SoBig.F est la variante la plus récente dans la famille des virus
d'expédition de masse de Sobig.
Il effectuera sa mise à jour aujourd'hui à 19:00. Entre 19:00 et 22:00,
le virus essayera d'entrer en contact avec un ensemble prédéfini de
centres serveurs pour télécharger des mises à jour. En ce moment, on ne
sait pas exactement de que cette mise à jour fera.
La liste "de serveurs principaux" peut être mise à jour à distance en
employant des paquets UDP signés par les ports 995-999.
Le virus Sobig est une menace significative pour n'importe quel réseau.
Il ouvre des backdoors et se diffuse par partage de fichiers ou E-mail.
La détection et le nettoyage des machines infectées doivent être une
priorité.
Sobig peut être détecté de plusieurs façons :
- E-mail : Une machine infectée enverra de grandes quantités d'E-mail.
Elle n'utilisera pas le serveur habituel d'email mais enverra à la place
des modules de balayage de virus d'E-mail directement :
- Actuellement, tous les scanners d'AV détecteront Sobig-F.
- Le trafic de NTP : Le ver se synchronise serveurs de NTP.
Les Contre-Mesures à prendre :
- Bloquez tout le trafic outbound sur le port 25 à moins qu'il provienne
d'un serveur de mail connu.
- Exigez des utilisateurs de votre réseau d'employer le serveur de mail
autorisé.
- Mettez en place un AV sur ce serveur de mail.
- Bloquez le trafic d'arrivée UDP sur les ports 995-999 et 8998.
- Rappelez aux utilisateurs de NE PAS CLIQUER SUR LES PIECES JOINTES
Seulement Windows peut être infecté par ce virus.
NB :
Sobig spoof le champ "From" de l'adresse.
Il exploite les adresses E-mail trouvées dans les dossiers d'Internet
Explorer et les carnets d'adresses.
Veuillez configurer vos AV pour supprimer les avis envoyés aux
expéditeurs d'E-mail infectés par Sobig.
Plus de détails :
http://www.f-secure.com/v-descs/sobig_f.shtml
http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Chambord
Plus de détails : http://www.f-secure.com/v-descs/sobig_f.shtml http://securityresponse.symantec.com/avcenter/venc/data/
la meme chose en français: http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/
"REMARQUE : En raison du temps nécessaire à la traduction, il est possible que le contenu des documents traduits diffère du contenu original, si celui-ci a été mis à jour alors que la traduction était en cours. Le document en anglais contient toujours les dernières mises à jour." Symantec
Plus de détails :
http://www.f-secure.com/v-descs/sobig_f.shtml
http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html
la meme chose en français:
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/fr-w32.sobig.f@mm.html
"REMARQUE : En raison du temps nécessaire à la traduction, il est
possible que le contenu des documents traduits diffère du contenu
original, si celui-ci a été mis à jour alors que la traduction était en
cours. Le document en anglais contient toujours les dernières mises à
jour." Symantec
Plus de détails : http://www.f-secure.com/v-descs/sobig_f.shtml http://securityresponse.symantec.com/avcenter/venc/data/
la meme chose en français: http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/
"REMARQUE : En raison du temps nécessaire à la traduction, il est possible que le contenu des documents traduits diffère du contenu original, si celui-ci a été mis à jour alors que la traduction était en cours. Le document en anglais contient toujours les dernières mises à jour." Symantec
Robert CHERAMY
LaDDL wrote:
Les Contre-Mesures à prendre : - Bloquez tout le trafic outbound sur le port 25 à moins qu'il provienne d'un serveur de mail connu.
Hahaha... j'ai bien ri (jaune, je me prends 1Go par jour de Sobig sur mon secondaire en ce moment), merci.
Cette mesure est illusoire. Par contre, on peut au moins empêcher que ca se propage en refusant les mails avec extensions sur le serveur (attention, sans renvoyer de bounce persolnalisé comme les antivirus !).
Exemple avec postfix (version < 2) Ajouter la ligne suvante dans main.cf : body_checks = regexp:/etc/postfix/body_checks
Puis dans le fichier body_checks, ajouter par exemple les 4 lignes (désolé, ca wrappe): /(filename|name)=".*.(asd|chm|hlp|hta|js|pif)"/ REJECT Message seems to be a virus, rejecting. Please contact /(filename|name)=".*.(scr|shb|shs|vb|vbe|vbs|wsf|wsh)"/ REJECT Message seems to be a virus, rejecting. Please contact /(filename|name)=".*.(dll|ocx)"/ REJECT ocx and dll attachements not authorised, rejecting. Please contact /(filename|name)="(Happy99|Navidad|prettypark).exe"/ REJECT Message seems to be spam, rejecting. Please contact
A noter que - Je particularise pour ocx et dll, des fois qu'il y aurait des gens qui envoient ce genre de choses là - Si le mail provient d'un vrai MTA, ce MTA enverra un bounce à l'expéditeur (même faké :/). - Si le mail provient directement d'un virus, a priori, il n'y aura pas de bounce - Avec postfix > 2.0, il faut aussi faire un mime-header-check je crois (pas encore eu le temps de regarder, mais si quelqu'un a une solution toute cuite, je prends) -- Rbert CHERAMY <http:// :/robert.cheramy.net/> Hi! I'm a .signature virus! Copy me into your ~/.signature, please!
LaDDL wrote:
Les Contre-Mesures à prendre :
- Bloquez tout le trafic outbound sur le port 25 à moins qu'il provienne
d'un serveur de mail connu.
Hahaha... j'ai bien ri (jaune, je me prends 1Go par jour de Sobig sur mon
secondaire en ce moment), merci.
Cette mesure est illusoire. Par contre, on peut au moins empêcher que ca se
propage en refusant les mails avec extensions sur le serveur (attention,
sans renvoyer de bounce persolnalisé comme les antivirus !).
Exemple avec postfix (version < 2)
Ajouter la ligne suvante dans main.cf :
body_checks = regexp:/etc/postfix/body_checks
Puis dans le fichier body_checks, ajouter par exemple les 4 lignes (désolé,
ca wrappe):
/(filename|name)=".*.(asd|chm|hlp|hta|js|pif)"/ REJECT Message seems to be
a virus, rejecting. Please contact postmaster@votre_domaine
/(filename|name)=".*.(scr|shb|shs|vb|vbe|vbs|wsf|wsh)"/ REJECT Message
seems to be a virus, rejecting. Please contact postmaster@votre_domaine
/(filename|name)=".*.(dll|ocx)"/ REJECT ocx and dll attachements not
authorised, rejecting. Please contact postmaster@votre_domaine
/(filename|name)="(Happy99|Navidad|prettypark).exe"/ REJECT Message seems
to be spam, rejecting. Please contact postmaster@votre_domaine
A noter que
- Je particularise pour ocx et dll, des fois qu'il y aurait des gens qui
envoient ce genre de choses là
- Si le mail provient d'un vrai MTA, ce MTA enverra un bounce à l'expéditeur
(même faké :/).
- Si le mail provient directement d'un virus, a priori, il n'y aura pas de
bounce
- Avec postfix > 2.0, il faut aussi faire un mime-header-check je crois (pas
encore eu le temps de regarder, mais si quelqu'un a une solution toute
cuite, je prends)
--
Rbert CHERAMY <http:// :/robert.cheramy.net/>
Hi! I'm a .signature virus! Copy me into your ~/.signature, please!
Les Contre-Mesures à prendre : - Bloquez tout le trafic outbound sur le port 25 à moins qu'il provienne d'un serveur de mail connu.
Hahaha... j'ai bien ri (jaune, je me prends 1Go par jour de Sobig sur mon secondaire en ce moment), merci.
Cette mesure est illusoire. Par contre, on peut au moins empêcher que ca se propage en refusant les mails avec extensions sur le serveur (attention, sans renvoyer de bounce persolnalisé comme les antivirus !).
Exemple avec postfix (version < 2) Ajouter la ligne suvante dans main.cf : body_checks = regexp:/etc/postfix/body_checks
Puis dans le fichier body_checks, ajouter par exemple les 4 lignes (désolé, ca wrappe): /(filename|name)=".*.(asd|chm|hlp|hta|js|pif)"/ REJECT Message seems to be a virus, rejecting. Please contact /(filename|name)=".*.(scr|shb|shs|vb|vbe|vbs|wsf|wsh)"/ REJECT Message seems to be a virus, rejecting. Please contact /(filename|name)=".*.(dll|ocx)"/ REJECT ocx and dll attachements not authorised, rejecting. Please contact /(filename|name)="(Happy99|Navidad|prettypark).exe"/ REJECT Message seems to be spam, rejecting. Please contact
A noter que - Je particularise pour ocx et dll, des fois qu'il y aurait des gens qui envoient ce genre de choses là - Si le mail provient d'un vrai MTA, ce MTA enverra un bounce à l'expéditeur (même faké :/). - Si le mail provient directement d'un virus, a priori, il n'y aura pas de bounce - Avec postfix > 2.0, il faut aussi faire un mime-header-check je crois (pas encore eu le temps de regarder, mais si quelqu'un a une solution toute cuite, je prends) -- Rbert CHERAMY <http:// :/robert.cheramy.net/> Hi! I'm a .signature virus! Copy me into your ~/.signature, please!
LaDDL
Robert CHERAMY wrote:
Hahaha... j'ai bien ri (jaune, je me prends 1Go par jour de Sobig sur mon secondaire en ce moment), merci. SoBig = A SoBig Mass Mailer = Spammer ;)
Bonjour oui j'imagine & tu n'es pas le seul malheureusement ! Sinon merci pour tes infos, le retour d'expérience est tjrs le bienvenue
Cette mesure est illusoire. C'était la seule à donner ss rentrer ds le détail et/ou cas particulier
(le tient par ex)
Par contre, on peut au moins empêcher que ca se propage en refusant les mails avec extensions sur le serveur (attention, sans renvoyer de bounce persolnalisé comme les antivirus !). Je l'avais précisé dans mon nota bene à la fin de mon post ;)
[...]
A noter que - Je particularise pour ocx et dll, des fois qu'il y aurait des gens qui envoient ce genre de choses là - Si le mail provient d'un vrai MTA, ce MTA enverra un bounce à l'expéditeur (même faké :/). - Si le mail provient directement d'un virus, a priori, il n'y aura pas de bounce - Avec postfix > 2.0, il faut aussi faire un mime-header-check je crois (pas encore eu le temps de regarder, mais si quelqu'un a une solution toute cuite, je prends) SpamAssassin + PostFix = soulagements
Efficace pour nos serveurs au bureau. Et qquns de nos clients/relations ;) Pour t'aider vas jeter un oeil ici : http://advosys.ca/papers/postfix-filtering.html
Robert CHERAMY wrote:
Hahaha... j'ai bien ri (jaune, je me prends 1Go par jour de Sobig sur mon
secondaire en ce moment), merci.
SoBig = A SoBig Mass Mailer = Spammer ;)
Bonjour oui j'imagine & tu n'es pas le seul malheureusement !
Sinon merci pour tes infos, le retour d'expérience est tjrs le bienvenue
Cette mesure est illusoire.
C'était la seule à donner ss rentrer ds le détail et/ou cas particulier
(le tient par ex)
Par contre, on peut au moins empêcher que ca se
propage en refusant les mails avec extensions sur le serveur (attention,
sans renvoyer de bounce persolnalisé comme les antivirus !).
Je l'avais précisé dans mon nota bene à la fin de mon post ;)
[...]
A noter que
- Je particularise pour ocx et dll, des fois qu'il y aurait des gens qui
envoient ce genre de choses là
- Si le mail provient d'un vrai MTA, ce MTA enverra un bounce à l'expéditeur
(même faké :/).
- Si le mail provient directement d'un virus, a priori, il n'y aura pas de
bounce
- Avec postfix > 2.0, il faut aussi faire un mime-header-check je crois (pas
encore eu le temps de regarder, mais si quelqu'un a une solution toute
cuite, je prends)
SpamAssassin + PostFix = soulagements
Efficace pour nos serveurs au bureau. Et qquns de nos clients/relations
;)
Pour t'aider vas jeter un oeil ici :
http://advosys.ca/papers/postfix-filtering.html
Hahaha... j'ai bien ri (jaune, je me prends 1Go par jour de Sobig sur mon secondaire en ce moment), merci. SoBig = A SoBig Mass Mailer = Spammer ;)
Bonjour oui j'imagine & tu n'es pas le seul malheureusement ! Sinon merci pour tes infos, le retour d'expérience est tjrs le bienvenue
Cette mesure est illusoire. C'était la seule à donner ss rentrer ds le détail et/ou cas particulier
(le tient par ex)
Par contre, on peut au moins empêcher que ca se propage en refusant les mails avec extensions sur le serveur (attention, sans renvoyer de bounce persolnalisé comme les antivirus !). Je l'avais précisé dans mon nota bene à la fin de mon post ;)
[...]
A noter que - Je particularise pour ocx et dll, des fois qu'il y aurait des gens qui envoient ce genre de choses là - Si le mail provient d'un vrai MTA, ce MTA enverra un bounce à l'expéditeur (même faké :/). - Si le mail provient directement d'un virus, a priori, il n'y aura pas de bounce - Avec postfix > 2.0, il faut aussi faire un mime-header-check je crois (pas encore eu le temps de regarder, mais si quelqu'un a une solution toute cuite, je prends) SpamAssassin + PostFix = soulagements
Efficace pour nos serveurs au bureau. Et qquns de nos clients/relations ;) Pour t'aider vas jeter un oeil ici : http://advosys.ca/papers/postfix-filtering.html
Robert CHERAMY
LaDDL wrote:
Cette mesure est illusoire. C'était la seule à donner ss rentrer ds le détail et/ou cas particulier
(le tient par ex)
Non. La solution préconisée (bloquer tous les serveurs mails inconnus) est impossible à mettre en oeuvre. Donne moi une liste de "serveurs mails connus" pour que je puisse recevoir des mails de tous mes correspondants (sachant que je reçois régulièrement des mails de la part d'inconnus) et on en reparle.
-- Robert CHERAMY <http://robert.cheramy.net/> Hi! I'm a .signature virus! Copy me into your ~/.signature, please!
LaDDL wrote:
Cette mesure est illusoire.
C'était la seule à donner ss rentrer ds le détail et/ou cas particulier
(le tient par ex)
Non. La solution préconisée (bloquer tous les serveurs mails inconnus) est
impossible à mettre en oeuvre.
Donne moi une liste de "serveurs mails connus" pour que je puisse recevoir
des mails de tous mes correspondants (sachant que je reçois régulièrement
des mails de la part d'inconnus) et on en reparle.
--
Robert CHERAMY <http://robert.cheramy.net/>
Hi! I'm a .signature virus! Copy me into your ~/.signature, please!
Cette mesure est illusoire. C'était la seule à donner ss rentrer ds le détail et/ou cas particulier
(le tient par ex)
Non. La solution préconisée (bloquer tous les serveurs mails inconnus) est impossible à mettre en oeuvre. Donne moi une liste de "serveurs mails connus" pour que je puisse recevoir des mails de tous mes correspondants (sachant que je reçois régulièrement des mails de la part d'inconnus) et on en reparle.
-- Robert CHERAMY <http://robert.cheramy.net/> Hi! I'm a .signature virus! Copy me into your ~/.signature, please!
LaDDL
Robert CHERAMY wrote:
Non. La solution préconisée (bloquer tous les serveurs mails inconnus) est impossible à mettre en oeuvre. Expliques-moi pourquoi serait-elle impossible à mettre en oeuvre ?
Désolé mais là je ne te suis pas. N'oublies pas que ma recommandation était générale. Je ne vois pas en quoi on ne peut pas bloquer le traffic outbound sur le port 25 sur des routeurs afin de se préserver des spammeurs.
Donne moi une liste de "serveurs mails connus" pour que je puisse recevoir des mails de tous mes correspondants (sachant que je reçois régulièrement des mails de la part d'inconnus) et on en reparle. Je ne suis pas sûr de bien comprendre ta demande.
J'entends par ce que tu appelles "serveurs mails connus & inconnus" : whitelist, DNSBL lists, ignored list.
Robert CHERAMY wrote:
Non. La solution préconisée (bloquer tous les serveurs mails inconnus) est
impossible à mettre en oeuvre.
Expliques-moi pourquoi serait-elle impossible à mettre en oeuvre ?
Désolé mais là je ne te suis pas. N'oublies pas que ma recommandation
était générale.
Je ne vois pas en quoi on ne peut pas bloquer le traffic outbound sur le
port 25 sur des routeurs afin de se préserver des spammeurs.
Donne moi une liste de "serveurs mails connus" pour que je puisse recevoir
des mails de tous mes correspondants (sachant que je reçois régulièrement
des mails de la part d'inconnus) et on en reparle.
Je ne suis pas sûr de bien comprendre ta demande.
J'entends par ce que tu appelles "serveurs mails connus & inconnus" :
whitelist, DNSBL lists, ignored list.
Non. La solution préconisée (bloquer tous les serveurs mails inconnus) est impossible à mettre en oeuvre. Expliques-moi pourquoi serait-elle impossible à mettre en oeuvre ?
Désolé mais là je ne te suis pas. N'oublies pas que ma recommandation était générale. Je ne vois pas en quoi on ne peut pas bloquer le traffic outbound sur le port 25 sur des routeurs afin de se préserver des spammeurs.
Donne moi une liste de "serveurs mails connus" pour que je puisse recevoir des mails de tous mes correspondants (sachant que je reçois régulièrement des mails de la part d'inconnus) et on en reparle. Je ne suis pas sûr de bien comprendre ta demande.
J'entends par ce que tu appelles "serveurs mails connus & inconnus" : whitelist, DNSBL lists, ignored list.
Robert CHERAMY
LaDDL wrote:
Mais y a quand même des solutions. Par exemple : en utilisant une base de RBL (Realtime Blackhole Lists) qui contient les adresses de serveurs mails connus pour relayer les spams.
Il existe des listes d'adresses IP dynamiques (http://mail-abuse.org/dul/ par exemple, mais payant). Je trouve ça un peu plus propre que les rbl, qui sont parfois un peu trop agressives et forcément subjectives (genre je te met le smtp de wanadoo dedans parce qu'un crétin d'utilisateur a un relai ouvert avec le smtp de wanadoo comme smarthost).
Sinon, j'ai trouvé la parade ultime à Sobig, qui ne nécessite pas d'assimiler le mail (et donc de consommer de la bande passante). Je ne sais si le programmeur de Sobig a été flemard ou s'il n'y a pas pensé, mais la plupart des comandes EHLO utilisées sont fantaisistes, alors qu'elles doivent normalement comporter un nom DNS conforme.
Dans postfix, ajouter la ligne : smtpd_helo_restrictions = reject_non_fqdn_hostname
Et Sobig se voit refuser le droit d'envoyer ses messages sur le serveur :-)
A noter que ça peut avoir un effet de bord sur des logiciels particulièrement mal programmés ou mal configurés... Mais si on ne respecte plus les RFCs, ou va-t-on ?!? -- Robert CHERAMY <http://robert.cheramy.net/> Hi! I'm a .signature virus! Copy me into your ~/.signature, please!
LaDDL wrote:
Mais y a quand même des solutions. Par exemple : en utilisant une base
de RBL (Realtime Blackhole Lists) qui contient les adresses de serveurs
mails connus pour relayer les spams.
Il existe des listes d'adresses IP dynamiques (http://mail-abuse.org/dul/
par exemple, mais payant). Je trouve ça un peu plus propre que les rbl, qui
sont parfois un peu trop agressives et forcément subjectives (genre je te
met le smtp de wanadoo dedans parce qu'un crétin d'utilisateur a un relai
ouvert avec le smtp de wanadoo comme smarthost).
Sinon, j'ai trouvé la parade ultime à Sobig, qui ne nécessite pas
d'assimiler le mail (et donc de consommer de la bande passante).
Je ne sais si le programmeur de Sobig a été flemard ou s'il n'y a pas pensé,
mais la plupart des comandes EHLO utilisées sont fantaisistes, alors
qu'elles doivent normalement comporter un nom DNS conforme.
Dans postfix, ajouter la ligne :
smtpd_helo_restrictions = reject_non_fqdn_hostname
Et Sobig se voit refuser le droit d'envoyer ses messages sur le serveur :-)
A noter que ça peut avoir un effet de bord sur des logiciels
particulièrement mal programmés ou mal configurés... Mais si on ne respecte
plus les RFCs, ou va-t-on ?!?
--
Robert CHERAMY <http://robert.cheramy.net/>
Hi! I'm a .signature virus! Copy me into your ~/.signature, please!
Mais y a quand même des solutions. Par exemple : en utilisant une base de RBL (Realtime Blackhole Lists) qui contient les adresses de serveurs mails connus pour relayer les spams.
Il existe des listes d'adresses IP dynamiques (http://mail-abuse.org/dul/ par exemple, mais payant). Je trouve ça un peu plus propre que les rbl, qui sont parfois un peu trop agressives et forcément subjectives (genre je te met le smtp de wanadoo dedans parce qu'un crétin d'utilisateur a un relai ouvert avec le smtp de wanadoo comme smarthost).
Sinon, j'ai trouvé la parade ultime à Sobig, qui ne nécessite pas d'assimiler le mail (et donc de consommer de la bande passante). Je ne sais si le programmeur de Sobig a été flemard ou s'il n'y a pas pensé, mais la plupart des comandes EHLO utilisées sont fantaisistes, alors qu'elles doivent normalement comporter un nom DNS conforme.
Dans postfix, ajouter la ligne : smtpd_helo_restrictions = reject_non_fqdn_hostname
Et Sobig se voit refuser le droit d'envoyer ses messages sur le serveur :-)
A noter que ça peut avoir un effet de bord sur des logiciels particulièrement mal programmés ou mal configurés... Mais si on ne respecte plus les RFCs, ou va-t-on ?!? -- Robert CHERAMY <http://robert.cheramy.net/> Hi! I'm a .signature virus! Copy me into your ~/.signature, please!
LaDDL
Robert CHERAMY wrote:
LaDDL wrote:
Mais y a quand même des solutions. Par exemple : en utilisant une base de RBL (Realtime Blackhole Lists) qui contient les adresses de serveurs mails connus pour relayer les spams.
Il existe des listes d'adresses IP dynamiques (http://mail-abuse.org/dul/ par exemple, mais payant). Je trouve ça un peu plus propre que les rbl, qui sont parfois un peu trop agressives et forcément subjectives (genre je te met le smtp de wanadoo dedans parce qu'un crétin d'utilisateur a un relai ouvert avec le smtp de wanadoo comme smarthost). lol c'est juste.
Sinon, j'ai trouvé la parade ultime à Sobig, qui ne nécessite pas d'assimiler le mail (et donc de consommer de la bande passante). Je ne sais si le programmeur de Sobig a été flemard ou s'il n'y a pas pensé, mais la plupart des comandes EHLO utilisées sont fantaisistes, alors qu'elles doivent normalement comporter un nom DNS conforme. Dans postfix, ajouter la ligne : smtpd_helo_restrictions = reject_non_fqdn_hostname Oui les concepteurs de Sobig ont commis des erreurs mais de versions en
versions leur concept fonctionne qd mm malheureusement ! A noter qu'ils ont bien exploité les failles des systèmes de communication du réseau. ;(
Autrement jolie règle ;)
Robert CHERAMY wrote:
LaDDL wrote:
Mais y a quand même des solutions. Par exemple : en utilisant une base
de RBL (Realtime Blackhole Lists) qui contient les adresses de serveurs
mails connus pour relayer les spams.
Il existe des listes d'adresses IP dynamiques (http://mail-abuse.org/dul/
par exemple, mais payant). Je trouve ça un peu plus propre que les rbl, qui
sont parfois un peu trop agressives et forcément subjectives (genre je te
met le smtp de wanadoo dedans parce qu'un crétin d'utilisateur a un relai
ouvert avec le smtp de wanadoo comme smarthost).
lol c'est juste.
Sinon, j'ai trouvé la parade ultime à Sobig, qui ne nécessite pas
d'assimiler le mail (et donc de consommer de la bande passante).
Je ne sais si le programmeur de Sobig a été flemard ou s'il n'y a pas pensé,
mais la plupart des comandes EHLO utilisées sont fantaisistes, alors
qu'elles doivent normalement comporter un nom DNS conforme.
Dans postfix, ajouter la ligne :
smtpd_helo_restrictions = reject_non_fqdn_hostname
Oui les concepteurs de Sobig ont commis des erreurs mais de versions en
versions leur concept fonctionne qd mm malheureusement ! A noter qu'ils
ont bien exploité les failles des systèmes de communication du réseau.
;(
Mais y a quand même des solutions. Par exemple : en utilisant une base de RBL (Realtime Blackhole Lists) qui contient les adresses de serveurs mails connus pour relayer les spams.
Il existe des listes d'adresses IP dynamiques (http://mail-abuse.org/dul/ par exemple, mais payant). Je trouve ça un peu plus propre que les rbl, qui sont parfois un peu trop agressives et forcément subjectives (genre je te met le smtp de wanadoo dedans parce qu'un crétin d'utilisateur a un relai ouvert avec le smtp de wanadoo comme smarthost). lol c'est juste.
Sinon, j'ai trouvé la parade ultime à Sobig, qui ne nécessite pas d'assimiler le mail (et donc de consommer de la bande passante). Je ne sais si le programmeur de Sobig a été flemard ou s'il n'y a pas pensé, mais la plupart des comandes EHLO utilisées sont fantaisistes, alors qu'elles doivent normalement comporter un nom DNS conforme. Dans postfix, ajouter la ligne : smtpd_helo_restrictions = reject_non_fqdn_hostname Oui les concepteurs de Sobig ont commis des erreurs mais de versions en
versions leur concept fonctionne qd mm malheureusement ! A noter qu'ils ont bien exploité les failles des systèmes de communication du réseau. ;(
