[GTER] Dica: Postfix - body_checks - virus Mydoom at MM

Antonio Carlos Pina apina at infolink.com.br
Mon Feb 2 13:52:54 -02 2004 

Essas regras são PCRE no meu caso. Não sei, entretanto, se elas se adaptam
ao REGEXP normal.

Cordialmente,
Antonio Carlos Pina
Diretor de Tecnologia
INFOLINK Internet
http://www.infolink.com.br
----- Original Message -----
From: "Anderson Nadal" <security at onda.com.br>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Sent: Monday, February 02, 2004 8:14 AM
Subject: Re: [GTER] Dica: Postfix - body_checks - virus Mydoom at MM


>
> Julio, só uma duvida,
>
> Voce esta usando pcre ou regexp?
>
> []'s
> Nadal
>
>
> Julio Cesar Covolato wrote:
>
> > Olá Wyvern!
> >
> > Não uso mais o sendmail a muito tempo, mas sei que dá pra fazer
> >controle do "body" (e header) via regex no sendmail.cf a partir
> >do sendmail.11.6 (eu acho...).
> >
> > Algum guru de sendmail pode se pronunciar?
> >
> > A propósito, acabei de atualizar o pattern, achei um
> >padrão que não estava previsto no virus mydoom:
> >
> >http://psi.com.br/~julio/postfix/body_checks
> >
> > Abraços,
> >
> >-----------------------------
> >    _    Julio Cesar Covolato
> >   0v0   <julio at psi.com.br>
> >  /(_)\  F: 55-11-3129-3366
> >   ^ ^   PSI INTERNET
> >-----------------------------
> >
> >On Sat, 31 Jan 2004, Wyvern wrote:
> >
> >
> >
> >>Essas regras valem apenas para o Postfix, ou podem ser aplicadas ao
> >>Sendmail???
> >>
> >>[]s
> >>----- Original Message -----
> >>From: "Antonio Carlos Pina" <apina at infolink.com.br>
> >>To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> >><gter at eng.registro.br>
> >>Sent: Saturday, January 31, 2004 10:41 AM
> >>Subject: Re: [GTER] Dica: Postfix - body_checks - virus Mydoom at MM
> >>
> >>
> >>
> >>
> >>>Julio,
> >>>
> >>>Otimos patterns.
> >>>
> >>>Eu costumo colocar minhas regras BASE64 dentro de um bloco assim:
> >>>
> >>>#So entra nos testes de BASE64 se for Base64
> >>>IF /^[0-9a-z+\/=]{60,}\s*$/
> >>>
> >>>(... regras de BASE64, como as suas ...)
> >>>
> >>># Economiza tempo nao rodando body_checks para cada linha do attachment
> >>>/^[0-9a-z+\/=]{60,}\s*$/ OK
> >>>ENDIF
> >>>
> >>>Esse bloco fica no inicio do meu body_checks e dessa forma evito que o
> >>>body_checks teste cada linha de um attachment inutilmente.
> >>>
> >>>Cordialmente,
> >>>Antonio Carlos Pina
> >>>Diretor de Tecnologia
> >>>INFOLINK Internet
> >>>http://www.infolink.com.br
> >>>----- Original Message -----
> >>>From: "Julio Cesar Covolato" <julio at psi.com.br>
> >>>To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> >>><gter at eng.registro.br>
> >>>Sent: Saturday, January 31, 2004 4:05 AM
> >>>Subject: [GTER] Dica: Postfix - body_checks - virus Mydoom at MM
> >>>
> >>>
> >>>
> >>>Me desculpem pelo OT. E´ que já postei a alguns dias esta dica e
> >>>descobri que ela tem um bug. O 'pattern' usado para bloquear o
Mydoom at MM,
> >>>pode dar falsos positivos em arquivos com extensão *.zip.
> >>>
> >>>Se alquém aplicou minha regra anterior, por favor atualize-a.
> >>>Segue a url com o 'pattern' correto:
> >>>
> >>>http://psi.com.br/~julio/postfix/body_checks
> >>>
> >>>Esta url é um "hard link" para meu /etc/postfix/body_checks
> >>>(pcre), portanto, podem consultá-la exporadicamente (sem abusos, hein
;-).
> >>>
> >>>PS.: Adicionei o pattern para o virus W32/Mimail.j at MM
> >>>
> >>>
> >>>Abraços,
> >>>
> >>>
> >>>-----------------------------
> >>>    _    Julio Cesar Covolato
> >>>   0v0   <julio at psi.com.br>
> >>>  /(_)\  F: 55-11-3129-3366
> >>>   ^ ^   PSI INTERNET
> >>>-----------------------------
> >>>
> >>>--
> >>>GTER list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >>>--
> >>>GTER list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >>>Esta mensagem foi verificada pelo E-mail Protegido Terra.
> >>>Scan engine: VirusScan / Atualizado em 29/01/2004 / Versão: 1.4.1
> >>>Proteja o seu e-mail Terra: http://www.emailprotegido.terra.com.br/
> >>>
> >>>
> >>>
> >>>
> >>--
> >>GTER list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >>
> >>
> >
> >--
> >GTER list    https://eng.registro.br/mailman/listinfo/gter
> >
> >
> >
>
> --
> +-------------------------------------------------------+
> |                  Anderson Nadal                       |
> |              nadal at ondacorp.com.br                    |
> |        RHCE - Red Hat Certified Engineer              |
> |                Coordenador Tecnico                    |
> |             Onda Provedor de Serviços S/A             |
> |           www.onda.com.br - (41) 3025-3000            |
> |        Provendo Seguranca para seus negocios!         |
> |          Registered Linux User: 56841                 |
> |     PGP KEY: www.keyserver.net KEY ID 6ABB668D        |
> +-------------------------------------------------------+
>
>
> --
> GTER list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list