-----Original Message----- From: Paul Arakelyan [mailto:unisol@cs.kiev.ua] Sent: Thursday, September 25, 2003 6:50 PM To: uanog@uanog.kiev.ua Subject: [uanog] Re: [uanog] Re: ПААААМАГИТЕ!
On Thu, Sep 25, 2003 at 05:16:04PM +0200, Michael Petuschak wrote:
Hi Paul,
Клиенты отдельно, у них все не так мрачно. Я про почтовую систему, которая bestMX для *.n46*.z2.fidonet.org. Думал, вытянет, но теперь уже очевидно, что кроме выключения >> фидошного гейта других вариантов нет. :( > А всё-таки - такой вариант, как smtp proxy, умеющий задетектить начало > вливания вируса и просто порвать коннект нафиг? Да, я понимаю, что > "немного некорректно" - но по-моему, это будет работать. Кстати - есть тут кто, видевший хоть одно письмо от MS к клиентам?
Есть. Регулярно. За фильтрацию лично руки оторвал бы админу.
А то я бы предложил прочитать в буфер первых 2KB, и при наличии \nMicrosoft Client\n (не уверен, что там нет пробелов лишних - не смотрел). то ли дропать коннект, то ли "клинить" и дропать по тайм-ауту. Ессно, наверно прийдётся tcp recv size покрутить...
OOPS. поглядел - вирус не "сам себе smtp". Но это тоже "немного хорошо" - можно надеяться на стандартное поведение MTA - типа уменьшение connection rate/etc. Плохо тем, что dnsbl по той же причине не катит - будет блокироваться мыло целиком. Вобщем - лучше всего тут - "попытаться тормознуть". То бишь hold/shaping коннектов с обнаруженным вирусом (вот тут и нужен tcp proxy). При этом таки прийдётся нарастить число тазиков в MX'ах, насколько я это понимаю.
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message