Re: Mailfilter: une =?iso-8859-1?Q?r=E8gle?= qui fonctionne mal

Tue, 27 Jul 2004 04:55:55 -0500 

Le 27/07/04 � 08:49, Patrice KARATCHENTZEFF �crivait:

> >J'ai stock� dans une boite aux lettres une s�rie de spams que j'ai re�u
> >qui ont tous un champ d'ent�te comme ceci:
> >
> >Message-ID: <[EMAIL PROTECTED]>
> >
> >Les caract�res entre < et @ �tant variables mais de longueur constante.
> >
> >Dans mon mailfilterrc, j'ai mis cela comme r�gle:
> >DENY=^Message-ID:.*bazooka.ascii-club.org
> 
> essaie .*bazooka\.ascii-club\.org
> 
> Les regexp de mailfilter sont bizarres parfois... Je suis souvent tent� 
> de r��crire mailfilter en Perl pour r�soudre cela.

Apr�s v�rification, le script checkrules.sh trouve bien les mails qui
doivent �tre rejet�s avec la r�gle que je donne. C'est l'affichage de
son r�sultat qui pr�te � confusion: le script marque le premier mail qui
co�ncide. Les autres mails qui co�ncident sont sur les lignes suivantes
sans marquage.

Je ne suis pas s�r que checkrules.sh ait le m�me comportement que
mailfilter.

Le probl�me arrive quand le champ Message-Id est dans les derniers juste
avant les champs Status, Content-Length et Lines. Voici par exemple, un
mail infect� par un virus qui a travers� le filtre:

  From [EMAIL PROTECTED] Tue Jul 27 10:43:58 2004
  Return-path: <[EMAIL PROTECTED]>
  Envelope-to: [EMAIL PROTECTED]
  Delivery-date: Tue, 27 Jul 2004 10:43:58 +0200
  Received: from localhost ([127.0.0.1])
          by bazooka.ascii-club.org with esmtp (Exim 4.32)
          id 1BpNQz-0000Hd-Im
          for [EMAIL PROTECTED]; Tue, 27 Jul 2004 10:35:44 +0200
  Delivered-To: [EMAIL PROTECTED]
  Received: from pop.free.fr [212.27.42.12]
          by localhost with POP3 (fetchmail-6.2.5)
          for [EMAIL PROTECTED] (single-drop); Tue, 27 Jul 2004 10:35:41 +0200 
(CEST)
  Received: (qmail 31706 invoked from network); 27 Jul 2004 07:06:52 -0000
  Received: from grenoble-1-62-147-75-27.dial.proxad.net (HELO free.fr) 
(62.147.75.27)
    by mrelay3-1.free.fr with SMTP; 27 Jul 2004 07:06:52 -0000
  From: [EMAIL PROTECTED]
  To: [EMAIL PROTECTED]
  Subject: Re: SMTP Server
  Date: Tue, 27 Jul 2004 09:06:54 +0200
  MIME-Version: 1.0
  Content-Type: multipart/mixed;
          boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
  X-Priority: 3
  X-MSMail-Priority: Normal
  Message-ID: <[EMAIL PROTECTED]>
  Status: RO
  Content-Length: 40528
  Lines: 575

La machine qui re�oit le mail s'appelle bazooka.ascii-club.org et n'a
jamais envoy� ce mail.
Si le champ Message-ID arrive plut�t dans l'ent�te, alors le mail est
bien effac�. 

J'ai l'impression que MailFilter ne prend pas en compte les derniers
champs.

J'ai d'autres r�gles dans mailfilterrc :

  DENY=^Message-ID:.*bazooka.ascii-club.org
  DENY=^Message-ID:.*bazookaasciicluborg
  DENY=^Message-ID:.*bazooka.ascii

mais cela ne change rien.

Sur un mois, j'ai re�u 90 mails comme cela :-(

Jean-Pierre Pourrez

Répondre à