Kam s viry?

Lubos Kaspar lk na cnb.cz
Úterý Únor 3 11:28:14 CET 2004 

> Date: Tue, 03 Feb 2004 10:03:23 +0100
> From: Vladimir Smelhaus <smelhaus na bpt.cz>
> To: sendmail na linux.cz
> Subject: Re: Kam s viry?
> 
> Za vice nez dva roky, kdy provozuji na serveru antivir, neprisel ani 
> jeden mail, ktery by mel jako prilohu zavirovany soubor a zaroven mel 
> smysluplny obsah. Jinymi slovy, ze ten mail sestavil zivy odesilatel a 
> soubor prilozil. Zato prislo hafo automaticky generovanych mailu 
> rozesilanych temi viry.
> 
> Takze zasilat prijemci zpravu, ze mu prisel zavirovany mail, je, dle me, 
> skoro na 100% zbytecnost. A odesilateli, to uz bylo popsano.
> 
> volesak na aristia.cz napsal(a):
> > Pridavam se k nazoru nize. Informace o zavirovanem mailu patri (kdyz uz
> > nekomu) tak pouze prijemci, v zadnem pripade odesilateli! Mam na serveru asi
> > 20 domen a chodilo mi pres 3000 zprav podobneho typu za 10 hodin. Opravdu
> > tim pouze pomahate plnit viru jeho primarni funkci - zahltit Internet.
> > Takze souhrn - odmazat zavirovanou prilohu, poslat info prijemci, co nelze
> > dorucit poslat adminovi.

Je to vlastne skoro stejne jako takove ty blaboly typu "prichozi/odchozi
zprava zkontrolovana tim a tim antivirem" pridavane k mailum "pouze" jako
sverazny "bonus". Jde tu hlavne o reklamu - prijemce se takto o vyrobci
antiviru dovi (vzdy je tam www-odkaz) a treba se "chytne", ze. Tim chci jen
naznacit pravdepodobnou motivaci, proc zrejme mivaji antivirove "mlynky"
jako default posilani zprav na vsechny mozne strany; samozrejme celkove je
to odsouzenihodne a velmi odporne (zvlast kdyz neni posilani mailu
dekonfigurovatelne - a ani k tomu nelze nektere zvlast zavile BFA donutit).

Zatim jsou patrny 3 stupne nechutnosti semilacu MS-viru:

1. (nejnizsi) - antivir posila sve pindy pod nejakou specialni adresou,
   kterou lze snadno zaradit mezi spammery;

2. (stredni) - antivir posila sve hlody jako postmaster - take lze zaradit
   mezi spammery, ale s tim uz mohou byt potize;

3. (nejvyssi) - antivir posila sve zvasty jako bounce - lze blokovat
   relay (jako IP nebo jako host), popr. relayovou domenu, ale to muze
   znamenat "splachnuti" blokace i dalsich odesilatelu, takze nasledne
   si muze nekdo stezovat (BTW: blokace bounce odporuje RFC 2821 - viz
   napr. http://www.rfc-ignorant.org ).
--
Lubos Kaspar

Další informace o konferenci Sendmail