> -----Original Message-----
> From: Paul Arakelyan [mailto:unisol@cs.kiev.ua]
> Sent: Thursday, September 25, 2003 6:50 PM
> To: uanog(a)uanog.kiev.ua
> Subject: [uanog] Re: [uanog] Re: ПААААМАГИТЕ!
>
>
> On Thu, Sep 25, 2003 at 05:16:04PM +0200, Michael Petuschak wrote:
> > Hi Paul,
> >
> > >> Клиенты отдельно, у них все не так мрачно.
> > >> Я про почтовую систему, которая bestMX для
> *.n46*.z2.fidonet.org.
> > >> Думал, вытянет, но теперь уже очевидно, что кроме выключения >>
> > фидошного гейта других вариантов нет. :( > А всё-таки - такой
> > вариант, как smtp proxy, умеющий задетектить начало >
> вливания вируса
> > и просто порвать коннект нафиг? Да, я понимаю, что > "немного
> > некорректно" - но по-моему, это будет работать.
> Кстати - есть тут кто, видевший хоть одно письмо от MS к клиентам?
>
Есть. Регулярно. За фильтрацию лично руки оторвал бы админу.
> А то я бы предложил прочитать в буфер первых 2KB, и при
> наличии \nMicrosoft Client\n (не уверен, что там нет пробелов
> лишних - не смотрел). то ли дропать коннект, то ли "клинить"
> и дропать по тайм-ауту. Ессно, наверно прийдётся tcp recv
> size покрутить...
>
> OOPS. поглядел - вирус не "сам себе smtp".
> Но это тоже "немного хорошо" - можно надеяться на стандартное
> поведение MTA - типа уменьшение connection rate/etc.
> Плохо тем, что dnsbl по той же причине не катит - будет
> блокироваться мыло целиком. Вобщем - лучше всего тут -
> "попытаться тормознуть". То бишь hold/shaping коннектов с
> обнаруженным вирусом (вот тут и нужен tcp proxy). При этом
> таки прийдётся нарастить число тазиков в MX'ах, насколько я
> это понимаю.
===================================================================
uanog mailing list.
To Unsubscribe: send mail to majordomo(a)uanog.kiev.ua
with "unsubscribe uanog" in the body of the message