[linux] Antivir

[Ing. Jan ONDREJ]

On Wed, Feb 18, 2004 at 03:46:18PM +0100, Peter Surda wrote:
> On Wed, Feb 18, 2004 at 03:28:20PM +0100, Ing. Jan ONDREJ wrote:
> > > Presne ako napisal Miso Toth - takto pouzivatelov nenaucime nic.
> > > BTW, vsetky mailery ktore checkuju maily voci virusom uz na SMTP urovni -
> > > pouzivatel aspon dostane feedback ze mail bol odmietnuty kvoli virusu. A
> > > ani sa nebude moct stazovat.
> > Dovolujem si nesuhlasit, pretoze sa na bugtraqu ludia rozculovali,
> > ze sa s virusmi robia taketo nechoutnosti. Kedze SMTPd netusi,
> > kto bol odosielatel, tak to odosle na adresu, ktoru uviedol SMTPd
> > ktory nam to poslal. Ten potom dany email odosle niekomu, kto virus
> > vobec neposlal.
> Ano, ale nie je to celkom tak. Su 2 moznosti zamietavej odpovede. Ta prva je
> horsia, a sice ze priamo SMTPd, ktory virus zisti, vygeneruje bounce a odosle
> ho (DSN styl). Toto je samozrejme totalny nezmysel a tychto administratorov
> treba strielat.
> 
> Druha je poslat zamietavy kod relay-u priamo pocas SMTP-sessny. Potom pripadny
> bounce generuje ten relay. Ked je ten relay taky dementny, ze nielen relayuje
> viry ale aj na ich zaklade generuje bouncy, tak tych administratorov treba
> strielat tiez. Za toto vsak administrator cieloveho mailservra nemoze.

Nuz, bud to odmietnes hlaskou 5XX Virus ..., alebo mozes akoze prijat
a neskor zahodit. Ak spravis 1. moznost, tak ten SMTP server, ktory
Ti to posielal to posle niekomu vymyslenemu. Open relayom nieje,
pretoze on pre svojich zakaznikov relaying robi.

To, ze to povodny antivir nezachytil, tak za to vobec nemoze, pretoze
na to zatial neexistuje ziadna jednoznacna metoda, ako to chytat.
Navyse je to dost financne narocne zakupit na to vhodny pocet antivirov.

Ak nastavne druha moznost, tak je to sice proti pravidlam SMTP komunikacie,
ale nic rozumnejsie neviem.

> > Je dost nechutne takymto stylom opat otravovat ludi, kedze vacsina
> > sucasnych wormov si adresy odosielatela aj prijimatela vymysla.
> Mam s tym svoje skusenosti, pri epidemiach Sobig-F a MyDoom mi chodilo tychto
> <>ovin niekolko tisic denne :-(.
> 
> > Podla mna idealnym riesenim by bolo, keby existovala databaza virusov,
> > ktore si adresy vymyslaju a v ich pripade mail proste zahodit. Opat
> > ale nemozeme mat ziadnu istotu, ze budeme mat databazu aktualnu,
> > kedze virusy vznikaju kazdym dnom.
> Taketo nieco uz existuje. Amavisd-new ma v konfiguraku premennu, kde je zoznam
> takychto virov, a niektori vyrobcovia scannerov im davaju specificke
> pomenovanie (napr. Symantec prida nakoniec "@mm").

Este doplnim, ze to ma aj Sagator od svojej prvej verzie. :-)

> Podla mna je to vsak nedokonale a malo by to fungovat naopak: zoznam virov,
> ktore adresu nefejkuru, a zahadzovat ostatne. Potom by pri novom cerve bola
> epidemia vyrazne stlmena.

Nuz uz len teraz je tych virov vyse 20000 a z toho vacsina nema s emailom
nic spoocne, takze adresat moze byt realny. Mat taku databazu
je pomerne zlozite.

		SAL