Modification de script Clamd.

par **remi** » 07 Avr 2004 11:32

Bonjour,

Aujourd'hui les virus spoof les adresses email des expéditeurs, les boites mails sont donc poluer non seulement par les spams, les virus, mais aussi par ces messages du type "Notre système a detecté un virus dans l'email que vous avez envoyé à ..."

Ce message très pratique il y a quelques temps pour avertir les gens ne sert a l'heure actuelle plus a rien.
Par conséquent, (en tout c'est ce que j'ai fait) l'envoi a l'expiditeur d'un message pour le prévenir est annulé.

Voila une idée :

Ne serait il pas possible de faire un check du domaine du serveur de messagerie et du domaine de l'expéditeur avant d'envoyer un email pour prevenir.
En gros si l'adresse : xxx@hotmail.com a envoyé un virus mais que le serveur de mail est : xxx.wanadoo.fr ne pas envoyer d'email.
Mais si xxx@free.fr et xxx.free.fr, alors prévenir l'expéditeur.

Malheuresement, cette idée ne prend pas en compte tous les cas possibles, mais cela permettrait de "purger" les envois de mail "inutiles".
J'ai commencé a regarder les scripts de Clamd, mais mes connaissances en programmation sont tellement restreintes que...

Si vous avez des idées, du temps de libre pour regarder ces scripts...

par **Muzo** » 07 Avr 2004 11:39

Salut rémi,

Je pense que l'on va s'y pencher à plusieurs, ca sera plus simple.

Y sont où les scripts?
Que j'y jette un oeil.

PS: je n'utilise pas de mail sur ma SME, donc pas de Clamd

par **remi** » 07 Avr 2004 11:42

ils sont dans le dossier : /usr/lib/perl5/site_perl/5.6.1/AMAVIS/Notify/

Celui qui nous intérresse est le Sender.pm

par **Muzo** » 07 Avr 2004 11:46

Euh .... peux tu me l'envoyer?

Je n'ai jamais installé amavis

par **remi** » 08 Avr 2004 09:38

Voila le script, désolé pour le delai ... :oops:

Sender.pm

par **Muzo** » 08 Avr 2004 10:00

remi a écrit:Voila une idée :

Ne serait il pas possible de faire un check du domaine du serveur de messagerie et du domaine de l'expéditeur avant d'envoyer un email pour prevenir.
En gros si l'adresse : xxx@hotmail.com a envoyé un virus mais que le serveur de mail est : xxx.wanadoo.fr ne pas envoyer d'email.
Mais si xxx@free.fr et xxx.free.fr, alors prévenir l'expéditeur.

Cette idée très bonne, j'y vois un inconvénient.

Je prends pour exemple le cas de ma copine.

Elle a un nom de domaine : "macopine.com", nom fournit gracieusement par online.net.
Hors online ne fait pas de serveur smtp. Donc elle envoie ses mails par l'intermédiaire de notre FAI.

Du coup tu vas avoir dans tes entêtes mail :
- sender : xxx@macopine.com
- serveur mail : xxx.free.fr

Je penses que tu vas te couper de beaucoup de mail si tu fais ca. Notamment les personnes ayant des noms de domaines.

T'en penses quoi?

par **Muzo** » 08 Avr 2004 10:02

Quoi que, je vois une possibilité.

ce qui t'ennuies c'est que tu recoivent des mails avec les adresses de TES USERS, mais avec un serveur mail différent du tiens. J'ai bon?
C'est là dessus qu'il faut se pencher.

par **remi** » 08 Avr 2004 10:05

Voila le cas ouca ne fonctionne pas ! ;-)

Mais dans mon raisonnement (voir premier post), si un virus est trouvé dans un email, et que le domaine du serveur n'est pas pas identique au domaine de l'email, alors, il n'y a pas de retour a l'expéditeur.

En gros, je veux modifier le script de tel facon a laisser fonctionner l'avertissement a l'expéditeur si un virus a été trouver, mais je ne veux pas polluer toutes les adresses qui ont été spoofées...

par **Muzo** » 08 Avr 2004 10:34

Ok, désolé, mais j'ai la comprenette un peu rouillée en ce moment.

par **Muzo** » 08 Avr 2004 11:12

Ne connaisasnt pas le reste de l'architecture, je vois comment récupéré le destinataire, mais je ne vois pas comment récupéré le serveur mail.

par **remi** » 08 Avr 2004 11:38

le script envoie ce type de message,....

VIRUS ALERT

Our virus checker found
virus: Sircam
in your email to the following recipient:
-> recipients@xxx.fr

Delivery of the email was stopped!

Please check your system for viruses,
or ask your system administrator to do so.

For your reference, here are headers from your email:
------------------------- BEGIN HEADERS -----------------------------
Received: from caramail.com (cmcodec02 [212.78.202.183])
by lmout01.st1.spray.net (Postfix) with SMTP id 375AF2058C
for <recipients@xxx.fr>; Wed, 22 Oct 2003 14:51:50 +0200
(MEST)
From: "XXX XXX" <sender@caramail.com>
To: recipients@xxx.fr
Message-ID: <1066827108019616@lycos-europe.com>
X-Mailer: LycosMail
X-Originating-IP: [217.167.22.195]
Mime-Version: 1.0
Subject: essai
Date: Wed, 22 Oct 2003 14:51:48 +0100
Content-Type: multipart/mixed; boundary="=_NextPart_Lycos_0196161066827108_ID"
-------------------------- END HEADERS ------------------------------

En fait il faudrait réussir a attraper l'information dans l'headers...

par **Muzo** » 08 Avr 2004 14:35

Ok, tu veux comparer recipients@xxx.fr et caramail.com ?
J'ai bon?

par **remi** » 08 Avr 2004 15:36

non, je veux comparer le domaine du sender et le domaine du serveur d'envoi...
Si virus trouver et que les domaines ne concordent pas alors pas d'envoi de mail a l'expéditeur...
En revanche si les domaines concordent, cela veut dire que l'expéditeur est vraiment infecté : donc envoi de mail...

Ca va Muzo ? T'aurais pas besoin de vacances par hasard ? :lol:

par **tomtom** » 08 Avr 2004 15:38

remi a écrit:En revanche si les domaines concordent, cela veut dire que l'expéditeur est vraiment infecté : donc envoi de mail...

Ou que le virus forge ses addresses sources avec intelligence :roll:

t.

par **remi** » 08 Avr 2004 15:40

oui aussi, ... :roll:

Mais bon, ce n'est pas la plus part des cas a l'heure actuelle...

Modification de script Clamd.

Modification de script Clamd.

Re: Modification de script Clamd.

Qui est en ligne ?