Le dim 21/09/2003 � 01:51, Jacques L'helgoualc'h a �crit :
> R�gis Grison a �crit, dimanche 21 septembre 2003, � 00:35 :
> > D'apr�s le site :
> > http://www.f-secure.com/v-descs/swen.shtml
> > 
> > la ligne suivante dans header_checks devrait stopper le virus (je l'ai
> > mis en place mais je n'ai pas le recul pour savoir si c'est efficace) :
> > 
> > /^From:
> > (MS|Microsoft|Corporation|Program|internet|Network|Security|Division|\
> > Section|Departement|Center|Technical|Public|Customer|Bulletin|Services|\
> > Assistance|Support|)*<.*@(news|bulletin|confidence|advisor|updates|technet|\
> > support|newsletters).(ms|msn|msdn|microsoft)\.(com|net)>$/ REJECT

Apr�s une nuit... il en passe toujours :(


> Il manque les  doubles quotes autour de la  premi�re partie, et l'espace
> entre les mots :
> 
> /^From: "(<---alternative1--->| )*" \
> <[a-z_-]*@((<--alternative2 ??? -->)[_.])*(net|com)> *$/ ? 

J'avais regard� et il n'y en avait pas mais peut-�tre que certain en
ont... Donc va pour un "? de part et d'autres


> La  droite du  @  semble  �tre [a-z]+([_.][a-z])?,  mais  le domaine  de
> l'adresse est plus vari� que �a :-/

Possible, j'ai suivi une doc, rien ne dit qu'elle est exaustive,
d'ailleurs j'ai re�u 4 mails qui avaient �t� trait�s par antivirus (donc
sans le fichier joint donc pas rejet� par mon serveur) et ils sont
pass�s � travers.

J'ai aussi repris ceux que j'avais eu hier, il y avait en plus dans le
nom : Net, System, Message, Delivery (que j'avais mais au pluriel),
Mail, Service.

Au niveau du mail, va pour [_\.] (attention au \, sinon c'est tout
caract�re), j'avais h�sit� � le mettre, pour le cas o� il y aurait autre
chose. J'ai vu par contre qu'on pouvait ne pas avoir la premi�re partie
(j'ai un microsoft.com tout seul), je vois que tu as mis un "?", je
pense que c'est pour �a. J'ai aussi vu un news.com tout seul, et l� �a
tape dans la partie de gauche seule, donc c'est l'un, l'autre, l'un et
l'autre, je corrige.

J'ai aussi vu passer un bigfoot.com, un netmail.net

Contre-exemple, j'ai un vcivhyah.com, et un sans From, pour ceux l�, je
sais pas trop quoi faire...


> Toujours \.(com|net), on dirait ... => c'est  li� � Verisign ? Il y a un
> peu de < ?>, @aol\.com, @america\.(com|net), etc. 

Pas encore rencontr� de aol ni america mais je veux bien les ajouter.


> Dans le sous-domaine, on trouve _ au lieu de \. : newsletters_ms.com, et
> il peut n'y avoir que deux mots : news.com, bulletin.net, etc.
> 
> Ah, zut, il y a aussi un peu de sous-domaines al�atoires : @qpsbynu.com>
> ... encore du Verisign (je n'ai pas fait le whois ;) ?

Ouais :(


> Il y a aussi ^(FROM|TO|SUBJECT): qui en attrape beaucoup.

Oui, pourquoi pas, j'avais pris le parti de bloque l'exp�diteur
seulement mais on peut �tendre. Cela dit, �a marchera pas avec le sujet
puisque les mots ne sont pas n�cessairement les m�mes et qu'il y a un
email de d�fini.
Pour le TO, je ne voudrais pas non plus emp�cher d'�crire � microsoft,
�a ne m'est jamais arriv� mais je ne suis pas tout seul sur mon serveur.


Donc ma nouvelle proposition est :

/^From: "?(MS|Microsoft|Corporation|Program|internet|Network|Security|\
Division|Section|Departement|Center|Technical|Public|Customer|Bulletin|\
Services?|Assistance|Support|Net|Message|System|Delivery|Mail|Storage|\
Service| )*"? *<.*@(news|bulletin|confidence|advisor|updates|technet|\
support|newsletters|ms|msn|msdn|microsoft|bigfoot|netmail|aol|\
america|_|\.)+\.(com|net)>$/ REJECT

R�gis.

Répondre à