MyDoom: mais pourquoi les passerelles antivirus sont-elles si connes?
27 réponses
Xavier Roche
Avec le "succès" de MyDoom, un problème autrement plus ennuyeux est
apparu. Filtrer les virus est chose aisée, et il est donc possible de
faire totalement disparaitre la pollution liée à MyDoom.
Le gros problème résiduel, ce sont les milliers de passerelles antivirus
qui renvoient des "bounces" ou des alertes lorsqu'elles détectent un
virus, vers des personnes n'ayant jamais été infectées, car l'adresse
d'émission a été falsifiée.
Une question me turlupine: les éditeurs d'antivirus sont-ils tous des
demeurés, et n'ont pas encore compris que tous les virus falsifiaient
l'adresse d'expédition ?
La seule chose à faire, c'est de prévenir le destinataire, charge à lui de prévenir l'expediteur.
Bof. Depuis avant hier, j'ai reçu 6846 virus MyDoom, tous dégagés dès réception. Recevoir 6846 notifications difficilement filtrables à la place ne me tente guère plus que les notifications débiles "Returned due to virus", "Email Quarantined", "Blocked mail" etc. envoyées par ces merdasses de gateways.
Chez moi, ce n'est pas la passerelle qui envoie la notification, mais l'agent de livraison local. Mes utilisateurs, s'ils ont confiance en l'antivirus et ne veulent pas gérer les notifications, ont la possibilité de ne pas recevoir ces dernières ou les mettre dans un dossier spécifique de leur boîte aux lettres. La notification est en français, indique en une douzaine de ligne ce qui leur arrive et joint les en-têtes du message. Je pense à la signer PGP un de ces jours.
Accessoirement, ça évite de recevoir des questions sur ce qu'on fait au sujet des virus.
La seule chose à faire, c'est de prévenir le destinataire, charge à
lui de prévenir l'expediteur.
Bof. Depuis avant hier, j'ai reçu 6846 virus MyDoom, tous dégagés dès
réception. Recevoir 6846 notifications difficilement filtrables à la
place ne me tente guère plus que les notifications débiles "Returned due
to virus", "Email Quarantined", "Blocked mail" etc. envoyées par ces
merdasses de gateways.
Chez moi, ce n'est pas la passerelle qui envoie la notification, mais
l'agent de livraison local. Mes utilisateurs, s'ils ont confiance en
l'antivirus et ne veulent pas gérer les notifications, ont la
possibilité de ne pas recevoir ces dernières ou les mettre dans un
dossier spécifique de leur boîte aux lettres. La notification est en
français, indique en une douzaine de ligne ce qui leur arrive et joint
les en-têtes du message. Je pense à la signer PGP un de ces jours.
Accessoirement, ça évite de recevoir des questions sur ce qu'on fait
au sujet des virus.
La seule chose à faire, c'est de prévenir le destinataire, charge à lui de prévenir l'expediteur.
Bof. Depuis avant hier, j'ai reçu 6846 virus MyDoom, tous dégagés dès réception. Recevoir 6846 notifications difficilement filtrables à la place ne me tente guère plus que les notifications débiles "Returned due to virus", "Email Quarantined", "Blocked mail" etc. envoyées par ces merdasses de gateways.
Chez moi, ce n'est pas la passerelle qui envoie la notification, mais l'agent de livraison local. Mes utilisateurs, s'ils ont confiance en l'antivirus et ne veulent pas gérer les notifications, ont la possibilité de ne pas recevoir ces dernières ou les mettre dans un dossier spécifique de leur boîte aux lettres. La notification est en français, indique en une douzaine de ligne ce qui leur arrive et joint les en-têtes du message. Je pense à la signer PGP un de ces jours.
Accessoirement, ça évite de recevoir des questions sur ce qu'on fait au sujet des virus.
Landry MINOZA
Le Mercredi 28 Janvier 2004 09:50, Stephane D à écrit:
Encore que l'adresse de destinataire (la tienne par exemple) le virus la bien trouvé quelque part dans un carnet d'adresse.
Ou n'importe ou ailleurs (news, page web du cache, fichiers texte...)
Ce qui veut dire que c'est une connaissance (proche relation de travail) qui est infecté.
Les spammeurs se prennent aussi des virus, ou alors il suffit que la personne lise les news, ou soit passé sur un site où ton adresse figure, qu'elle soit abonnée à une ML ou tu poste, que vous ayez une connaissance en commun (même de loin, du style quelqu'un que tu connais envoie un hoax à toi et plusieurs autre personne dont au moins une d'entre-elle fait suivre, et bien ton adresse peut faire le tour du monde comme ça !)
Enfin bref, mais ce qui m'a le plus géné dans ton mail c'est "passerelle conne"
Une passerelle est un ordinateur avec des programmes dessus, jusqu'à preuve du contraire, il n'y a pas plus con qu'un système informatique.
et "demeurés".
Il y en a malheureusement. Bien que la plupart du temps, il s'agisse plutôt d'un manque d'information et/ou de connaissances techniques.
Perso je crois pas que ce soit aussi "aisé" da faire une passerelle AV efficace.
Je l'ai fait, je suis sur qu'on peut faire encore mieux, mais avec un minimum de connaissances (faut juste apprendre à lire, à écrire et a taper des mots dans google), tu peut faire quelque chose de très correct: Filtrage du spam avec suppression ou simple signalement dans le sujet en fonction du degré de reconnaissance couplé à un apprentissage sur simple forward des utilisateurs dans la boiboite had-hoc. Suppression systématique des parties vérolées des messages entrants et sortants. Et on ne préviens que les utilisateurs à nous et l'administrateur. Il faudrait juste qu'on ajoute un filtrage pour empêcher de prévenir nos utilisateurs lorsqu'ils reçoivent des messages type MyDoom, Blaster etc. Ce qui est en fait très vite réalisé puisqu'ils passent en quelques temps en spam supprimés.
-- Landry MINOZA supprimer .invalid pour répondre.
Le Mercredi 28 Janvier 2004 09:50, Stephane D à écrit:
Encore que l'adresse de destinataire (la tienne
par exemple) le virus la bien trouvé quelque part dans un carnet
d'adresse.
Ou n'importe ou ailleurs (news, page web du cache, fichiers texte...)
Ce qui veut dire que c'est une connaissance (proche relation
de travail) qui est infecté.
Les spammeurs se prennent aussi des virus, ou alors il suffit que la
personne lise les news, ou soit passé sur un site où ton adresse figure,
qu'elle soit abonnée à une ML ou tu poste, que vous ayez une connaissance
en commun (même de loin, du style quelqu'un que tu connais envoie un hoax à
toi et plusieurs autre personne dont au moins une d'entre-elle fait suivre,
et bien ton adresse peut faire le tour du monde comme ça !)
Enfin bref, mais ce qui m'a le plus géné
dans ton mail c'est "passerelle conne"
Une passerelle est un ordinateur avec des programmes dessus, jusqu'à preuve
du contraire, il n'y a pas plus con qu'un système informatique.
et "demeurés".
Il y en a malheureusement. Bien que la plupart du temps, il s'agisse plutôt
d'un manque d'information et/ou de connaissances techniques.
Perso je crois pas
que ce soit aussi "aisé" da faire une passerelle AV efficace.
Je l'ai fait, je suis sur qu'on peut faire encore mieux, mais avec un
minimum de connaissances (faut juste apprendre à lire, à écrire et a taper
des mots dans google), tu peut faire quelque chose de très correct:
Filtrage du spam avec suppression ou simple signalement dans le sujet en
fonction du degré de reconnaissance couplé à un apprentissage sur simple
forward des utilisateurs dans la boiboite had-hoc.
Suppression systématique des parties vérolées des messages entrants et
sortants. Et on ne préviens que les utilisateurs à nous et
l'administrateur.
Il faudrait juste qu'on ajoute un filtrage pour empêcher de prévenir nos
utilisateurs lorsqu'ils reçoivent des messages type MyDoom, Blaster etc.
Ce qui est en fait très vite réalisé puisqu'ils passent en quelques temps en
spam supprimés.
--
Landry MINOZA
supprimer .invalid pour répondre.
Le Mercredi 28 Janvier 2004 09:50, Stephane D à écrit:
Encore que l'adresse de destinataire (la tienne par exemple) le virus la bien trouvé quelque part dans un carnet d'adresse.
Ou n'importe ou ailleurs (news, page web du cache, fichiers texte...)
Ce qui veut dire que c'est une connaissance (proche relation de travail) qui est infecté.
Les spammeurs se prennent aussi des virus, ou alors il suffit que la personne lise les news, ou soit passé sur un site où ton adresse figure, qu'elle soit abonnée à une ML ou tu poste, que vous ayez une connaissance en commun (même de loin, du style quelqu'un que tu connais envoie un hoax à toi et plusieurs autre personne dont au moins une d'entre-elle fait suivre, et bien ton adresse peut faire le tour du monde comme ça !)
Enfin bref, mais ce qui m'a le plus géné dans ton mail c'est "passerelle conne"
Une passerelle est un ordinateur avec des programmes dessus, jusqu'à preuve du contraire, il n'y a pas plus con qu'un système informatique.
et "demeurés".
Il y en a malheureusement. Bien que la plupart du temps, il s'agisse plutôt d'un manque d'information et/ou de connaissances techniques.
Perso je crois pas que ce soit aussi "aisé" da faire une passerelle AV efficace.
Je l'ai fait, je suis sur qu'on peut faire encore mieux, mais avec un minimum de connaissances (faut juste apprendre à lire, à écrire et a taper des mots dans google), tu peut faire quelque chose de très correct: Filtrage du spam avec suppression ou simple signalement dans le sujet en fonction du degré de reconnaissance couplé à un apprentissage sur simple forward des utilisateurs dans la boiboite had-hoc. Suppression systématique des parties vérolées des messages entrants et sortants. Et on ne préviens que les utilisateurs à nous et l'administrateur. Il faudrait juste qu'on ajoute un filtrage pour empêcher de prévenir nos utilisateurs lorsqu'ils reçoivent des messages type MyDoom, Blaster etc. Ce qui est en fait très vite réalisé puisqu'ils passent en quelques temps en spam supprimés.
-- Landry MINOZA supprimer .invalid pour répondre.
Stephane D
Landry MINOZA wrote:
Une passerelle est un ordinateur avec des programmes dessus, jusqu'à preuve du contraire, il n'y a pas plus con qu'un système informatique.
Ca n'engage que toi, mais on doit pas avoir la meme conception de la connerie, mais ca c'est un autre débat.
et "demeurés". Il y en a malheureusement. Bien que la plupart du temps, il s'agisse plutôt
d'un manque d'information et/ou de connaissances techniques.
Je l'ai fait, je suis sur qu'on peut faire encore mieux, mais avec un minimum de connaissances (faut juste apprendre à lire, à écrire et a taper des mots dans google), tu peut faire quelque chose de très correct: Filtrage du spam avec suppression ou simple signalement dans le sujet en fonction du degré de reconnaissance couplé à un apprentissage sur simple forward des utilisateurs dans la boiboite had-hoc. Suppression systématique des parties vérolées des messages entrants et sortants. Et on ne préviens que les utilisateurs à nous et l'administrateur. Il faudrait juste qu'on ajoute un filtrage pour empêcher de prévenir nos utilisateurs lorsqu'ils reçoivent des messages type MyDoom, Blaster etc. Ce qui est en fait très vite réalisé puisqu'ils passent en quelques temps en spam supprimés.
Puisque tu as commence et en plus facilement, que le filtrage supplémentaire est très vite fait, mais qu'est-ce que tu attends pour le faire et le commercialiser et te faire des couilles en or ? Perso à ta place je me génerai pas !! Tu te rends compte que toi tout seul dans ton coin tu as le produit miracle que les grosses industries n'arrivent pas (ne veullent pas?) nous pondre !!
@+ Stephane - dubitatif
Landry MINOZA wrote:
Une passerelle est un ordinateur avec des programmes dessus, jusqu'à preuve
du contraire, il n'y a pas plus con qu'un système informatique.
Ca n'engage que toi, mais on doit pas avoir la meme conception de la
connerie, mais ca c'est un autre débat.
et "demeurés".
Il y en a malheureusement. Bien que la plupart du temps, il s'agisse plutôt
d'un manque d'information et/ou de connaissances techniques.
Je l'ai fait, je suis sur qu'on peut faire encore mieux, mais avec un
minimum de connaissances (faut juste apprendre à lire, à écrire et a taper
des mots dans google), tu peut faire quelque chose de très correct:
Filtrage du spam avec suppression ou simple signalement dans le sujet en
fonction du degré de reconnaissance couplé à un apprentissage sur simple
forward des utilisateurs dans la boiboite had-hoc.
Suppression systématique des parties vérolées des messages entrants et
sortants. Et on ne préviens que les utilisateurs à nous et
l'administrateur.
Il faudrait juste qu'on ajoute un filtrage pour empêcher de prévenir nos
utilisateurs lorsqu'ils reçoivent des messages type MyDoom, Blaster etc.
Ce qui est en fait très vite réalisé puisqu'ils passent en quelques temps en
spam supprimés.
Puisque tu as commence et en plus facilement, que le filtrage
supplémentaire est très vite fait, mais qu'est-ce que tu attends pour le
faire et le commercialiser et te faire des couilles en or ? Perso à ta
place je me génerai pas !! Tu te rends compte que toi tout seul dans ton
coin tu as le produit miracle que les grosses industries n'arrivent pas
(ne veullent pas?) nous pondre !!
Une passerelle est un ordinateur avec des programmes dessus, jusqu'à preuve du contraire, il n'y a pas plus con qu'un système informatique.
Ca n'engage que toi, mais on doit pas avoir la meme conception de la connerie, mais ca c'est un autre débat.
et "demeurés". Il y en a malheureusement. Bien que la plupart du temps, il s'agisse plutôt
d'un manque d'information et/ou de connaissances techniques.
Je l'ai fait, je suis sur qu'on peut faire encore mieux, mais avec un minimum de connaissances (faut juste apprendre à lire, à écrire et a taper des mots dans google), tu peut faire quelque chose de très correct: Filtrage du spam avec suppression ou simple signalement dans le sujet en fonction du degré de reconnaissance couplé à un apprentissage sur simple forward des utilisateurs dans la boiboite had-hoc. Suppression systématique des parties vérolées des messages entrants et sortants. Et on ne préviens que les utilisateurs à nous et l'administrateur. Il faudrait juste qu'on ajoute un filtrage pour empêcher de prévenir nos utilisateurs lorsqu'ils reçoivent des messages type MyDoom, Blaster etc. Ce qui est en fait très vite réalisé puisqu'ils passent en quelques temps en spam supprimés.
Puisque tu as commence et en plus facilement, que le filtrage supplémentaire est très vite fait, mais qu'est-ce que tu attends pour le faire et le commercialiser et te faire des couilles en or ? Perso à ta place je me génerai pas !! Tu te rends compte que toi tout seul dans ton coin tu as le produit miracle que les grosses industries n'arrivent pas (ne veullent pas?) nous pondre !!
@+ Stephane - dubitatif
Xavier Roche
Stephane D wrote:
Puisque tu as commence et en plus facilement, que le filtrage supplémentaire est très vite fait, mais qu'est-ce que tu attends pour le faire et le commercialiser
Ce n'est pas impossible à faire, une passerelle de filtrage efficace: installer et configurer un sendmail (ou postfix, etc.), mettre les bonnes règles de filtrage (RBL, contenu, heuristiques, spamassassin), un antivirus qui puisse détecter les vérolles windows, et ca roule.
Ah si, seul problème: ça s'installe pas en trois clics. Cela demande des compétences que n'ont pas la plupart des admins de petites boites.
Stephane D wrote:
Puisque tu as commence et en plus facilement, que le filtrage
supplémentaire est très vite fait, mais qu'est-ce que tu attends pour le
faire et le commercialiser
Ce n'est pas impossible à faire, une passerelle de filtrage efficace:
installer et configurer un sendmail (ou postfix, etc.), mettre les
bonnes règles de filtrage (RBL, contenu, heuristiques, spamassassin), un
antivirus qui puisse détecter les vérolles windows, et ca roule.
Ah si, seul problème: ça s'installe pas en trois clics.
Cela demande des compétences que n'ont pas la plupart des admins de
petites boites.
Puisque tu as commence et en plus facilement, que le filtrage supplémentaire est très vite fait, mais qu'est-ce que tu attends pour le faire et le commercialiser
Ce n'est pas impossible à faire, une passerelle de filtrage efficace: installer et configurer un sendmail (ou postfix, etc.), mettre les bonnes règles de filtrage (RBL, contenu, heuristiques, spamassassin), un antivirus qui puisse détecter les vérolles windows, et ca roule.
Ah si, seul problème: ça s'installe pas en trois clics. Cela demande des compétences que n'ont pas la plupart des admins de petites boites.
Stephane D
Ah si, seul problème: ça s'installe pas en trois clics. Cela demande des compétences que n'ont pas la plupart des admins de petites boites.
On est bien d'accord, c'est pas simple. Ce qui m'agace c'est qu'on vienne dire moi j'ai fait une passerelle béton c'est archi simple. Pour bien faire les choses il faut prendre son temps, réfléchir (n'en déplaise à certain ca prend du temps), analyser ses besoins, paramétrer le bignou, et ensuite et surtout tester toutes les protections mise en place. Parce que fanfaronner moi j'ai fait ca rapidement c'est rien à faire alors que si ca trouve c'est une passoire ben c'est pas terrible. Pour moi c'est meme plus trop de l'admin mais presque de la prog.
@+ Stephane
Ah si, seul problème: ça s'installe pas en trois clics.
Cela demande des compétences que n'ont pas la plupart des admins de
petites boites.
On est bien d'accord, c'est pas simple. Ce qui m'agace c'est qu'on
vienne dire moi j'ai fait une passerelle béton c'est archi simple. Pour
bien faire les choses il faut prendre son temps, réfléchir (n'en
déplaise à certain ca prend du temps), analyser ses besoins, paramétrer
le bignou, et ensuite et surtout tester toutes les protections mise en
place. Parce que fanfaronner moi j'ai fait ca rapidement c'est rien à
faire alors que si ca trouve c'est une passoire ben c'est pas terrible.
Pour moi c'est meme plus trop de l'admin mais presque de la prog.
Ah si, seul problème: ça s'installe pas en trois clics. Cela demande des compétences que n'ont pas la plupart des admins de petites boites.
On est bien d'accord, c'est pas simple. Ce qui m'agace c'est qu'on vienne dire moi j'ai fait une passerelle béton c'est archi simple. Pour bien faire les choses il faut prendre son temps, réfléchir (n'en déplaise à certain ca prend du temps), analyser ses besoins, paramétrer le bignou, et ensuite et surtout tester toutes les protections mise en place. Parce que fanfaronner moi j'ai fait ca rapidement c'est rien à faire alors que si ca trouve c'est une passoire ben c'est pas terrible. Pour moi c'est meme plus trop de l'admin mais presque de la prog.
@+ Stephane
sebastien
Xavier Roche wrote in message news:<bvaer7$pe$...
Laurent Wacrenier wrote:
La seule chose à faire, c'est de prévenir le destinataire, charge à lui de prévenir l'expediteur.
Bof. Depuis avant hier, j'ai reçu 6846 virus MyDoom, tous dégagés dès réception. Recevoir 6846 notifications difficilement filtrables à la place ne me tente guère plus que les notifications débiles "Returned due to virus", "Email Quarantined", "Blocked mail" etc. envoyées par ces merdasses de gateways.
L'idee est de mettre un champ dans le header du type "X-Ref=Alert.virus"
maintenant les "surs d'eux" bouceront les messages contenant ce fameux header
et hop ;)
Xavier Roche <xroche@free.fr.NOSPAM.invalid> wrote in message news:<bvaer7$pe$1@s1.read.news.oleane.net>...
Laurent Wacrenier wrote:
La seule chose à faire, c'est de prévenir le destinataire, charge à
lui de prévenir l'expediteur.
Bof. Depuis avant hier, j'ai reçu 6846 virus MyDoom, tous dégagés dès
réception. Recevoir 6846 notifications difficilement filtrables à la
place ne me tente guère plus que les notifications débiles "Returned due
to virus", "Email Quarantined", "Blocked mail" etc. envoyées par ces
merdasses de gateways.
L'idee est de mettre un champ dans le header du type "X-Ref=Alert.virus"
maintenant les "surs d'eux" bouceront les messages contenant ce fameux header
La seule chose à faire, c'est de prévenir le destinataire, charge à lui de prévenir l'expediteur.
Bof. Depuis avant hier, j'ai reçu 6846 virus MyDoom, tous dégagés dès réception. Recevoir 6846 notifications difficilement filtrables à la place ne me tente guère plus que les notifications débiles "Returned due to virus", "Email Quarantined", "Blocked mail" etc. envoyées par ces merdasses de gateways.
L'idee est de mettre un champ dans le header du type "X-Ref=Alert.virus"
maintenant les "surs d'eux" bouceront les messages contenant ce fameux header
et hop ;)
Laurent Wacrenier
S?bastien WILLEMIJNS écrit:
L'idee est de mettre un champ dans le header du type "X-Ref=Alert.virus"
maintenant les "surs d'eux" bouceront les messages contenant ce fameux header
Éviter les bounce. Les adresses peuvent être forgées. D'autre part, ça peut servir à une attaque.
