J'essaye de filtrer Swen de façon la plus ciblée possible, avec
procmail.
Philippe Chevalier a déjà proposé une solution interessante et
relativement efficace (90% des mails à la poubelle) :
:0 D
*^SUBJECT:
/dev/null
(Champ Subject en majuscule)
Auriez-vous une autre idée pour supprimer simplement (comprendre une ou
deux règles maximum) les 10% restant ?
Comme dit plus haut, filtrer ceci dans le corps du message élimine 100% des nuisances : /latest version of security update/ /<iframe src="cid:/ /<iframe src="cid:/ Les deux dernières règles ne risquent-elles pas de supprimer
également des mails qui ne sont pas vérolés ?
Non, mais elles risquent fortement de supprimer d'autres vers et virus !
De toute façon si un mail qui contient un iframe n'est pas un vers alors c'est un spam ou une tentative d'attaque
Comme dit plus haut, filtrer ceci dans le corps du message élimine 100%
des nuisances :
/latest version of security update/
/<iframe src="cid:/
/<iframe src="cid:/
Les deux dernières règles ne risquent-elles pas de supprimer
également
des mails qui ne sont pas vérolés ?
Non, mais elles risquent fortement de supprimer d'autres vers et virus !
De toute façon si un mail qui contient un iframe n'est pas un vers
alors c'est un spam ou une tentative d'attaque
Comme dit plus haut, filtrer ceci dans le corps du message élimine 100% des nuisances : /latest version of security update/ /<iframe src="cid:/ /<iframe src="cid:/ Les deux dernières règles ne risquent-elles pas de supprimer
également des mails qui ne sont pas vérolés ?
Non, mais elles risquent fortement de supprimer d'autres vers et virus !
De toute façon si un mail qui contient un iframe n'est pas un vers alors c'est un spam ou une tentative d'attaque
Olivier Miakinen
JL Picard wrote:
Comme dit plus haut, filtrer ceci dans le corps du message élimine 100% des nuisances : /latest version of security update/ /<iframe src="cid:/ /<iframe src="cid:/
Les deux dernières règles ne risquent-elles pas de supprimer également des mails qui ne sont pas vérolés ?
Non, mais elles risquent fortement de supprimer d'autres vers et virus !
JL Picard wrote:
Comme dit plus haut, filtrer ceci dans le corps du message élimine 100%
des nuisances :
/latest version of security update/
/<iframe src="cid:/
/<iframe src="cid:/
Les deux dernières règles ne risquent-elles pas de supprimer également
des mails qui ne sont pas vérolés ?
Non, mais elles risquent fortement de supprimer d'autres vers et virus !
Comme dit plus haut, filtrer ceci dans le corps du message élimine 100% des nuisances : /latest version of security update/ /<iframe src="cid:/ /<iframe src="cid:/
Les deux dernières règles ne risquent-elles pas de supprimer également des mails qui ne sont pas vérolés ?
Non, mais elles risquent fortement de supprimer d'autres vers et virus !
JL Picard
Le Fri, 19 Sep 2003 at 16:13 GMT, Erwan a écrit:
Les deux dernières règles ne risquent-elles pas de supprimer également des mails qui ne sont pas vérolés ? Non, mais elles risquent fortement de supprimer d'autres vers et virus !
De toute façon si un mail qui contient un iframe n'est pas un vers
alors c'est un spam ou une tentative d'attaque
Il m'arrive de recevoir des mails commerciaux qui ne sont pas des spams. Et il arrive que ces mails soient écrits en html. D'où problème.
Les deux dernières règles ne risquent-elles pas de supprimer
également
des mails qui ne sont pas vérolés ?
Non, mais elles risquent fortement de supprimer d'autres vers et virus !
De toute façon si un mail qui contient un iframe n'est pas un vers
alors c'est un spam ou une tentative d'attaque
Il m'arrive de recevoir des mails commerciaux qui ne sont pas des spams.
Et il arrive que ces mails soient écrits en html. D'où problème.
Les deux dernières règles ne risquent-elles pas de supprimer également des mails qui ne sont pas vérolés ? Non, mais elles risquent fortement de supprimer d'autres vers et virus !
De toute façon si un mail qui contient un iframe n'est pas un vers
alors c'est un spam ou une tentative d'attaque
Il m'arrive de recevoir des mails commerciaux qui ne sont pas des spams. Et il arrive que ces mails soient écrits en html. D'où problème.
Pourquoi ne pas proposer à ton postmaster de rajouter une regle sur son serveur de mail ? Parce que je suis aussi mon propre postmaster ? ;)
Quel neuneu. J'avais pas compris ce que tu voulais me dire. (je connais encore trop mal les rouages de la distribution d'emails)
pour info, et parce que j'ai du mal à trouver (jamais touché à postfix mis à part pour ajouter des alias :p), où est ce qu'on ajoute ces filtres ?
Je vais passer pour un casse choses, mais tout ça ne répond pas à la question initiale : comment matcher à coup sûr ce ver, et uniquement ce ver, avec *procmail* !
Pourquoi ne pas proposer à ton postmaster de rajouter une regle sur
son serveur de mail ?
Parce que je suis aussi mon propre postmaster ? ;)
Quel neuneu. J'avais pas compris ce que tu voulais me dire.
(je connais encore trop mal les rouages de la distribution d'emails)
pour info, et parce que j'ai du mal à trouver (jamais touché à postfix
mis à part pour ajouter des alias :p), où est ce qu'on ajoute ces
filtres ?
Je vais passer pour un casse choses, mais tout ça ne répond pas à la
question initiale : comment matcher à coup sûr ce ver, et uniquement ce
ver, avec *procmail* !
Pourquoi ne pas proposer à ton postmaster de rajouter une regle sur son serveur de mail ? Parce que je suis aussi mon propre postmaster ? ;)
Quel neuneu. J'avais pas compris ce que tu voulais me dire. (je connais encore trop mal les rouages de la distribution d'emails)
pour info, et parce que j'ai du mal à trouver (jamais touché à postfix mis à part pour ajouter des alias :p), où est ce qu'on ajoute ces filtres ?
Je vais passer pour un casse choses, mais tout ça ne répond pas à la question initiale : comment matcher à coup sûr ce ver, et uniquement ce ver, avec *procmail* !
Le vendredi 19 sep 2003 à 18:30, JL Picard écrivait:
pour info, et parce que j'ai du mal à trouver (jamais touché à postfix mis à part pour ajouter des alias :p), où est ce qu'on ajoute ces filtres ?
http://www.postfix.org/uce.html#header_checks
-- On ne dérange pas un ours qui dort.
JL Picard
Bonjour/soir,
Le Sat, 20 Sep 2003 at 09:50 GMT, Virginie a écrit:
Il m'arrive de recevoir des mails commerciaux qui ne sont pas des spams. Et il arrive que ces mails soient écrits en html. D'où problème. Si j'ai bien compris, la règle qui t'a été donnée, à condition de la
coupler avec un filtre sur la présence d'une pièce jointe en content-type binaire, supprime les mails qui utilisent une vieille faille d'Outlook Express. D'après l'admin de Globenet, il a jamais trouvé un mail n'ayant pas de mauvaises intentions et comportant cette chaîne de caractère. Donc pour lui, taux de faux positif sur cette règle : zéro.
Merci pour l'information.
Que pensez-vous de : :O D *^Content-Type: *multipart * B <iframe src=
(désolé de vous soliciter autant, supprimer du courrier automatiquement m'angoisse un peu étant donné ma très faible expérience/connaissance de procmail/postfix) -- Jean-Laurent Picard http://assos.efrei.fr/robot/
Bonjour/soir,
Le Sat, 20 Sep 2003 at 09:50 GMT, Virginie a écrit:
Il m'arrive de recevoir des mails commerciaux qui ne sont pas des spams.
Et il arrive que ces mails soient écrits en html. D'où problème.
Si j'ai bien compris, la règle qui t'a été donnée, à condition de la
coupler avec un filtre sur la présence d'une pièce jointe en
content-type binaire, supprime les mails qui utilisent une vieille
faille d'Outlook Express. D'après l'admin de Globenet, il a jamais
trouvé un mail n'ayant pas de mauvaises intentions et comportant cette
chaîne de caractère. Donc pour lui, taux de faux positif sur cette
règle : zéro.
Merci pour l'information.
Que pensez-vous de :
:O D
*^Content-Type: *multipart
* B <iframe src=
(désolé de vous soliciter autant, supprimer du courrier automatiquement
m'angoisse un peu étant donné ma très faible expérience/connaissance de
procmail/postfix)
--
Jean-Laurent Picard
http://assos.efrei.fr/robot/
Le Sat, 20 Sep 2003 at 09:50 GMT, Virginie a écrit:
Il m'arrive de recevoir des mails commerciaux qui ne sont pas des spams. Et il arrive que ces mails soient écrits en html. D'où problème. Si j'ai bien compris, la règle qui t'a été donnée, à condition de la
coupler avec un filtre sur la présence d'une pièce jointe en content-type binaire, supprime les mails qui utilisent une vieille faille d'Outlook Express. D'après l'admin de Globenet, il a jamais trouvé un mail n'ayant pas de mauvaises intentions et comportant cette chaîne de caractère. Donc pour lui, taux de faux positif sur cette règle : zéro.
Merci pour l'information.
Que pensez-vous de : :O D *^Content-Type: *multipart * B <iframe src=
(désolé de vous soliciter autant, supprimer du courrier automatiquement m'angoisse un peu étant donné ma très faible expérience/connaissance de procmail/postfix) -- Jean-Laurent Picard http://assos.efrei.fr/robot/
Karim Belbachir
On 20 Sep 2003 12:15:36 GMT JL Picard wrote:
Que pensez-vous de : :O D *^Content-Type: *multipart * B <iframe src=
Elle me semble bonne. Elle bloque tous les vers de ma petite collection (je n'en reçois que 2 ou 3 par heure). Sur mon système, j'utilise celle-ci: :0 D * ^(FROM|SUBJECT)
Pas de soucis pour le moment.
Karim
On 20 Sep 2003 12:15:36 GMT
JL Picard <nospam@public.jeru.orgi.invalid> wrote:
Que pensez-vous de :
:O D
*^Content-Type: *multipart
* B <iframe src=3D
Elle me semble bonne. Elle bloque tous les vers de ma petite collection
(je n'en reçois que 2 ou 3 par heure).
Sur mon système, j'utilise celle-ci:
:0 D
* ^(FROM|SUBJECT)
Que pensez-vous de : :O D *^Content-Type: *multipart * B <iframe src=
Elle me semble bonne. Elle bloque tous les vers de ma petite collection (je n'en reçois que 2 ou 3 par heure). Sur mon système, j'utilise celle-ci: :0 D * ^(FROM|SUBJECT)
Pas de soucis pour le moment.
Karim
Eric Demeester
dans (in) fr.comp.mail, Karim Belbachir ecrivait (wrote) :
Bonsoir,
Parmi ma collection de vers, un petit nombre de mails est passé par un logiciel antivirus et la taille est bien inférieure à 140 000 octets. Avec cette règle, ces mails passeront à travers les mailles du filet.
D'après ce que j'ai pu voir, les mails de petite taille ne contiennent pas la pièce jointe en .exe et ne présentent donc aucun danger.
-- Eric
dans (in) fr.comp.mail, Karim Belbachir <karim@xuthal.net> ecrivait
(wrote) :
Bonsoir,
Parmi ma collection de vers, un petit nombre de mails est passé par un
logiciel antivirus et la taille est bien inférieure à 140 000 octets.
Avec cette règle, ces mails passeront à travers les mailles du filet.
D'après ce que j'ai pu voir, les mails de petite taille ne contiennent
pas la pièce jointe en .exe et ne présentent donc aucun danger.
dans (in) fr.comp.mail, Karim Belbachir ecrivait (wrote) :
Bonsoir,
Parmi ma collection de vers, un petit nombre de mails est passé par un logiciel antivirus et la taille est bien inférieure à 140 000 octets. Avec cette règle, ces mails passeront à travers les mailles du filet.
D'après ce que j'ai pu voir, les mails de petite taille ne contiennent pas la pièce jointe en .exe et ne présentent donc aucun danger.
