-----Original Message----- From: Paul Arakelyan [mailto:unisol@cs.kiev.ua] Sent: Thursday, September 25, 2003 6:50 PM To: uanog@uanog.kiev.ua Subject: [uanog] Re: [uanog] Re: ПААААМАГИТЕ!
On Thu, Sep 25, 2003 at 05:16:04PM +0200, Michael Petuschak wrote:
Hi Paul,
Клиенты отдельно, у них все не так мрачно. Я про почтовую систему, которая bestMX для *.n46*.z2.fidonet.org. Думал, вытянет, но теперь уже очевидно, что кроме выключения >> фидошного гейта других вариантов нет. :( > А всё-таки - такой вариант, как smtp proxy, умеющий задетектить начало > вливания вируса и просто порвать коннект нафиг? Да, я понимаю, что > "немного некорректно" - но по-моему, это будет работать. Кстати - есть тут кто, видевший хоть одно письмо от MS к клиентам?
Есть. Регулярно. За фильтрацию лично руки оторвал бы админу.
А то я бы предложил прочитать в буфер первых 2KB, и при наличии \nMicrosoft Client\n (не уверен, что там нет пробелов лишних - не смотрел). то ли дропать коннект, то ли "клинить" и дропать по тайм-ауту. Ессно, наверно прийдётся tcp recv size покрутить...
OOPS. поглядел - вирус не "сам себе smtp". Но это тоже "немного хорошо" - можно надеяться на стандартное поведение MTA - типа уменьшение connection rate/etc. Плохо тем, что dnsbl по той же причине не катит - будет блокироваться мыло целиком. Вобщем - лучше всего тут - "попытаться тормознуть". То бишь hold/shaping коннектов с обнаруженным вирусом (вот тут и нужен tcp proxy). При этом таки прийдётся нарастить число тазиков в MX'ах, насколько я это понимаю.
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Sep 26, 2003 at 10:41:54AM +0300, Pavel Narozhniy wrote:
некорректно" - но по-моему, это будет работать. Кстати - есть тут кто, видевший хоть одно письмо от MS к клиентам?
Есть. Регулярно. За фильтрацию лично руки оторвал бы админу. И на что это похоже? То есть у них что-то общее есть - короче, если это не confidential info - можно на такое хоть одно поглазеть?
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Sat, Sep 27, 2003 at 01:37:09AM +0300, Paul Arakelyan wrote: PA>On Fri, Sep 26, 2003 at 10:41:54AM +0300, Pavel Narozhniy wrote: PA>> > > некорректно" - но по-моему, это будет работать. PA>> > Кстати - есть тут кто, видевший хоть одно письмо от MS к клиентам? PA>> > PA>> PA>> Есть. Регулярно. За фильтрацию лично руки оторвал бы админу. PA>И на что это похоже? То есть у них что-то общее есть - короче, PA>если это не confidential info - можно на такое хоть одно поглазеть? хотя бы на заголовки -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - Backbone adjustment =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (3)
-
Alexander Trotsai -
Paul Arakelyan -
Pavel Narozhniy