Ultimateclem a �crit, dimanche 21 septembre 2003, � 02:12 :
> Le Dimanche 21 Septembre 2003 01:51, Jacques L'helgoualc'h a �crit :
> > R�gis Grison a �crit, dimanche 21 septembre 2003, � 00:35 :
[regexps � rallonges]
> Dans le corps de message, il y a "Thank you for using Micro$oft products" qui 
> en attrape un peu moins de la moiti� et "iframe $rc" qui attrape l'autre 
> moiti� (remplacez $ par s). Ca me semble beaucoup plus efficace que des tests 
> sur les headers g�n�r�s "al�atoirement" par le virus.

Pr�cis, sans doute. Efficace, �a d�pend du contexte. 

Personnellement, j'ai une r�gle simple  et (peut-�tre trop ;) efficace :
effacer tout ce qui d�passe 120k dans ma bo�te POP...

D'un autre c�t�, scanner syst�matiquement le corps du message

 - consomme des ressources ;

 - n'est pas utilisable en RTC.

Bien s�r, sur un serveur passant  d�j� tout le courrier � la moulinette,
tester  d'abord  quelques  cha�nes  cl�s  (surtout au  d�but  du  corps)
�conomisera le passage � l'antivirus.

Dans les deux  cas, on peut tester la taille d'abord,  pas cher et �vite
s�rement les  faux positifs cit�s plus  bas : � la  procmail, en �vitant
les procm�lismes,

:0
* <170000
* >140000
{
        :0 # le [       ] contient blanc et TAB
        * ^From:[       ]*"[a-z ]*" <( *|[a-z]+([._-][a-z]+)[EMAIL 
PROTECTED](com|net))>
        {
                :0 B
                # (tests sur le corps)
                /dev/null
        }
}

On peut rajouter sous * ^From: le test du destinataire (un peu simplifi�)

       * ^To:[  ]*"[a-z ]*" <( *|[EMAIL PROTECTED](com|net))>

et aussi, sur un filtre personnel, si la r�gle ci-dessus peut marcher :

       * ! ^To:.*$MON_ZIMEL

Les From et To  test�s avec grep -E d�tectent mes 260  exemples ; sur la
liste en septembre, un seul

 To: "Cyril" cyril (at) brole (point) net

pas de Cc:, mais d�j� 15 From:

 1  "Dominique Arpin" dominique (at) espacecourbe (point) com
 1  "Scotty" scotty (point) debian (at) ifrance (point) com
 2  "Cyril" cyril (at) brole (point) net
 2  "STOJICEVIC E     InfoEdpRsa" Edi (point) Stojicevic (at) socgen (point) com
 3  "Alain" mailinglistes (at) lepoetedisparu (point) net
 3  "Daniel Dupont" daniel (point) dupont (at) dldt (point) net
 3  "Roger Bouchard" rhbaie (at) msn (point) com

J'ai un peu maquill� pour les  archives, mais de toutes fa�ons, la liste
semble une  source d'adresses : mon �  lhh plus deb �,  que je n'utilise
qu'ici dans Mail-Reply-To:, repr�sente pr�s de 10% de mes swens.

Bah, il  para�t que les Message-ID:  sont spamm�s aussi...  au moins, �a
polluera la base DNS de Verisign.

-- 
Jacques L'helgoualc'h, � no pasaran ! 
(comment dit-on spam en espagnol ?)

Répondre à