Ultimateclem a �crit, dimanche 21 septembre 2003, � 02:12 :
> Le Dimanche 21 Septembre 2003 01:51, Jacques L'helgoualc'h a �crit :
> > R�gis Grison a �crit, dimanche 21 septembre 2003, � 00:35 :
[regexps � rallonges]
> Dans le corps de message, il y a "Thank you for using Micro$oft products" qui
> en attrape un peu moins de la moiti� et "iframe $rc" qui attrape l'autre
> moiti� (remplacez $ par s). Ca me semble beaucoup plus efficace que des tests
> sur les headers g�n�r�s "al�atoirement" par le virus.
Pr�cis, sans doute. Efficace, �a d�pend du contexte.
Personnellement, j'ai une r�gle simple et (peut-�tre trop ;) efficace :
effacer tout ce qui d�passe 120k dans ma bo�te POP...
D'un autre c�t�, scanner syst�matiquement le corps du message
- consomme des ressources ;
- n'est pas utilisable en RTC.
Bien s�r, sur un serveur passant d�j� tout le courrier � la moulinette,
tester d'abord quelques cha�nes cl�s (surtout au d�but du corps)
�conomisera le passage � l'antivirus.
Dans les deux cas, on peut tester la taille d'abord, pas cher et �vite
s�rement les faux positifs cit�s plus bas : � la procmail, en �vitant
les procm�lismes,
:0
* <170000
* >140000
{
:0 # le [ ] contient blanc et TAB
* ^From:[ ]*"[a-z ]*" <( *|[a-z]+([._-][a-z]+)[EMAIL
PROTECTED](com|net))>
{
:0 B
# (tests sur le corps)
/dev/null
}
}
On peut rajouter sous * ^From: le test du destinataire (un peu simplifi�)
* ^To:[ ]*"[a-z ]*" <( *|[EMAIL PROTECTED](com|net))>
et aussi, sur un filtre personnel, si la r�gle ci-dessus peut marcher :
* ! ^To:.*$MON_ZIMEL
Les From et To test�s avec grep -E d�tectent mes 260 exemples ; sur la
liste en septembre, un seul
To: "Cyril" cyril (at) brole (point) net
pas de Cc:, mais d�j� 15 From:
1 "Dominique Arpin" dominique (at) espacecourbe (point) com
1 "Scotty" scotty (point) debian (at) ifrance (point) com
2 "Cyril" cyril (at) brole (point) net
2 "STOJICEVIC E InfoEdpRsa" Edi (point) Stojicevic (at) socgen (point) com
3 "Alain" mailinglistes (at) lepoetedisparu (point) net
3 "Daniel Dupont" daniel (point) dupont (at) dldt (point) net
3 "Roger Bouchard" rhbaie (at) msn (point) com
J'ai un peu maquill� pour les archives, mais de toutes fa�ons, la liste
semble une source d'adresses : mon � lhh plus deb �, que je n'utilise
qu'ici dans Mail-Reply-To:, repr�sente pr�s de 10% de mes swens.
Bah, il para�t que les Message-ID: sont spamm�s aussi... au moins, �a
polluera la base DNS de Verisign.
--
Jacques L'helgoualc'h, � no pasaran !
(comment dit-on spam en espagnol ?)