vladimir.sharun@ukr.net wrote:

Вероятность ложных срабатываний минимальна, для применения на время эпидемии должна прокатить. Не защищает от вирусов, идущих через релеи.

defer message = Try again later. condition = ${if and {{eq{$sender_helo_name}{$sender_address_domain}} \ {!match{$sender_host_name}{$sender_helo_name}}}{yes}{no}}

от своих же пользователей почта не проходит =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi! On Tue, Jan 27, 2004 at 06:52:58PM +0200, vladimir.sharun@ukr.net writes:

Вероятность ложных срабатываний минимальна, для применения на время эпидемии должна прокатить. Не защищает от вирусов, идущих через релеи.

defer message = Try again later. condition = ${if and {{eq{$sender_helo_name}{$sender_address_domain}} \ {!match{$sender_host_name}{$sender_helo_name}}}{yes}{no}}

Я обнаружил, что у него есть поле X-MSMail-Priority: Normal, но при этом нет полей X-Mailer и X-Newsreader. Думаю, что это характерная особенность, по которой вполне можно фильтровать. Правда, для этого нужно сначала заголовок получить... Но все равно дешевле, чем антивирусом каждый аттач проверять. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Tue, Jan 27, 2004 at 08:17:00PM +0200, vladimir.sharun@ukr.net wrote:

Alexander Moskalenko wrote: AM> от своих же пользователей почта не проходит

Ну я думаю можно догадаться, что это для mx'ов только. hosts = ! +relay_from_hosts не была вставлена в моём случае, т.к. mx'ы ничего не релеят.

Ну, некоторые уже фильтровали почту от своих юзеров по relays.osirusoft ;). А у некоторых по бедности/немасштабности/ ленивости/непредусмотрительности smtp in==smtp out, и как-то специфически его конфигурять "это" их ломает. -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Wed, 28 Jan 2004, Oleg Cherevko wrote:

On Tue, 27 Jan 2004, Michael Plostak wrote:

...

On Tue, Jan 27, 2004 at 09:01:55PM +0200, Pavel Gulchouck wrote:

...

Я обнаружил, что у него есть поле X-MSMail-Priority: Normal, но при этом нет полей X-Mailer и X-Newsreader. Думаю, что это характерная особенность, по которой вполне можно фильтровать. Правда, для этого нужно сначала заголовок получить... Но все равно дешевле, чем антивирусом каждый аттач проверять.

О! Вот это дело, благодарствую. Ложных вроде быть не должно.

В письмах вируса также изначально нет поля Message-ID. Это, IMHO, тоже неплохой критерий.

А по X-MSMail-Priority без X-Mailer и X-Newsreader ложные срабатывания все же есть, хотя и очень мало (YMMV).

Если кому еще интересно, то вот на этой странице с описанием Novarg'а http://www.f-secure.com/v-descs/novarg.shtml в разделе "Blocking the worm on the mail server" имеются регулярные выражения для ловли его .zip'овых attachment'ов. Их можно свести в одно и поучится, что начало MIME-encoded .zip attacment'а должно удовлетворять такому регулярному выражению (естественно, без кавычек): "^UEsDBAoAAAAAA.{6}(KJx\+eAFgAAAB|zy5egAlgAAAJ)YAA" -- Olwi =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message