[GTER] Dica: Postfix - body_checks - virus Mydoom at MM
Anderson Nadal
security at onda.com.br
Mon Feb 2 08:14:15 -02 2004
Julio, só uma duvida,
Voce esta usando pcre ou regexp?
[]'s
Nadal
Julio Cesar Covolato wrote:
> Olá Wyvern!
>
> Não uso mais o sendmail a muito tempo, mas sei que dá pra fazer
>controle do "body" (e header) via regex no sendmail.cf a partir
>do sendmail.11.6 (eu acho...).
>
> Algum guru de sendmail pode se pronunciar?
>
> A propósito, acabei de atualizar o pattern, achei um
>padrão que não estava previsto no virus mydoom:
>
>http://psi.com.br/~julio/postfix/body_checks
>
> Abraços,
>
>-----------------------------
> _ Julio Cesar Covolato
> 0v0 <julio at psi.com.br>
> /(_)\ F: 55-11-3129-3366
> ^ ^ PSI INTERNET
>-----------------------------
>
>On Sat, 31 Jan 2004, Wyvern wrote:
>
>
>
>>Essas regras valem apenas para o Postfix, ou podem ser aplicadas ao
>>Sendmail???
>>
>>[]s
>>----- Original Message -----
>>From: "Antonio Carlos Pina" <apina at infolink.com.br>
>>To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
>><gter at eng.registro.br>
>>Sent: Saturday, January 31, 2004 10:41 AM
>>Subject: Re: [GTER] Dica: Postfix - body_checks - virus Mydoom at MM
>>
>>
>>
>>
>>>Julio,
>>>
>>>Otimos patterns.
>>>
>>>Eu costumo colocar minhas regras BASE64 dentro de um bloco assim:
>>>
>>>#So entra nos testes de BASE64 se for Base64
>>>IF /^[0-9a-z+\/=]{60,}\s*$/
>>>
>>>(... regras de BASE64, como as suas ...)
>>>
>>># Economiza tempo nao rodando body_checks para cada linha do attachment
>>>/^[0-9a-z+\/=]{60,}\s*$/ OK
>>>ENDIF
>>>
>>>Esse bloco fica no inicio do meu body_checks e dessa forma evito que o
>>>body_checks teste cada linha de um attachment inutilmente.
>>>
>>>Cordialmente,
>>>Antonio Carlos Pina
>>>Diretor de Tecnologia
>>>INFOLINK Internet
>>>http://www.infolink.com.br
>>>----- Original Message -----
>>>From: "Julio Cesar Covolato" <julio at psi.com.br>
>>>To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
>>><gter at eng.registro.br>
>>>Sent: Saturday, January 31, 2004 4:05 AM
>>>Subject: [GTER] Dica: Postfix - body_checks - virus Mydoom at MM
>>>
>>>
>>>
>>>Me desculpem pelo OT. E´ que já postei a alguns dias esta dica e
>>>descobri que ela tem um bug. O 'pattern' usado para bloquear o Mydoom at MM,
>>>pode dar falsos positivos em arquivos com extensão *.zip.
>>>
>>>Se alquém aplicou minha regra anterior, por favor atualize-a.
>>>Segue a url com o 'pattern' correto:
>>>
>>>http://psi.com.br/~julio/postfix/body_checks
>>>
>>>Esta url é um "hard link" para meu /etc/postfix/body_checks
>>>(pcre), portanto, podem consultá-la exporadicamente (sem abusos, hein ;-).
>>>
>>>PS.: Adicionei o pattern para o virus W32/Mimail.j at MM
>>>
>>>
>>>Abraços,
>>>
>>>
>>>-----------------------------
>>> _ Julio Cesar Covolato
>>> 0v0 <julio at psi.com.br>
>>> /(_)\ F: 55-11-3129-3366
>>> ^ ^ PSI INTERNET
>>>-----------------------------
>>>
>>>--
>>>GTER list https://eng.registro.br/mailman/listinfo/gter
>>>
>>>--
>>>GTER list https://eng.registro.br/mailman/listinfo/gter
>>>
>>>Esta mensagem foi verificada pelo E-mail Protegido Terra.
>>>Scan engine: VirusScan / Atualizado em 29/01/2004 / Versão: 1.4.1
>>>Proteja o seu e-mail Terra: http://www.emailprotegido.terra.com.br/
>>>
>>>
>>>
>>>
>>--
>>GTER list https://eng.registro.br/mailman/listinfo/gter
>>
>>
>>
>
>--
>GTER list https://eng.registro.br/mailman/listinfo/gter
>
>
>
--
+-------------------------------------------------------+
| Anderson Nadal |
| nadal at ondacorp.com.br |
| RHCE - Red Hat Certified Engineer |
| Coordenador Tecnico |
| Onda Provedor de Serviços S/A |
| www.onda.com.br - (41) 3025-3000 |
| Provendo Seguranca para seus negocios! |
| Registered Linux User: 56841 |
| PGP KEY: www.keyserver.net KEY ID 6ABB668D |
+-------------------------------------------------------+
More information about the gter
mailing list