大家有沒有收到此病毒郵件?一小時居然有几千封...

yzhkp

我也收到了
This_is_an_automatically_generated_Delivery_Status_Notification.

SMTP_Error_[]
I'm_afraid_I_wasn't_able_to_deliver_your_message.
This_is_a_permanent_error;_I've_given_up._Sorry_it_didn't_work_out.

The_full_mail-text_and_header_is_attached!

这样的邮件。我的服务器使用了rbl+列表，但是也无效。很有可能是先突破rbl+而后，有人执行了里面的附件，而后全网爆发的。我现在收到的垃圾邮件全是内网发的。

枫影谁用了

原帖由 思一克 于 2005-11-24 17:16 发表
iptables 怎能过滤zip 文件?

你的SERVER需要好好整理了.这样的是不行的.

有的！layer7

枫影谁用了

原帖由 yzhkp 于 2005-11-24 17:31 发表
我也收到了
This_is_an_automatically_generated_Delivery_Status_Notification.

SMTP_Error_[]
I'm_afraid_I_wasn't_able_to_deliver_your_message.
This_is_a_permanent_error;_I've_given_up._Sorry_it_ ...

幸運的是我的內網用戶沒有打開並運行這樣的附件.現在我用layer7過濾,不過好像不怎麽理想.

好像和編碼有關系.

wxxszzz

如果是在QMAIL下使用ClamAV杀毒软件
使用他的一个辅助插件 clamdmail 的插件.
每一个使用25端口进入邮件服务器的邮件,只要有附件,先杀毒,
如果有毒就拒收,
实际就是
qmail+clamdmail

而clamdmail包含
clamav及spamassassin

有病毒的邮件直接拒绝,
而垃圾邮件则只是在主题上打上标记而已.
你可以让使用你的邮件服务器的人在客端使用签名机制
然后让spamassassin直接判断是否有签名,有的话就不是垃圾邮件啦.

hzqbbc

原帖由 abel 于 2005-11-24 13:52 发表
就這樣收到吐血而死,而不能做任何的避免動作 ?
例如 Load Average  , Rate Control , iptables , firewall ?

呵呵，楼上遇到这个问题的朋友 要实现这些，有不少困难哦。

其实iptables 装个ipt_connlimit补丁，限制一下25端口的单ip tcp并发数，以及频率限制，就可以解决不少问题。还有很多办法。只是看有没有能力实现了。

枫影谁用了

............
[32049:7233238] -A INPUT -s 219.133.237.115 -j DROP
[314203:19312744] -A INPUT -s 218.12.171.40 -j DROP
[7050:338404] -A INPUT -s 198.81.129.100 -j DROP
[42:2016] -A INPUT -s 211.196.154.97 -j DROP
[18:1080] -A INPUT -s 211.196.154.95 -j DROP
............

今天 早上用iptables-save -c 看到的情况。看来那些人昨天晚上又发动规模更大的攻击，相当一部分给档了。
昨天服务器接收的邮件突破12000封。。。。

ilovecr

拜托，。。
   先杀毒。在anti-spam.
   你这个流程。。比较特殊。

原帖由 思一克 于 2005-11-24 14:07 发表
To Abel,

不会阵亡的. 我的SERVER们就是单机上的ANTI-VIRUS.

如果ANTI-SPAM等做的好,ANTI-VIRUS几乎没有什么事做. 每天扫出的VIRUS不超过10个,而进入的SMTP连接有数万,到10万(我没有精确统计)

思一克

To ilovecr,

你认为次序是你说的那样？

abel

原帖由 思一克 于 2005-11-25 12:52 发表
To ilovecr,

你认为次序是你说的那样？

我也這麼認為,
virus 是 pattern match ,
spam 是 content filter , 還因為不同的 anti spam model (評分,貝氐演算,統計,RBL 等) 行為影響

所佔的 loading , anti spam 要重的多的
是毒,很明確的 drop 也不用 spam filter
是 spam 這個就很不明確了,也不可能你說他是 spam 就一定是 spam, 你說他不是 spam 就不是spam, 大多還是做個標記,再 pass  給 anti-virus 作業,如此就是兩次處理了

思一克

To Abel,

ANTI-SPAM 不只是PATTERN MATCH，甚至主要不是。
先根据连入者行为信息判断（这时还没有CONTENT），就可以将90%的SPAM拒之门外。剩的小部分在PATTERN。

而病毒邮件，95%符合行为不规范的范围，所以我说ANTI-SPAM搞的好，ANTI-VIRUS就没有什么负担。

凡是将进入邮件先ANTI-VIRUS， 再ANTI-SPAM的 邮件GATEWAY， （XXX-WALL）等东西（有的是商业的，我不说名字了），一律都不好用。扔掉吧。