Martin Falley schrieb:
Am Sonntag, 14. März 2004 17:34 kritzelte Rolf Masfelder: [...]
Wer sagt, das die Mails über die Liste bei Suse laufen? Warum soll der Virus sich nicht als suse ( Liste ) ausgeben und die verseuchten Mails direkt !! an die verfügbaren email-Adressen versenden?
Könnte er so machen. Dann dürfte die Mail aber nicht bei allen Listenmitgliedern ankommen. Man sollte es dann auch leicht an den Received-Headern feststellen können. Der SuSE-Listserver dürfte dann nicht darin auftauchen.
Dann müßte er nach meinem Verständnis an alle Mitgieder der Liste eine Mail gesendet und sich die entsprechenden Adressen aus dem Archiv besorgt haben. Das würde aber bedeuten, daß jemand, der noch nie eine Mail an die Liste geschrieben hat (also auch nicht im Archiv auftaucht) keine solche Virusmail bekommen haben dürfte.
Die Mail sollte nur dann an alle Listenmitglieder gehen, wenn der (gefälschte) Absender Listenmitglied ist und die Empfängeradresse die Listenadresse ist.
Auf Basis der Mails kann man kaum zurückverfolgen wo das teil wirklich her kam ...
Das steht im Header der Mail, die bei mir ankam:
Received: from [195.135.221.131] (helo=lists.suse.com) by mxng11.kundenserver.de with smtp (Exim 3.35 #1) id 1B1tty-0004YA-00 for mailingliste@ebf.biz; Fri, 12 Mar 2004 22:09:06 +0100
Die kam wohl eindeutig vom Listserver (195.135.221.131 = lists.suse.com). Habe sie auch erhalten.
[...] Was ich noch nicht beantwortet bekommen habe: Wieso läßt SUSE (wieder) Nicht-Text-Anhänge und HTML zu?
Wird vielleicht etwas aufwendig, bei den ganzen Multipart-MIME-Bodies zu entscheiden welche durchgelassen werden sollen und welche nicht. Hier geistert so einiges an Signaturen herum. Könnte sein daß man das unterstützen möchte. Ob das Sinn machte, sei mal dahingestellt. -- Viele Grüße, Alex