Spamassassin og Virus-sjekk av innkommende mail: Forskjell mellom sider

Fra IThjelp
(Forskjell mellom sider)
(Ny side: {{trenger gjennomgang}} Fra fenomenet ble en virkelig stor plage tidlig 1997 har IT-avdelingens servere forsøkt å redusere mengden av slik uønsket post som leveres epost-brukere ved UIB....)
 
(Ny side: {{trenger gjennomgang}} I et par år har mailserverne hatt et visst forsvar mot mailvirus som ILOVEYOU og SirCam. Dette er virus særlig rettet mot Outlook og distribueres som eksekverbare ...)
 
Linje 1: Linje 1:
{{trenger gjennomgang}}
{{trenger gjennomgang}}
Fra fenomenet ble en virkelig stor plage tidlig 1997 har IT-avdelingens servere forsøkt å redusere mengden av slik uønsket post som leveres epost-brukere ved UIB. Fra april 2002 bruker serverne våre også et [http://www.spamassassin.org/ Spamassassin]-filter.
I et par år har mailserverne hatt et visst forsvar mot mailvirus som ILOVEYOU og SirCam. Dette er virus særlig rettet mot Outlook og distribueres som eksekverbare (f.eks .exe, .com og .vbs) vedlegg til mailer sendt fra den infiserte avsendermaskinen.


Følger du linken over kan du finne generell informasjon om dette våpenet mot spam, altså uønsket reklame i epost. På IT-avdelingens mailservere kjøres filteret sammen med  virus-scanneren (se [[Virus-sjekk av innkommende mail]]) under systemet exiscan, betydelig tilpasset oppsettet vårt. Både virus-sjekkeren og spam-filteret kjøres én gang for hver melding, både innkommende og utgående, uavhengig hvor mange mottagere som er adressert i forsendelsen. Det er altså ikke mulig å ta forbehold mot disse rutinene som stopper epost før den når deg. Er du svært misfornøyd med dét, kan du kontakte [http://bs.uib.no/ bs.uib.no] eller ringe til tlf (555) 84700.
Fra 3. november 2001 kjøres det fortløpende virussjekking på all mail som passerer mailserverne, denne virussjekken tilsvarer den som utføres på den enkelte PC og Windowsserver og vil også fange macrovirus i Word-filer mm.


Dersom du får fram alle meldingens headere, vil du nå kunne finne noe slikt sammen med Received: og tilsvarende:
Løsningen består av


X-UiB-SpamFlag: YES UIB: 10.3 hits, 8 required;<br>
*Mailsystemet [[exim]] med lokale patcher
X-UiB-SpamReport: spamassassin found:<br>
0.0 -- Subject: ends in a question mark<br>
0.5 -- Received via SMTPD32 server (SMTPD32-n.n)<br>
5.5 -- BODY: Information on getting a larger penis<br>
0.9 -- BODY: Asks you to click below<br>
2.5 -- BODY: Uses a dotted-decimal IP address in URL<br>
1.6 -- BODY: Tells you to click on a URL<br>
4.5 -- HTML-only mail, with no text version<br>
1.8 -- No MX records for the From: domain<br>
-7.0 -- Message received from UIB<br>


''Før brukte vi disse men det gjør mange andre også ...''
*Selve virusscanneren [http://www.cai.com/ Inoculan] fra CA.


X-Spam-Flag: <br>
*Hjelpesystemet [http://duncanthrax.net/exiscan/ exiscan].
X-Spam-Report:


'''Den første av de to headerne''',  X-UiB-SpamFlag, vil enten inneholde «NO UIB» eller «YES UIB», angi hvor stor skåre (score) meldingen fikk av Spamassassin og grensen for "required" som altså for tiden er åtte. Dersom skåren overskrider fjorten vil meldingen bli kastet av mailserveren og havner altså aldri i innboksen din.
[http://alf.uib.no/virus/ Statistikk over stoppede virus]


I perioder vil også epost med skåre over åtte kunne bli forkastet uten at den når deg, men ofte har ikke postmaster tid til å foreta så tidkrevende etterbehandling av Spamassassins vurderinger. Men i blant vil postmaster forsøke å rekalkulere verdiene som gis og vil kunne midlertid stoppe meldinger med lavere skåre også. Headeren finnes der for at du kan filtere videre, enten du bruker exims filter, webmails eller tilsvarende funksjon i Eudora/Netscape/Outlook.
Meldinger som har blitt sjekket for virus og altså er klarert av mailserveren, påføres slike meldingsheadere:


Den andre av headerne,  X-UiB-SpamReport, lister ut det meste om hva Spamassassin fant og hvilken pluss- eller minus-faktor hvert funn ble vektlagt med. Disse reglene forsøkes justert fortløpende: nye tester legges til, tester tas bort og skåre-verdien kan endres slik at Spamassassin i minst mulig grad stopper ønsket epost i sin jakt etter spam.
X-checked-clean: by exiscan on alf
X-Scanner: 639accbf9a9689f39f9209f426fe0810 http://tjinfo.uib.no/virus.html


Bare dersom skåren er større enn 1 vil den detaljerte rapporten bli gitt. Meldinger videresendt fra andre epost-tjenere ved UIB, leverandører i Norge eller store internasjonale remailere (yahoo, hotmail, nameplanet, etc) skåres ganske kraftig ned. Dersom du mottar mye spam fra slike steder må du ta det opp med dem eller revurdere videresendingen til din konto på IT-avdelingens mailservere.
Den tiltenkte mottager vil få en mail som viser headerne til virusmailen og forteller hvilket virus som ble funnet. Meldingen vil se omtrent slik ut:
From: exiscan@uib.no
Subject: NOTIFICATION: Virus stopped


En rekke faktorer med meldingen undersøkes altså av Spamassassin. Det gjelder både syntaktiske regler i enkeltheadere, adresser og fraser i selve meldingen. Den komplette konfigurasjon UIB bruker er tilgjengelig. Du kan gjerne komme med tilbakemeldinger til meg dersom du
An EMail directed to you, with subject
'Re: et eller annet emne',
from <somebody@somewere.net>, contained a virus or other harmful content.


*mener epost fra (spamholdige) lister du abonnerer på blir stoppet på utidig måte
The virus was sent from fep03.swip.net [930.944.199.491]
ID: 1692pb-0001Ck-00
Når avsender '''ER''' varslet vil mailen til mottageren fortelle:
            The sender HAS been notified by us.
Når avsender '''IKKE''' er varslet vil mailen til mottageren fortelle:
            Feel free to contact the sender, he/she has NOT been notified by us.
Du trenger ikke å gjøre noe etter mottak av slik melding,
viruset er fjernet før det nådde deg!


*mener noe skåres for høyt eller lavt
Ofte vil avsender være ukjent. Det skyldes at noen av virusene har mer utspekulerte metoder enn bare å bruke adresseboken til OutLook når viruset samler inn adresser det vil prøve å spre seg til. F.eks. vil noen virus samle inn mailadresser fra websider, nyhetsgrupper og fra maillister hvor både avsender og mottager er medlemmer


*har gode forslag om nye og bedre tester
Men iblant vil avsender være kjent og da vil det være vennlig av deg å gi vedkommende beskjed om at hans PC er infisert av virus. De fleste mail-virus sender seg selv til et stort antall adressater uten avsenders viten eller vilje.
Meldingene er altså bare til din informasjon!
Virus som Hybris og de siste dagers populære Badtrans og Aliz vil uansett ikke inneholde tiltenkt informasjon - dette er virus som sprer seg automatisk uten avsenders viten eller vilje. For virus som SirCam og Magistr kan innholdet sågar være filer som slett ikke er tiltenkt noen mottager, men tilfeldig plukket fra "Mine Dokumenter".


*hater at vi rører eposten din
Word-filer som er infiserte kan imidlertid inneholde informasjon men vi har ikke mulighet for å vaske filen (selv om innholdet til en viss grad kunne ekstraheres). Slike virus vil typisk ha navn innledet av W97M/ heller enn  Win32/ og da kan det utvilsomt ha noe for seg å kontakte avsender.


'''All reklame som sendes er ikke nødvendigvis uønsket, iblant rammer mine tiltak mot SPAM også forsendelser folk har bedt om ...'''
Ved å kontakte bs.uib.no kan du reservere deg mot å få disse "recipient notifications" tilsendt.
Også slik epost kan bli stoppet når den inneholder for mange buzz-words og multimillioner $$!
Ta kontakt så burde det være mulig å finne en løsning! Selv om mange "remove-tjenester" er ren bløff, finnes det faktisk ganske mange "spammende lister" det er lett å melde seg av! Og de fleste forstår at å legge mailadressen sin igjen på websider i håp om å vinne en mobiltelefon ikke er særlig lurt?


IT-avdelingen har valgt å satse på mailsystemet [[EXIM]] som har fleksible løsninger og kraftige metoder for å møte problemet. Hver enkelt kan foreta ytterligere filtrering vha  exims innbygde mekanismer.
Ofte er avsenderens adresse forfalsket.
I noen tilfeller er avsenderadressen vilkårlig plukket ut blant de tiltenkte mottagerne, andre ganger er en eller flere bokstaver i adressen forandret eller som for viruset Hybris, er mailen forkledd som en feilmelding med avsender '<>'.


Mer om [[spam]].
I slike tilfeller vil ikke mailserverne forsøke å varsle avsender.


[[Kategori:E-post]]
Men når viruset er kjent for å sende med en korrekt avsender så vil mailserverne varsle avsender med en mail som ser omtrent slik ut:
From: exiscan@uib.no
To: <mailadresse@onilne.no>
Subject: WARNING! Virus detected
 
Your EMail with subject
' some site for you ?! ',
sent to the recipient(s)
 
Fornavn.Etternavn@uib.no
 
contains a virus or other harmful content.
The message has NOT been delivered to the recipients.
Please contact your local support to resolve this issue.

Sideversjonen fra 28. jan. 2010 kl. 17:50


Viktig melding.gif Trenger gjennomgang Denne artikkelen trenger muligens oppdateringer og/eller endringer.

I et par år har mailserverne hatt et visst forsvar mot mailvirus som ILOVEYOU og SirCam. Dette er virus særlig rettet mot Outlook og distribueres som eksekverbare (f.eks .exe, .com og .vbs) vedlegg til mailer sendt fra den infiserte avsendermaskinen.

Fra 3. november 2001 kjøres det fortløpende virussjekking på all mail som passerer mailserverne, denne virussjekken tilsvarer den som utføres på den enkelte PC og Windowsserver og vil også fange macrovirus i Word-filer mm.

Løsningen består av

  • Mailsystemet exim med lokale patcher

Statistikk over stoppede virus

Meldinger som har blitt sjekket for virus og altså er klarert av mailserveren, påføres slike meldingsheadere:

X-checked-clean: by exiscan on alf X-Scanner: 639accbf9a9689f39f9209f426fe0810 http://tjinfo.uib.no/virus.html

Den tiltenkte mottager vil få en mail som viser headerne til virusmailen og forteller hvilket virus som ble funnet. Meldingen vil se omtrent slik ut: From: exiscan@uib.no Subject: NOTIFICATION: Virus stopped

An EMail directed to you, with subject 'Re: et eller annet emne', from <somebody@somewere.net>, contained a virus or other harmful content.

The virus was sent from fep03.swip.net [930.944.199.491] ID: 1692pb-0001Ck-00 Når avsender ER varslet vil mailen til mottageren fortelle: 

            The sender HAS been notified by us.

Når avsender IKKE er varslet vil mailen til mottageren fortelle: 

            Feel free to contact the sender, he/she has NOT been notified by us.

Du trenger ikke å gjøre noe etter mottak av slik melding, viruset er fjernet før det nådde deg!

Ofte vil avsender være ukjent. Det skyldes at noen av virusene har mer utspekulerte metoder enn bare å bruke adresseboken til OutLook når viruset samler inn adresser det vil prøve å spre seg til. F.eks. vil noen virus samle inn mailadresser fra websider, nyhetsgrupper og fra maillister hvor både avsender og mottager er medlemmer

Men iblant vil avsender være kjent og da vil det være vennlig av deg å gi vedkommende beskjed om at hans PC er infisert av virus. De fleste mail-virus sender seg selv til et stort antall adressater uten avsenders viten eller vilje. Meldingene er altså bare til din informasjon! Virus som Hybris og de siste dagers populære Badtrans og Aliz vil uansett ikke inneholde tiltenkt informasjon - dette er virus som sprer seg automatisk uten avsenders viten eller vilje. For virus som SirCam og Magistr kan innholdet sågar være filer som slett ikke er tiltenkt noen mottager, men tilfeldig plukket fra "Mine Dokumenter".

Word-filer som er infiserte kan imidlertid inneholde informasjon men vi har ikke mulighet for å vaske filen (selv om innholdet til en viss grad kunne ekstraheres). Slike virus vil typisk ha navn innledet av W97M/ heller enn Win32/ og da kan det utvilsomt ha noe for seg å kontakte avsender.

Ved å kontakte bs.uib.no kan du reservere deg mot å få disse "recipient notifications" tilsendt.

Ofte er avsenderens adresse forfalsket. I noen tilfeller er avsenderadressen vilkårlig plukket ut blant de tiltenkte mottagerne, andre ganger er en eller flere bokstaver i adressen forandret eller som for viruset Hybris, er mailen forkledd som en feilmelding med avsender '<>'.

I slike tilfeller vil ikke mailserverne forsøke å varsle avsender.

Men når viruset er kjent for å sende med en korrekt avsender så vil mailserverne varsle avsender med en mail som ser omtrent slik ut: From: exiscan@uib.no To: <mailadresse@onilne.no> Subject: WARNING! Virus detected

Your EMail with subject ' some site for you ?! ', sent to the recipient(s)

Fornavn.Etternavn@uib.no

contains a virus or other harmful content. The message has NOT been delivered to the recipients. Please contact your local support to resolve this issue.

Hentet fra «https://it.uib.no/index.php?title=Spamassassin&oldid=2452»