Moin,
Aus gegebenen Anlaß (Nimda & Co, nein, der schlug nicht in der Firma ein) möchte ich eingehende Mails in der Firma besser filtern und bei ausführbaren Anhängen die Mails nach /dev/null versenken und dem Absender einen Hinweis zurückschicken.
Klappt soweit auch schon, habe es mit der /etc/procmailrc gemacht. Gesucht wird nach
^Content-Type: application/
Nun habe ich festgestellt, daß untersch. Mailproggis für z.B. *.exe hier unterschiedliches Subtypen angeben. Frage also:
was ist gebräuchlich bei unterschiedlichen Clients, insbesondere aus der Wixdos-Welt?
Bisher gesehen habe ich: x-msdownload x-octet-stream x-msdos-program
PS.: hat jemand ein verschlossenes Reagenzglas mit Nimda für mich?
Andreas, am überlegen, ob audio & video auch noch in der procmailrc beachtet werden sollten...
On Sat, Sep 22, 2001 at 11:44:27AM +0200, Andreas Kretschmer wrote:
was ist gebräuchlich bei unterschiedlichen Clients, insbesondere aus der Wixdos-Welt?
Bisher gesehen habe ich: x-msdownload x-octet-stream x-msdos-program
sind alles unstandardisierte mime types ... daher das x- Die standardisierten stehen in http://www.isi.edu/in-notes/iana/assignments/media-types/media-types also wohl eigentlich application/octet-stream für binaries
Ich würde den Filter lieber mit einer Positivliste ausstatten. Sonst wirst du nie fertig.
Aber: Ich meine mal gehört/-lesen zu haben, daß unter Win (bzw. einigen Programmen dort) der Suffix des Dateinamens den Mimetype überstimmt. Wenn also ein Anhang namens "boeservirus.exe" und mimetype text/plain kommt wird der wohl trotzdem ausgeführt. Das habe ich allerdings nicht gestestet, würde es aber vor Aufsetzen des Filters tun :-)
Reinhard
On Sat, Sep 22, 2001 at 11:44:27AM +0200, Andreas Kretschmer wrote:
Moin,
Aus gegebenen Anlaß (Nimda & Co, nein, der schlug nicht in der Firma ein) möchte ich eingehende Mails in der Firma besser filtern und bei ausführbaren Anhängen die Mails nach /dev/null versenken und dem Absender einen Hinweis zurückschicken.
Kann mich dunkel daran erinnern, dass du vor kurzem auf exim umgestellt hast. Auf deren Homepage steht gleich auf der Startseite etwas von generic windows content filter. Habe ich selbst aber noch nicht ausprobiert.
Viel Erfolg
am Sun, dem 23.09.2001, um 10:25:43 +0200 mailte Thomas Guettler folgendes:
On Sat, Sep 22, 2001 at 11:44:27AM +0200, Andreas Kretschmer wrote:
Moin,
Aus gegebenen Anlaß (Nimda & Co, nein, der schlug nicht in der Firma ein) möchte ich eingehende Mails in der Firma besser filtern und bei ausführbaren Anhängen die Mails nach /dev/null versenken und dem Absender einen Hinweis zurückschicken.
Kann mich dunkel daran erinnern, dass du vor kurzem auf exim umgestellt hast.
Jein. Privat ja, und auch für _neue_ Systeme werde ich es bevorzugen. Aber es ist ja nunmal so, der Mensch ist träge, daher läuft in der Firma fast überall noch sendmail. Ausnahme ist der neue Server für die neue Firma, dort tut Exim seinen Dienst. Aber bisher nur für einen User - mich ;-)
Aber danke für den Tipp, ich schaue es mir an.
Andreas
Am Samstag, dem 22. September 2001 um 11:44:27, schrieb Andreas Kretschmer:
Aus gegebenen Anlaß (Nimda & Co, nein, der schlug nicht in der Firma ein) möchte ich eingehende Mails in der Firma besser filtern und bei ausführbaren Anhängen die Mails nach /dev/null versenken und dem Absender einen Hinweis zurückschicken.
Der Kampf ist schwerlich nicht zu verlieren. Ich denke, Reinhards Vorschlag mit der Positivliste ist ganz brauchbar, solange z. B. kein text/html darin enthalten ist. Alles andere sollte in Quarantaene geschickt werden und manuell weiterbehandelt werden - auch eine automatische Konvertierung von html nach plain beispielsweise ist denkbar. Mit der Zeit wirst Du mehr ueber die verschiedenen Varianten lernen und den manuellen Aufwand verringern koennen. Ich habe mir mit dieser Methode einen recht guten generischen Spam-Filter gebastelt. Problematisch ist der Datenschutz. Wenn Du alle Benutzer informierst, dass sie ihren Account nur fuer dienstliche Zwecke verwenden duerfen und eine Filterung aus technischen Gruenden noetig ist, kannst du aber das in Griff bekommen.
Torsten
am Sun, dem 23.09.2001, um 19:01:28 +0200 mailte Torsten Werner folgendes:
Am Samstag, dem 22. September 2001 um 11:44:27, schrieb Andreas Kretschmer:
Aus gegebenen Anlaß (Nimda & Co, nein, der schlug nicht in der Firma ein) möchte ich eingehende Mails in der Firma besser filtern und bei ausführbaren Anhängen die Mails nach /dev/null versenken und dem Absender einen Hinweis zurückschicken.
Der Kampf ist schwerlich nicht zu verlieren. Ich denke, Reinhards Vorschlag mit der Positivliste ist ganz brauchbar, solange z. B. kein text/html darin enthalten ist. Alles andere sollte in Quarantaene
Ja, ich werde mit Chef'chen darüber reden, letztendlich war er es, der mich zu dieser Maßbahme trieb. Ob ich Mails nun mit /dev/null vernichte oder in ein Abklingbecken werfe, das überlege ich mir noch...
Andreas
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Reinhard Foerster -
Thomas Guettler -
Torsten Werner