Le dim 21/09/2003 � 01:51, Jacques L'helgoualc'h a �crit : > R�gis Grison a �crit, dimanche 21 septembre 2003, � 00:35 : > > D'apr�s le site : > > http://www.f-secure.com/v-descs/swen.shtml > > > > la ligne suivante dans header_checks devrait stopper le virus (je l'ai > > mis en place mais je n'ai pas le recul pour savoir si c'est efficace) : > > > > /^From: > > (MS|Microsoft|Corporation|Program|internet|Network|Security|Division|\ > > Section|Departement|Center|Technical|Public|Customer|Bulletin|Services|\ > > Assistance|Support|)*<.*@(news|bulletin|confidence|advisor|updates|technet|\ > > support|newsletters).(ms|msn|msdn|microsoft)\.(com|net)>$/ REJECT
Apr�s une nuit... il en passe toujours :( > Il manque les doubles quotes autour de la premi�re partie, et l'espace > entre les mots : > > /^From: "(<---alternative1--->| )*" \ > <[a-z_-]*@((<--alternative2 ??? -->)[_.])*(net|com)> *$/ ? J'avais regard� et il n'y en avait pas mais peut-�tre que certain en ont... Donc va pour un "? de part et d'autres > La droite du @ semble �tre [a-z]+([_.][a-z])?, mais le domaine de > l'adresse est plus vari� que �a :-/ Possible, j'ai suivi une doc, rien ne dit qu'elle est exaustive, d'ailleurs j'ai re�u 4 mails qui avaient �t� trait�s par antivirus (donc sans le fichier joint donc pas rejet� par mon serveur) et ils sont pass�s � travers. J'ai aussi repris ceux que j'avais eu hier, il y avait en plus dans le nom : Net, System, Message, Delivery (que j'avais mais au pluriel), Mail, Service. Au niveau du mail, va pour [_\.] (attention au \, sinon c'est tout caract�re), j'avais h�sit� � le mettre, pour le cas o� il y aurait autre chose. J'ai vu par contre qu'on pouvait ne pas avoir la premi�re partie (j'ai un microsoft.com tout seul), je vois que tu as mis un "?", je pense que c'est pour �a. J'ai aussi vu un news.com tout seul, et l� �a tape dans la partie de gauche seule, donc c'est l'un, l'autre, l'un et l'autre, je corrige. J'ai aussi vu passer un bigfoot.com, un netmail.net Contre-exemple, j'ai un vcivhyah.com, et un sans From, pour ceux l�, je sais pas trop quoi faire... > Toujours \.(com|net), on dirait ... => c'est li� � Verisign ? Il y a un > peu de < ?>, @aol\.com, @america\.(com|net), etc. Pas encore rencontr� de aol ni america mais je veux bien les ajouter. > Dans le sous-domaine, on trouve _ au lieu de \. : newsletters_ms.com, et > il peut n'y avoir que deux mots : news.com, bulletin.net, etc. > > Ah, zut, il y a aussi un peu de sous-domaines al�atoires : @qpsbynu.com> > ... encore du Verisign (je n'ai pas fait le whois ;) ? Ouais :( > Il y a aussi ^(FROM|TO|SUBJECT): qui en attrape beaucoup. Oui, pourquoi pas, j'avais pris le parti de bloque l'exp�diteur seulement mais on peut �tendre. Cela dit, �a marchera pas avec le sujet puisque les mots ne sont pas n�cessairement les m�mes et qu'il y a un email de d�fini. Pour le TO, je ne voudrais pas non plus emp�cher d'�crire � microsoft, �a ne m'est jamais arriv� mais je ne suis pas tout seul sur mon serveur. Donc ma nouvelle proposition est : /^From: "?(MS|Microsoft|Corporation|Program|internet|Network|Security|\ Division|Section|Departement|Center|Technical|Public|Customer|Bulletin|\ Services?|Assistance|Support|Net|Message|System|Delivery|Mail|Storage|\ Service| )*"? *<.*@(news|bulletin|confidence|advisor|updates|technet|\ support|newsletters|ms|msn|msdn|microsoft|bigfoot|netmail|aol|\ america|_|\.)+\.(com|net)>$/ REJECT R�gis.

