форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как в sendmail в приходящих сообщениях найти определенную ст..."
Сообщение от TiGeR on 22-Ноя-01, 16:23  (MSK)
Как в sendmail в приходящих сообщениях найти определенную строку? Ситуация такая: Есть один вирусняк, который сам себя рассылает по почте. При просмотре сообщения, я нашел специфичные заголовки, которые присущи вирусу, вот они: Content-Type: multipart/mixed;boundary="bound" Content-Type: audio/x-wav;name="whatever.exe" В файле sendmail.cf я вбил следующие строки: HContent-Type:  $>CheckContentType KVirus regex -f -aSUSPECT multipart/mixed;boundary=bound SCheckContentType R$+     $: $(Virus $1 $) RSUSPECT        $#error $: "Possible virus in letter" Я пробую выполнить следующее (что бы проверить правило): bash# telnet my.mail.host 25 helo my.mail.host mail from: user@my.mail.host rcpt to: user@my.mail.host data Content-Type: multipart/mixed;boundary="bound" . И получаю ответ от sendmail: "Possible virus in letter" и сообщение мое блокируется. Но как только я посылаю сообщение через OutlookExpress или The Bat! то ни фига неотлавливается!!! ПОМОГИТЕ! Что можно сделать? Я слышал, что почтовые клиенты, некоторые заголовки отсылают каким-то другим способом, не через DATA, типа что-то через ESMTP опции и т.п. Может как-нибудь можно отсканировать все сообщение на строку name="whatever.exe"??? HELP!!!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
Сообщение от Paul on 22-Ноя-01, 17:03  (MSK)
>Как в sendmail в приходящих сообщениях >найти определенную строку? читай в сторону procmail
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
Сообщение от roma on 22-Ноя-01, 18:24  (MSK)
можно попробовать поставить внешний фильтр с помощью milter. Вчера поставил - режу атачменты ЕХЕ и прочую муть. Пока доволен.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от Medlar on 23-Ноя-01, 15:45  (MSK)
	>режу атачменты ЕХЕ А как на это клиенты и начальство реагируют :)? Если с пониманием, то завидую, от всей души. Тут вот не то что exe, порнуху невозможно заблокировать ( через access), прецедент был у знакомого админа, такие вопли поднялись,причем не от юзеров, а от ... (см. 1 предложение :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от roma on 24-Ноя-01, 02:12  (MSK)
	>А как на это клиенты и >начальство реагируют :)? >Если с пониманием, то завидую, от >всей души. клиенты иногда спрашивают - "а че это?" - объясняем, они кивают головами и исчезают. Начальство озлоблено на whatever.exe, поэтому тоже нормально :о). Мы маленькие, но добрые провайдеры.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от Andrey on 08-Дек-01, 17:52  (MSK)
	>клиенты иногда спрашивают - "а че >это?" - объясняем, они кивают >головами и исчезают. Начальство озлоблено >на whatever.exe, поэтому тоже нормально >:о). Мы маленькие, но добрые >провайдеры. Если начальство озлоблено, то посоветуй начальству прикупить касперского. И режь почту по любому вирусу. :) ЗЫ. Это не реклама. Давали-бы деньги, сам бы прикупил :(. Тоже задолбали юзеры.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
Сообщение от ank on 23-Ноя-01, 13:06  (MSK)
>Как в sendmail в приходящих сообщениях >найти определенную строку? >Ситуация такая: >Есть один вирусняк, который сам себя >рассылает по почте. При просмотре >сообщения, я нашел специфичные заголовки, >которые присущи вирусу, вот они: > >Content-Type: multipart/mixed;boundary="bound" >Content-Type: audio/x-wav;name="whatever.exe" > >В файле sendmail.cf я вбил следующие >строки: > >HContent-Type:  $>CheckContentType > >KVirus regex -f -aSUSPECT multipart/mixed;boundary=bound > >SCheckContentType >R$+     $: >$(Virus $1 $) >RSUSPECT       >  $#error $: "Possible >virus in letter" > >Я пробую выполнить следующее (что бы >проверить правило): > >bash# telnet my.mail.host 25 >helo my.mail.host >mail from: user@my.mail.host >rcpt to: user@my.mail.host >data >Content-Type: multipart/mixed;boundary="bound" >. >И получаю ответ от sendmail: >"Possible virus in letter" >и сообщение мое блокируется. > >Но как только я посылаю сообщение >через OutlookExpress или The Bat! >то ни фига неотлавливается!!! ПОМОГИТЕ! >Что можно сделать? >Я слышал, что почтовые клиенты, некоторые >заголовки отсылают каким-то другим способом, >не через DATA, типа что-то >через ESMTP опции и т.п. > >Может как-нибудь можно отсканировать все сообщение >на строку name="whatever.exe"??? >HELP!!! Вообще то тебя спасет антивирус. Не единым этим вирусом жив мастайдый мир :) ходи на drweb.ru качай исходники, ставь и наслаждайся...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от mar on 04-Дек-01, 02:30  (MSK)
	>>Я слышал, что почтовые клиенты, некоторые >>заголовки отсылают каким-то другим способом, >>не через DATA, типа что-то >>через ESMTP опции и т.п. Нет, я тоже не могу понять - от IWormSicram защита в sendmail.cf работает - KSirCamWormMarker regex -f -aSUSPECT multipart/mixed;boundary=---.+_Outlook_Expr SCheckContentType R$+     $: $(SirCamWormMarker $1 $) RSUSPECT        $#error $: "553 Possible virus" SCheckContentTypeDisposition RMultipart message      $#error $: "553 Possible virus" SCheckForWorms R$+     $#error $: "553 Possible virus" ############# А аналогично сделаное на BodTransWorm не получается :(( Принцип тот же, что и у ank В чем же дело? Может кто-нибудь у кого подобные вещи ПОЛУЧАЮТСЯ скажут свое веское слово? PS идеи с антивирусником, наверное, хороши. Но мне, например, на одной из машин, на более новое ядро для этого, судя по всему переходить придется (причем с до ELF - овского, что енсколько муторно, так работает - и кушать не просит)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от lavr on 06-Дек-01, 01:28  (MSK)
	можно конечно мучаться, а можно и amavis, amavis-perl закрутить или изучить knecht.mc где-то внутри cf/hack (использование regexp в sendmail). Sendmail собрать с milter Еще лучше взять личную копию HBDEV - отличный антивирус и с правильным support'ом в отличие от AVP: http://www.antivir.de/order/privreg/order_e.htm очень классно сделано: http://www.digitalanswers.org/check_local/ вирусы всеж надо антивирусами проверять.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от mar on 06-Дек-01, 04:50  (MSK)
	А по твоему опыту? Что ты сам пробовал и насколько все это снимает головную боль :) ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от lavr on 06-Дек-01, 14:48  (MSK)
	>А по твоему опыту? Что ты >сам пробовал и насколько все >это снимает головную боль :) >? avp avp + patch Petr Rehor uvscan - (NAI/McAfee) uvscan + amavis-perl hbedv с amavis фильтром можно все использовать, фильтров сейчас тьма, к примеру CommuniGate Pro работает практически со всеми антивирусными пакетами - Бутенко по-определению не может плохой продукт сделать, ~2500$ заменяет все sendmail/qmail/... по качеству и функциональности MTA Полностью головную боль ничто не снимает, к примеру avp не проверяет выкладываемые updates :( время от времени файлы set и dat кривые, те надо проверять лог и в случае кривых updates, откатываться на старые, daily-update пускать еще раз позже, те проверять то что _должно_ быть уже проверено. :( От родного avkeeper'а, ныне kavkeeper(beta) впечатление не очень, альтернатива: патч Питера Рихора к sendmail или avcheck от Михаила Токарева - то что доктор прописал, но опробовать их с новым kavp, нет времени и техники. ------------------ quote ----------------------- Subject: Announce: check_virus-1.20-8.11.6 is out Date: Thu, 29 Nov 2001 11:15:00 +0100 X-Mailer: Internet Mail Service (5.5.2653.19) Status: ORr See http://home.i.cz/reho/check_virus Petr ------------------------------------------------ uvscan/drweb работают достойно, геморра с ними меньше чем с avp, я пробовал trial hbedv - поразил подходом и support'ом, в SuSE можно посмотреть возможные варианты настройки и использования avmailgate - очень прилично сделано. Sophos я пока не пробовал, но видел как он молотит в связке с amavis у приятеля в Solaris - тоже впечетляет. RAV - пока не удалось попробовать :( Какие-то мелочи везде выплывают, если покупать, то самое важное - support. В Kaspersky Lab - он никакой, мб это личный опыт, а вот немцы HBEDV - отвечали не взирая на free/trial или вообще отсутствие регистрации. Примечание: в FreeBSD, кстати, решения для amavis-perl, uvscan, drweb - просто готовые в портах. К сожалению, за эксперименты и мануалы, денег не платят, технику на это не дают, значит все это приходится пробовать в свободное время и на машине с постоянно действующими сервисами и списками рассылки. :( PS. Все описанное - мой личный взгляд и отнюдь не умаляет достоинства любого упомянутого продукта, те avp - не есть плохо, даже наоборот, если продукт развивается - это хорошо, но при коммерческом подходе нужен грамотный support. PPS. Знаю лишь одно известное средство от головы - вырезать ВСЕ MIME'ы, не исключая их наличие в headers(вот этого не пробовал). Все чем мог, на руководства пока нет ни времени, ни сил.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от mar on 06-Дек-01, 16:43  (MSK)
	2lavr: Большое спасибо. Проблемы те же: отсутствие времени и работающий сервер, на котором все сразу висит и не должно останавливаться :( + еще отсутствие денег т.к. факультет, увы, не богатый  :(( А готовы в портах под FreeBSD - это, я так понимаю, для последних версий Free. Придется-таки апгрейдится... Спасибо.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от lavr on 06-Дек-01, 20:36  (MSK)
	>2lavr: Большое спасибо. Проблемы те же: >отсутствие времени и работающий сервер, >на котором все сразу висит >и не должно останавливаться :( >+ еще отсутствие денег т.к. >факультет, увы, не богатый   >:(( >А готовы в портах под FreeBSD >- это, я так понимаю, >для последних версий Free. Придется-таки >апгрейдится... Спасибо. не обязательно, важно чтобы антивирус был для нужной версии, а фильтры в основном на perl'е, те берешь свежие порты и начинаешь их прикручивать к своей версии. upgrade тоже не сложно, если с 3.x до 4.x - найдешь на http://unix1.jinr.ru/~lavr/ одно НО, я все это делал давно, 4'ка тоже не стоит на месте, друзья из Demos'а поднимали 3.x -> 4.3-Stable и были проблемы, значит можно в большее количество заходов: 3.x -> 3.5 -> 4.2-RELEASE -> 4-Stable - за два дня не останавливая сервисов, эта схема реализуется (только не забывать compat'ы чтобы софто работало и изменения в ipfw & syslog, другого криминала у меня не было)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от mar on 07-Дек-01, 02:48  (MSK)
	>upgrade тоже не сложно, если с >3.x до 4.x - >найдешь на http://unix1.jinr.ru/~lavr/ > >одно НО, я все это делал >давно, 4'ка тоже не >стоит на месте, друзья из Demos'а >поднимали >3.x -> 4.3-Stable и были проблемы, значит можно >в большее количество заходов: > >3.x -> 3.5 -> 4.2-RELEASE -> 4-Stable - за >два дня не останавливая сервисов, эта >схема >реализуется (только не забывать compat'ы чтобы > >софто работало и изменения в ipfw >& syslog, >другого криминала у меня не было) > За ссылку спасибо, но у меня там FreeBSD 2.2.7-RELEASE, доставшаяся в свое время "по наследству". До недавнего времени вполне устраивало, но много появилось нового, того, что хочется. Боюсь, дешевле будет новую поставить.  "Перелом" ведь был на 3-ей версии?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
Сообщение от mar on 05-Дек-01, 23:34  (MSK)
попробуй HContent-Type:  $>CheckContentType SCheckContentType R$* boundary= "bound" $* $#error $@ 5.7.1 $: "554 Virus Win32.AZY" и если не трудно, перешли мне этот вирус (я послала тестовый адрес на vtivilev@nbkr.kg )(посмотрим лог) :))
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от mar on 06-Дек-01, 16:31  (MSK)
	>попробуй >HContent-Type:  $>CheckContentType > >SCheckContentType >R$* boundary= "bound" $* $#error $@ >5.7.1 $: "554 Virus Win32.AZY" > > >и если не трудно, перешли мне >этот вирус (я послала тестовый >адрес на vtivilev@nbkr.kg )(посмотрим лог) > >:)) Вчера прописала это в sendmail, сегодня выловила в maillog результат - все работат!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от TiGeR on 10-Дек-01, 14:41  (MSK)
	Я решил проблему фильтрации почты установив Milter. Очень полезная вещь, правда она не может заменить антивирусную программу, но все таки создавать гибкие правила фильтрации почты можно. С помощью этого фильтра можно выловить определенную строку (по шаблону) в любой части письма (headers [more headers], body [more body]). Фильтр я пишу на Perl. Кому надо могу дать подробную инструкцию по установке и примеры фильтра. Я использовал следующее ПО и ОС: Solaris 7 GCC-2.95.2 Perl-5.6.1 Sendmail-8.12.1
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от mar on 15-Дек-01, 15:33  (MSK)
	>Кому надо могу дать подробную инструкцию >по установке и примеры фильтра. НАДО!!! :)))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "RE: Как в sendmail в приходящих сообщениях найти определенну..."
	Сообщение от lavr on 15-Дек-01, 16:04  (MSK)
	>Я решил проблему фильтрации почты установив >Milter. Очень полезная вещь, правда >она не может заменить антивирусную >программу, но все таки создавать >гибкие правила фильтрации почты можно. > >С помощью этого фильтра можно выловить >определенную строку (по шаблону) в >любой части письма (headers [more >headers], body [more body]). >Фильтр я пишу на Perl. >Кому надо могу дать подробную инструкцию >по установке и примеры фильтра. > >Я использовал следующее ПО и ОС: > >Solaris 7 >GCC-2.95.2 >Perl-5.6.1 >Sendmail-8.12.1 страницу сделай, это будет правильно.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.