[GTER] RES: PhishingScams bancários

[Henrique de Moraes Holschuh]

Marcio Merlone wrote:
> Em 21/10/2009 18:00, Henrique de Moraes Holschuh escreveu:
>> Nota: *NÃO* use assinaturas anti-spam no clamav sem utilizar uma 
>> cola configurada para diferenciar as assinaturas de spam das 
>> assinaturas de vírus, ou você terá *sérios* problemas.
> 
> Eu uso as assinaturas tanto do malware quanto do SanesSecurity. Sobre
>  o seu comentário eu pergunto:
> 
> Hein?
> 
> Sério, não entendi a tal "cola". Já aproveita e exemplifica que tipo
>  de problemas....

Cola:

amavisd-new e outros programas do estilo que fazem a interface
entre os MTAs e os filtros de conteúdo (SpamAssassin, DSPAM, clamav,
outros AVs...).

Olhe a documentação de "@virus_name_to_spam_score_maps" do amavisd-new.


Problemas:

Todas as listas anti-spam podem conter falsos-positivos, algumas das
distribuídas pela sanesecurity são inclusive consideradas como de
alto-risco para falso-positivo.  Você deve utilizar as assinaturas nelas
para SCORING, ou seja, uma informação a mais que "empurra" a mensagem na
direção de ser considerada SPAM.  Quanto maior o risco de falso
positivo, menor o score (peso) que você deve dar para aquela assinatura.

Lembrando que 99% das instalações descartam (ou colocam em quarentena
e limpam após um tempo) qualquer coisa que o clamav considerar que é
vírus, não é nada conveniente confundir SPAM com vírus, e pode causar
perda (silenciosa) de mensagens falso-positivas.

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.