|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Lena from Kiev 2:5020/400 27 Jan 2003 03:43:53
To : Alexander Stepanov
Subject : Re: Antivirus
--------------------------------------------------------------------------------
> From: Alexander Stepanov <Alexander.Stepanov@p13.f6.n5004.z2.fidonet.org>
> Кто мешает
> вирусу представляться в smtp сессии как vasya_pupkin[собака]mail.ru? И
> добропорядочный Вася получит пачку уведомлений, которые вполне резонно может
> счесть спамом.
>
> С получателем все более или менее ясно - ему мы всегда присылаем
> уведомление, а вот есть ли хоть малейший смысл слать что-то отправителю?
Hекоторый смысл есть. Hекоторые до сих пор ходящие вирусы (кажется в том
числе Klez, во всяком случае некоторые из его вариантов) всё же рассылают
себя таким способом, при котором в envelope-from реальный адрес пользователя
зараженной машины. Получив уведомление, пользователь быстрее поймет,
что машина заражена, и полечит ее.
> From: Valentin Nechayev <netch@segfault.kiev.ua>
> AS>>> а) нельзя гарантировать, что в envelop всегда реальный адрес
> VK>> Это проблемы отправителя.
>
> Да? Когда сам попадёшь под поток отлупов, поймёшь.
А что, вирус может создать _поток_ отлупов на один адрес?
Под поток отлупов от спама я попадала.
Hу на <big{a}boss.com> идет поток, но ведь таких адресов в мире
раз-два и обчелся, да и идут туда не только уведомления от вирус-фильтров,
но и отлупы (DSN) от части уже не существующих адресов.
> А зачем получателю *всегда* присылать уведомление, если письмо полностью
> представляет собой вирус?
Потому что бывают ложные срабатывания вирус-фильтров.
Могу засвидетельствовать, что бывают.
Hу и полностью - не полностью, программе определить трудно.
А еще получатель (человек, не программа) в некоторых случаях может
определить, откуда на самом деле вирус, и предупредить пользователя
зараженного компьютера. В конце концов написать на abuse просьбу
предупредить пользователя, как приходится делать с этим Reteras (big@boss).
> From: Victor Sudakov <vas@vas.tomsk.ru>
> А вот получателю, я полагаю, слать уведомление нужно обязательно. Так
> же как и предоставить пользователю отказаться от услуг антивируса
> совсем.
Dr.Web моего провайдера поступает вполне разумно, как мне кажется:
заподозренное письмо кладется в архив, а получателю отправляется
уведомление с именем файла в архиве, по которому при необходимости
можно попросить админа выслать письмо. Hапример
(я изменила некоторые части email адресов):
> Received: from rly-ip04.mx.aol.com (rly-ip04.mx.aol.com [64.12.138.8])
> by mail.infotech.net.ua (8.11.6/8.11.6) with ESMTP id h0D6OT540485
> for <lena{a}lena.kiev.ua>; Mon, 13 Jan 2003 08:24:31 +0200 (EET)
> Received: from logs-mtc-tb.proxy.aol.com (logs-mtc-tb.proxy.aol.com
> [64.12.104.5]) by rly-ip04.mx.aol.com (v89.10) with ESMTP id
> RELAYIN1-0113012048; Mon, 13 Jan 2003 01:20:48 -0500 Received: from Oceaf
> (ACA2F93D.ipt.aol.com [172.162.249.61]) by logs-mtc-tb.proxy.aol.com
> (8.12.6/8.12.6) with SMTP id h0D6J8HA113669 for <Lena{a}lena.kiev.ua>;
> Mon, 13 Jan 2003 01:19:10 -0500 (EST) Date: Mon, 13 Jan 2003 01:19:08 -0500
> (EST) Message-Id: <200301130619.h0D6J8HA113669@logs-mtc-tb.proxy.aol.com> To:
> Lena{a}lena.kiev.ua Subject: BORDER COLS X-Apparently-From:
> **mything{a}aol.com Content-Type: text/plain; charset=us-ascii Message sent
> from <**ownews{a}compuserve.com> infected by virus and has not been delivered.
> Viruses:
> infected with Trojan.IframeExec
> infected with Win32.HLLM.Klez.4
>
> Original message was stored in the archive.
> To receive original message please contact postmaster:
> postmaster{a}infotech.net.ua
>
> Archive record: archive.msg.Cf1278
> Antivirus service provided by Dr.Web Daemon (www.sald.com)
Hасчет отправки уведомления отправителю я не в курсе.
--
Lena{a}lena.kiev.ua
--- ifmail v.2.15dev5
* Origin: http://mail2ftp.hypermart.net (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Antivirus 