On Wed, Apr 21, 2004 at 10:41:02PM +0200, Ivan Sergio Borgonovo wrote:
> On Wed, 21 Apr 2004 19:36:04 +0200
> Vladimir Nicola Chersi <vladimir.nicola@xxxxxxxxx> wrote:
>
> > #:0 a: /tmp/vlad.tmp
> > :0 ah
> > | /home/vladimir/bin/autoavvertitore
>
> > 2: non vi e` alcuna sicurezza che il file /tmp/vlad.tmp non venga
> > sovrascritto da un'altra istanza di procmail (ma _forse_ procmail
> > processa una mail alla volta, e quindi _forse_ non sarebbe un
> > problema). 3: non funziona, come regola in procmail, e per questo ho
>
> Ti rispondo a rate...
> Anche se in teoria non dovrebbe servirti
> man mktemp
>
> Il resto dopo la doccia o una sana dormita.
Il resto non e` ancora giunto, ma comunque mktemp e` quello che fa al
caso mio.
Quando ho chiesto relativamente ad Exim, era perche` volevo attuare
qualcosa di simile a quello che ha attuato Andrea Paolini (con Postfix),
e che ha descritto nella mail che ha spedito in data
Date: Tue, 6 Apr 2004 01:12:49 +0200
( topic: antivirus per smtp, o qualcosa del genere )
Visto che con Exim non ho capito come si faccia a fare un body check, ho
impostato questa simpatica riga che _pare_ funzionare in procmail:
# Executable attachment filtering
:0 WBc
*
^TVqQAAMAA|^TVpQAAIAA|^TVpAALQAc|^TVpyAXkAX|^TVrmAU4AA|^TVrhARwAk|^TVoFAQUAA|^TVoAAAQAA|^TVoIARMAA|^TVouARsAA|^TVrQAT8AA
/dev/null
seguita da
#se elimino la posta ti mando una mail che te lo dice
:0 ah
| /home/vladimir/bin/autoavvertitore_eseguibile
dove /home/vladimir/bin/autoavvertitore_eseguibile e`:
USER=vladimir
TMPFILE=`mktemp /tmp/$USER.XXXXXXXXXX` || exit 1
formail -X "" > $TMPFILE
mail -s "Mail cancellata - allegato sospetto: file eseguibile " $USER <<
EOF
L' email con oggetto
`cat $TMPFILE | grep Subject:`
e\` stata eliminata perche\` contenente un allegato sospetto: file
eseguibile
Seguono gli header completi della email:
`cat $TMPFILE`
EOF
rm -f $TMPFILE
Analogo trattamento ricevono le mail nelle quali il "name" o "filename" e`
formulato decentemente (spesso i virus riempiono il nome di spazi, per
cui il ".exe" si viene a trovare in una nuova linea, o qualcosa del
genere, e la regola basata sul nome del file non acchiappa le email
rompiscatole.)
Spero che ci sia qualcun'altro che si diverte con procmail, e che queste
mie divagazioni gli tornino utili.
Ho inoltre in funzione uno "spam-recipe" per acchiapare posta spam,
basato sugli indirizzi [1] ma devo ancora raffinarlo.
Li' pero` e` impossibile avere un 100% di bloccato, arrivo ad un 70/80,
aggiungendo regolarmente al dizionario le mail che eventualmente
passano.
(Non ho pero` mai avuto falsi positivi).
[1] (Mi direte che gli spammer usano sempre indirizzi diversi, random....
non e` vero. Che siano tanti e diversi si. Ma si ripetono. Inoltre se si
bloccano anche gli indirizzi di "unsubscribe" la percentuale di
ripetizione aumenta considerevolmente [2] )
[2] Almeno nello spam che ricevo io.
Non posso usare blocchi piu` furbi (MTA) in quanto sono dialup, ed uso
fetchmail. (almeno, io leggendo i manuali ho capito cosi`, e non mi
sono quindi mai posto il problema di verificarlo)
Non ho voglia di usare spamasassin per vari motivi:
- non ho voglia di falsi positivi; - ho paura che sia lento
(cosiderevolmente rispetto a procmail), - etc.
Tra imparare spamasassin, ed insegnare a procmail, preferisco la seconda
opzione.
Sto valutando la possibilita` di un antivirus, eventualmente da mettere
in coda sia ai name-check, sia ai body-check ( per bloccare gli zip
virali), ma per ora qui non lo metto. (Tanto a casa mia non uso windows
quasi mai, e la posta comunque la ricevo in linux.)
Chi eventualmente desidera vedere il mio procmailrc e i file correlati, me
lo dica.
Scusate la lunga mail.
--
<wichert> 8am is an ungoldly hour to be awake :)
* gorgo usually gets up at 11am
Bye by Vlad/Nick
- do not send me files with .exe,.pif,.scr,.bat or .com extension ! -
- emails containing such attachments are automatically deleted -
|