/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
qmail + qmailscanner og virus
Fra : Martin Kiefer


Dato : 25-08-03 19:23

Hej

Jeg har prøvet at installere noget antivirus fra rav.ro men hver gang jeg
for en virus ind af døren er den markeret med en "X-MailScanner: Found to be
clean" Jeg har prøvet at køre en opdatering på antivirus-programmet så det
burde være fuldt opdateret.

Jeg er nemlig ved at være ret træt af at få den samme virus fra den samme
tdc-bruger 3 til 500 gange i døgnet....

Er der forøvrigt en metode til at blokere en bestemt ip-adresse i qmail?

Mvh
Martin Kiefer
www.kiefer.dk



 
 
Martin Kiefer (25-08-2003)
Kommentar
Fra : Martin Kiefer


Dato : 25-08-03 19:42


"Martin Kiefer" <martin@kiefer.dk> skrev i en meddelelse
news:3f4a5347$0$32475$edfadb0f@dread16.news.tele.dk...
>
> Er der forøvrigt en metode til at blokere en bestemt ip-adresse i qmail?
>

Det med blokeringen er ligegyldig nu, jeg kom lige i tanke om at jeg jo bare
kunne sætte en access-liste op i min Cisco 1721 router... sikke en stilhed
der blev

--
Mvh
Martin Kiefer
www.kiefer.dk



Max Andersen (25-08-2003)
Kommentar
Fra : Max Andersen


Dato : 25-08-03 20:36


"Martin Kiefer" <martin@kiefer.dk> skrev i en meddelelse
news:3f4a5347$0$32475$edfadb0f@dread16.news.tele.dk...
> Hej
>
> Jeg har prøvet at installere noget antivirus fra rav.ro men hver gang jeg
> for en virus ind af døren er den markeret med en "X-MailScanner: Found to
be
> clean" Jeg har prøvet at køre en opdatering på antivirus-programmet så det
> burde være fuldt opdateret.
>

det er IKKE qmailscanner der markerer den. teksten er indbygget i virussen
(sobig.f).

> Jeg er nemlig ved at være ret træt af at få den samme virus fra den samme
> tdc-bruger 3 til 500 gange i døgnet....
>

skriv til csirt.dk

> Er der forøvrigt en metode til at blokere en bestemt ip-adresse i qmail?
>

nej, men brug RBL-lister istedet. de opdateres konstant...

Max



Klaus Ellegaard (25-08-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 25-08-03 20:40

"Max Andersen" <max@militant.dk> writes:

>> Jeg er nemlig ved at være ret træt af at få den samme virus fra den samme
>> tdc-bruger 3 til 500 gange i døgnet....

>skriv til csirt.dk

Hvorfor ikke skrive til abuse@post.tele.dk, når det nu er den
adresse, TDC anbefaler til formålet?

| netname: TDC-TELEDANMARK-BREDBAANDSADSL-NET
....
| remarks: If you have any complaints regarding a user from this
| remarks: ip range, please contact abuse@post.tele.dk regarding
| remarks: this issue.

Mvh.
   Klaus.

Martin Kiefer (25-08-2003)
Kommentar
Fra : Martin Kiefer


Dato : 25-08-03 21:49


"Klaus Ellegaard" <klausellegaard@msn.com> skrev i en meddelelse
news:bidoln$mhf$1@katie.ellegaard.dk...
>
> Hvorfor ikke skrive til abuse@post.tele.dk, når det nu er den
> adresse, TDC anbefaler til formålet?

Jeg tror nu at chancen for at få et svar derfra nok er = 0

(Jeg har skam også sendt dem ip-adressen, men jeg tror ikke de reagerer)

--
Mvh
Martin Kiefer
www.kiefer.dk



Claus Alboege (25-08-2003)
Kommentar
Fra : Claus Alboege


Dato : 25-08-03 21:10

"Max Andersen" <max@militant.dk> writes:

> "Martin Kiefer" <martin@kiefer.dk> skrev i en meddelelse
> news:3f4a5347$0$32475$edfadb0f@dread16.news.tele.dk...

>> Er der forøvrigt en metode til at blokere en bestemt ip-adresse i qmail?
>>
>
> nej, men brug RBL-lister istedet. de opdateres konstant...

Det kan goeres med tcpserver/tcprules.

http://cr.yp.to/ucspi-tcp/tcpserver.html


/Claus A

Martin Kiefer (25-08-2003)
Kommentar
Fra : Martin Kiefer


Dato : 25-08-03 21:51


"Claus Alboege" <csa@csa-net.dk> skrev i en meddelelse
news:20030825.221000890682500@csa-net.dk...
>
> http://cr.yp.to/ucspi-tcp/tcpserver.html
>

Lyder interessant, men jeg kan ikke helt greje hvad der skal skrives?

--
Mvh
Martin Kiefer
www.kiefer.dk



Martin Kiefer (25-08-2003)
Kommentar
Fra : Martin Kiefer


Dato : 25-08-03 21:48


"Max Andersen" <max@militant.dk> skrev i en meddelelse
news:3f4a6532$0$97223$edfadb0f@dread12.news.tele.dk...
>
>
> det er IKKE qmailscanner der markerer den. teksten er indbygget i virussen
> (sobig.f).
>

Øh forklaring?

> skriv til csirt.dk
>

tror jeg ikke nytter noget.

> nej, men brug RBL-lister istedet. de opdateres konstant...
>

Tror ikke der kommer virus afsendere på en rbl-liste?

--
Mvh
Martin Kiefer
www.kiefer.dk



Max Andersen (26-08-2003)
Kommentar
Fra : Max Andersen


Dato : 26-08-03 07:30


"Martin Kiefer" <martin@kiefer.dk> wrote in message
news:3f4a753f$0$32455$edfadb0f@dread16.news.tele.dk...
>
> "Max Andersen" <max@militant.dk> skrev i en meddelelse
> news:3f4a6532$0$97223$edfadb0f@dread12.news.tele.dk...
> >
> >
> > det er IKKE qmailscanner der markerer den. teksten er indbygget i
virussen
> > (sobig.f).
> >
>
> Øh forklaring?
>

Vi har stoppet over 23000 vira med vores qmailscanner+f-prot+f-secure, og
selv på de domæner som ikke bliver virusscannet, kommer der mails med den
tekst i headeren. Derved bliver nogle filtre forvirret. Og det var
spammerens 'intent'

> > skriv til csirt.dk
> >
>
> tror jeg ikke nytter noget.
>

Det har nyttet for os, når vi skriver en gang imellem (sjældent skal siges)

> > nej, men brug RBL-lister istedet. de opdateres konstant...
> >
>
> Tror ikke der kommer virus afsendere på en rbl-liste?
>

Det kan du have ret i, men jeg har lige abonneret på
spamsourcesdotfabeldotdk, da de blokerer for 218.93.47.8 som sendte os 21000
vira på 4 dage......

Max



Martin Kiefer (26-08-2003)
Kommentar
Fra : Martin Kiefer


Dato : 26-08-03 09:46


"Max Andersen" <max@militant.dk> wrote in message
news:3f4afe60$0$83046$edfadb0f@dtext01.news.tele.dk...
>
> Vi har stoppet over 23000 vira med vores qmailscanner+f-prot+f-secure, og
> selv på de domæner som ikke bliver virusscannet, kommer der mails med den
> tekst i headeren. Derved bliver nogle filtre forvirret. Og det var
> spammerens 'intent'
>

Ah ok, på den måde.

> Det kan du have ret i, men jeg har lige abonneret på
> spamsourcesdotfabeldotdk, da de blokerer for 218.93.47.8 som sendte os
21000
> vira på 4 dage......
>

Der skal vel være en mail-server før de blokerer?

--
Mvh
Martin Kiefer
www.kiefer.dk



Claus Alboege (25-08-2003)
Kommentar
Fra : Claus Alboege


Dato : 25-08-03 22:39

"Martin Kiefer" <martin@kiefer.dk> writes:

> "Claus Alboege" <csa@csa-net.dk> skrev i en meddelelse
> news:20030825.221000890682500@csa-net.dk...
>>
>> http://cr.yp.to/ucspi-tcp/tcpserver.html
>>
>
> Lyder interessant, men jeg kan ikke helt greje hvad der skal skrives?

Har du laest:

http://cr.yp.to/ucspi-tcp/tcprules.html

Du kan sikkert ogsaa faa lidt inspiration fra:

http://cr.yp.to/qmail/faq/servers.html#authorized-relay

Men ellers er det noget i stil med:

# echo "1.2.3.4:deny" >> /etc/tcp.smtp
# tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp

Tilfoej "-x /etc/tcp.smtp.cdb" til tcpserver i /service/qmail-smtpd/run
og genstart qmail-smtpd. Er den allerede tilfoejet skal qmail-smtpd ikke
genstartes.

Du kan bruge tcprulescheck til at teste med:

% TCPREMOTEIP=1.2.3.4 tcprulescheck /etc/tcp.smtp.cdb
rule 1.2.3.4:
deny connection

% TCPREMOTEIP=1.2.3.5 tcprulescheck /etc/tcp.smtp.cdb
default:
allow connection


/Claus A


Martin Kiefer (26-08-2003)
Kommentar
Fra : Martin Kiefer


Dato : 26-08-03 09:55


"Claus Alboege" <csa@csa-net.dk> wrote in message
news:20030825.233850635501500@csa-net.dk...
>
> # echo "1.2.3.4:deny" >> /etc/tcp.smtp
> # tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp
>

Takker

--
Mvh
Martin Kiefer
www.kiefer.dk



Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408952
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste