Une question sur amavis

[Keskiveu]

Je viens de monter un antivirus sur le serveur de messagerie du taf (antivirus ClamAV sur messagerie Postfix), ça a l'air de bien tourner: depuis hier soir un seul virus est passé, contre un centaine d'habitude. Sur le lan pas de problème. Par contre il y a quand même un petit problème gêneant pour les mails venant de l'extérieur: l'expéditeur du message infecté n'est pas notifié par amavis que son message n'a pas été délivré. C'est pas terrible si la personne ne sait pas qu'elle est infectée et attend une réponse à son message qui n'arrivera jamais à bon port... Je pensais à un erreur de configuration dans amavisd.conf, pourtant il y a quand même un (et un seul) "virus" avec lequel ça fonctionne: eicar. Comment se fait-il que amavis envoie des notifications pour eicar et pas pour les vrais virus

 

PS: le compte virus-admin, qui se trouve sur le lan, est bien notifié, lui.

[KewlCat]

Etant donné que les champs "expéditeur" sont très souvents forgés, je doute de l'interêt de notifier l'expéditeur que son mail contenait un virus.

Le seul moyen efficace de lutter contre les virus, c'est de virer les pièces jointes infectées et de laisser le destinataire se débrouiller avec l'expéditeur s'il attendait réellement un mail de lui avec une vraie pièce jointe.

 

Pour le reste, je n'ai jamais utilisé amavis donc je ne pourrai pas répondre.

C'était juste pour dire que j'en avais marre de recevoir des notifications de non-distribution de courriers que je n'ai jamais envoyés...

[Keskiveu]

Je crois que j'ai la réponse. Je viens de tomber là dessus dans le fichier de config de amavis:

# Treat envelope sender address as unreliable and don't send sender
# notification / bounces if name(s) of detected virus(es) match the list.
# Note that virus names are supplied by external virus scanner(s) and are
# not standardized, so virus names may need to be adjusted.
# See README.lookups for syntax, check also README.policy-on-notifications
#
$viruses_that_fake_sender_re = new_RE(
 qr'nimda|hybris|klez|bugbear|yaha|braid|sobig|fizzer|palyh|peido|holar'i,
 qr'tanatos|lentin|bridex|mimail|trojan\.dropper|dumaru|parite|spaces'i,
 qr'dloader|galil|gibe|swen|netwatch|bics|sbrowse|sober|rox|val(hal)?la'i,
 qr'frethem|sircam|be?agle|tanx|mydoom|novarg|shimg|netsky|somefool|moodown'i,
 qr'@mm|@MM',    # mass mailing viruses as labeled by f-prot and uvscan
 qr'Worm'i,      # worms as labeled by ClamAV, Kaspersky, etc
 [qr'^(EICAR|Joke\.|Junk\.)'i         => 0],
 [qr'^(WM97|OF97|W95/CIH-|JS/Fort)'i  => 0],
 [qr/.*/ => 1],  # true by default  (remove or comment-out if undesired)
);

Ce qui résoud le problème des faux champs expéditeur

 

C'était juste pour dire que j'en avais marre de recevoir des notifications de non-distribution de courriers que je n'ai jamais envoyés...]

Justement je me demandais d'où pouvaient bien venir toutes les notifications de non distribution que je reçois aussi...

Modifié le 27 avril 2004 par Keskiveu

[KewlCat]

Cherche pas...

 

Le pire dans tout ça, c'est les serveurs qui non content de te renvoyer le mail que tu n'as pas envoyé, te refilent en prime la pièce jointe vérolée !

[Keskiveu]

Mais où ils trouvent ton adresse ces virus? Dans les contacts des machines infectées? Il faut bien qu'ils aillent la chercher quelque par pour la mettre à la place de la bonne

[KewlCat]

Oui, dans les carnets d'adresses des personnes infectées (enfin, on dit "carnet d'adresses" mais y'en a qques uns qui ne se gènent pas pour fouiller les fichiers du disque à la recherche d'une adresse potentielle...)