi évident,
moi ne j'achète pas.
Ces AV ont tous une option "ne pas prévenir l'expéditeur", mais elle est
désactivée par défaut. A moins que tu ne parlais de la fonction de
renvoi sélectif selon le type de virus rencontré, qui est elle très peu
implémentée ...
Sur KAV, la fonction "prévenir l'expéditeur" est désactivée par défaut.
On Wed, 28 Jan 2004 09:29:59 +0100, Xavier Roche wrote:
Mouais. D'un autre côté, un AV pas foutu de gérer un truc aussi évident, moi ne j'achète pas.
Ces AV ont tous une option "ne pas prévenir l'expéditeur", mais elle est désactivée par défaut. A moins que tu ne parlais de la fonction de renvoi sélectif selon le type de virus rencontré, qui est elle très peu implémentée ...
Sur KAV, la fonction "prévenir l'expéditeur" est désactivée par défaut.
Stephane D
Corinne Rainbow wrote:
Chez nous ils ont trouvé le truc (attention ironie): ils vérifient
Ce qui ne changerait pas grand chose : en effet si le virus utilise ton adresse pour s'envoyer, ton adresse existe!
As tu lu son message avant de répondre ? Regarde bien y'a le mot "ironie" quelque part dans le message.
@+ Stephane
Corinne Rainbow wrote:
Chez nous ils ont trouvé le truc (attention ironie): ils vérifient
Ce qui ne changerait pas grand chose : en effet si le virus utilise ton
adresse pour s'envoyer, ton adresse existe!
As tu lu son message avant de répondre ? Regarde bien y'a le mot
"ironie" quelque part dans le message.
Sur KAV, la fonction "prévenir l'expéditeur" est désactivée par défaut.
Elle ne devrait même pas exister. Ça manque de serieux.
La seule chose à faire, c'est de prévenir le destinataire, charge à lui de prévenir l'expediteur.
Xavier Roche
Laurent Wacrenier wrote:
La seule chose à faire, c'est de prévenir le destinataire, charge à lui de prévenir l'expediteur.
Bof. Depuis avant hier, j'ai reçu 6846 virus MyDoom, tous dégagés dès réception. Recevoir 6846 notifications difficilement filtrables à la place ne me tente guère plus que les notifications débiles "Returned due to virus", "Email Quarantined", "Blocked mail" etc. envoyées par ces merdasses de gateways.
Laurent Wacrenier wrote:
La seule chose à faire, c'est de prévenir le destinataire, charge à
lui de prévenir l'expediteur.
Bof. Depuis avant hier, j'ai reçu 6846 virus MyDoom, tous dégagés dès
réception. Recevoir 6846 notifications difficilement filtrables à la
place ne me tente guère plus que les notifications débiles "Returned due
to virus", "Email Quarantined", "Blocked mail" etc. envoyées par ces
merdasses de gateways.
La seule chose à faire, c'est de prévenir le destinataire, charge à lui de prévenir l'expediteur.
Bof. Depuis avant hier, j'ai reçu 6846 virus MyDoom, tous dégagés dès réception. Recevoir 6846 notifications difficilement filtrables à la place ne me tente guère plus que les notifications débiles "Returned due to virus", "Email Quarantined", "Blocked mail" etc. envoyées par ces merdasses de gateways.
