Discussioni sul sistema operativo Linux
 

problema con clamax e sanesecurity

Roberto Tagliaferri 7 Mag 2015 15:10
Hola, un cliente mi segnala che non riesce a spedire una email perché gli
segnala un problema (firme di sanesecurity)
L'email è stata inviata da webmail (roundcube) edil sorgente dell'email è
questo

MIME-Version: 1.0
Content-Type: text/plain; charset=US-ASCII;
format=flowed
Content-Transfer-Encoding: 7bit
Date: Thu, 07 May 2015 09:40:11 +0200
From: Del Cortona Srl <info ******* it>
To: info-holidaytuscany <info@yyy.it>
Subject: HAI RAGIONE CHIAMO LUI SCUSA
In-Reply-To: <f90a365fb722e63e9c4d50b463890222@mx.tosnet.it>
References: <bddef1c31c8ea9fa3b749f5044f1ae70 ******* it>
<f90a365fb722e63e9c4d50b463890222@mx.tosnet.it>
Message-ID: <f66cb298215714ed12437c9449414e3f ******* it>
X-Sender: info ******* it
User-Agent: Roundcube Webmail/1.0.2

Il 2015-05-07 09:34 info-yyy ha scritto:
> ma come sei rimasta ieri co parisi????????
>
>
>
> Il 7.5.2015 08:26 AAA Srl ha scritto:
>>



La risposta del server è

This is the mail system at host imap.tosnet.it.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<info@holidaytuscany.it>: host smtp.yyy.it[91.102.48.7] said: 550
5.7.1 message is INFECTED with Sanesecurity.Junk.3589.UNOFFICIAL (in
reply
to end of DATA command)

Reporting-MTA: dns; imap.tosnet.it
X-Postfix-Queue-ID: 9A8CD40057
X-Postfix-Sender: rfc822; info ******* it
Arrival-Date: Thu, 7 May 2015 09:40:11 +0200 (CEST)

Final-Recipient: rfc822; info@yyy.it
Original-Recipient: rfc822;info@yyy.it
Action: failed
Status: 5.7.1
Remote-MTA: dns; smtp.yyy.it
Diagnostic-Code: smtp; 550 5.7.1 message is INFECTED with
Sanesecurity.Junk.3589.UNOFFICIAL


Entrambi i server sono da me gestiti (in effetti sono nella stessa rete) e
clamav viene invocato tramite milter sul server mx.tosnet.it (quindi le
forme son le stesse).
La cosa che mi perplime assai è che nella configurazione di milter ho:

milter-clamc-to:abuse@ OK

ma se mando la stessa email ad abuse@tosnet.it ho comunque un 505 con la
stessa motivazione.
Dove trovo cosa è la junk.3589 ?

--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu
Skull 7 Mag 2015 17:18
On 07/05/15 15:10, Roberto Tagliaferri wrote:

> La cosa che mi perplime assai è che nella configurazione di milter ho:
>
> milter-clamc-to:abuse@ OK

Non credo che questa sia una sintassi valida, a dire il vero, ma ammetto
che non uso più da diversi anni...

In caso suggerisco riferirsi all'apposita ML.

> ma se mando la stessa email ad abuse@tosnet.it ho comunque un 505 con la
> stessa motivazione.
> Dove trovo cosa è la junk.3589 ?


skull@randi:/var/lib/clamav$ grep 'Junk\.3589:' junk.ndb
Sanesecurity.Junk.3589:4:*:3a204841492052


L'ultimo campo è la rappresentazione HEX della stringa da matchare. Che
si traduce quindi in:

skull@randi:/var/lib/clamav$ echo -en 3a204841492052 | xxd -r -p ; echo
: HAI R


Matcha giusto giusto il Subject ^_^
Roberto Tagliaferri 7 Mag 2015 18:29
Skull wrote:

> On 07/05/15 15:10, Roberto Tagliaferri wrote:
>
>> La cosa che mi perplime assai è che nella configurazione di milter ho:
>>
>> milter-clamc-to:abuse@ OK
>
> Non credo che questa sia una sintassi valida, a dire il vero, ma ammetto
> che non uso più da diversi anni...
>
> In caso suggerisco riferirsi all'apposita ML.
>
ok.. è da una vita che c'è quel valore ma forse han cambiato qualcosa-

>> ma se mando la stessa email ad abuse@tosnet.it ho comunque un 505 con la
>> stessa motivazione.
>> Dove trovo cosa è la junk.3589 ?
>
>
> skull@randi:/var/lib/clamav$ grep 'Junk\.3589:' junk.ndb
> Sanesecurity.Junk.3589:4:*:3a204841492052
>
>
> L'ultimo campo è la rappresentazione HEX della stringa da matchare. Che
> si traduce quindi in:
>
> skull@randi:/var/lib/clamav$ echo -en 3a204841492052 | xxd -r -p ; echo
> : HAI R
>
>
> Matcha giusto giusto il Subject ^_^
.... quindi questa firma fa un match su HAI R ?
Non è un po' "poco" come firma?

Mi sa che avrò qualche falso positivo

--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu
Skull 7 Mag 2015 20:57
On 07/05/15 18:29, Roberto Tagliaferri wrote:

> .... quindi questa firma fa un match su HAI R ?

Per la precisione su ": HAI R"

> Non è un po' "poco" come firma?

Sicuro. Anche se visto l'ID della stessa mi sa che è lì da parecchio...

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sul sistema operativo Linux | Tutti i gruppi | it.comp.os.linux.sys | Notizie e discussioni linux | Linux Mobile | Servizio di consultazione news.