[GTER] Dica: Postfix - body_checks - virus Mydoom at MM

Julio Cesar Covolato julio at psi.com.br
Mon Feb 2 05:49:11 -02 2004 

	Olá Wyvern!

	Não uso mais o sendmail a muito tempo, mas sei que dá pra fazer
controle do "body" (e header) via regex no sendmail.cf a partir
do sendmail.11.6 (eu acho...).

	Algum guru de sendmail pode se pronunciar?

	A propósito, acabei de atualizar o pattern, achei um
padrão que não estava previsto no virus mydoom:

http://psi.com.br/~julio/postfix/body_checks

	Abraços,

-----------------------------
    _    Julio Cesar Covolato
   0v0   <julio at psi.com.br>
  /(_)\  F: 55-11-3129-3366
   ^ ^   PSI INTERNET
-----------------------------

On Sat, 31 Jan 2004, Wyvern wrote:

> Essas regras valem apenas para o Postfix, ou podem ser aplicadas ao
> Sendmail???
>
> []s
> ----- Original Message -----
> From: "Antonio Carlos Pina" <apina at infolink.com.br>
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Sent: Saturday, January 31, 2004 10:41 AM
> Subject: Re: [GTER] Dica: Postfix - body_checks - virus Mydoom at MM
>
>
> > Julio,
> >
> > Otimos patterns.
> >
> > Eu costumo colocar minhas regras BASE64 dentro de um bloco assim:
> >
> > #So entra nos testes de BASE64 se for Base64
> > IF /^[0-9a-z+\/=]{60,}\s*$/
> >
> > (... regras de BASE64, como as suas ...)
> >
> > # Economiza tempo nao rodando body_checks para cada linha do attachment
> > /^[0-9a-z+\/=]{60,}\s*$/ OK
> > ENDIF
> >
> > Esse bloco fica no inicio do meu body_checks e dessa forma evito que o
> > body_checks teste cada linha de um attachment inutilmente.
> >
> > Cordialmente,
> > Antonio Carlos Pina
> > Diretor de Tecnologia
> > INFOLINK Internet
> > http://www.infolink.com.br
> > ----- Original Message -----
> > From: "Julio Cesar Covolato" <julio at psi.com.br>
> > To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> > <gter at eng.registro.br>
> > Sent: Saturday, January 31, 2004 4:05 AM
> > Subject: [GTER] Dica: Postfix - body_checks - virus Mydoom at MM
> >
> >
> >
> > Me desculpem pelo OT. E´ que já postei a alguns dias esta dica e
> > descobri que ela tem um bug. O 'pattern' usado para bloquear o Mydoom at MM,
> > pode dar falsos positivos em arquivos com extensão *.zip.
> >
> > Se alquém aplicou minha regra anterior, por favor atualize-a.
> > Segue a url com o 'pattern' correto:
> >
> > http://psi.com.br/~julio/postfix/body_checks
> >
> > Esta url é um "hard link" para meu /etc/postfix/body_checks
> > (pcre), portanto, podem consultá-la exporadicamente (sem abusos, hein ;-).
> >
> > PS.: Adicionei o pattern para o virus W32/Mimail.j at MM
> >
> >
> > Abraços,
> >
> >
> > -----------------------------
> >     _    Julio Cesar Covolato
> >    0v0   <julio at psi.com.br>
> >   /(_)\  F: 55-11-3129-3366
> >    ^ ^   PSI INTERNET
> > -----------------------------
> >
> > --
> > GTER list    https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > GTER list    https://eng.registro.br/mailman/listinfo/gter
> >
> > Esta mensagem foi verificada pelo E-mail Protegido Terra.
> > Scan engine: VirusScan / Atualizado em 29/01/2004 / Versão: 1.4.1
> > Proteja o seu e-mail Terra: http://www.emailprotegido.terra.com.br/
> >
> >
>
>
> --
> GTER list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list