spamassassin ham und spam gelehrt - und nun?
Moin, spamassassin kan in der aktuellen Version (ja, ist drauf) doch auch über diesen baydingsdafilter Spam ausfiltern, wenn man ihn vorher fleissig anlernt. Ich habe sa-lern einige hundert spammails lernen lassen, ebenso einige hundert ham-mails. Im Web habe ich gelesen, daß er ab je 200 Stück anfängt, seine Pflicht zu tun. Die Quote habe ich übererfüllt. Frage: Woran sehe ich, ob spamassassin das wirklich tut? Ich habe den Eindruck, daß nur die "normalen" Filter arbeiten, nicht aber der bayesdingsda. Frage2: Meines Erachtens legt das Teil "nach Fütterung" selbsttätig los, ohne daß man es aktivieren müsste. Oder? Die Doku ist ist diesbezüglich grauselig... GRuß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Joerg Rossdeutscher wrote: [...]
Woran sehe ich, ob spamassassin das wirklich tut? Ich habe den Eindruck, daß nur die "normalen" Filter arbeiten, nicht aber der bayesdingsda.
Im Header sieht man das. Hier ein Headerauszug Deiner Mail an die Liste: -- |X-Spam-Status: No, hits=-7.6 required=5.1 | tests=BAYES_01,PGP_SIGNATURE_2 | autolearn=ham version=2.55 -- Wenn Bayes seine Arbeit tut, dann steht bei "tests" immer Bayes_XX.
Frage2: Meines Erachtens legt das Teil "nach Fütterung" selbsttätig los, ohne daß man es aktivieren müsste. Oder?
Ja, ist default.
Die Doku ist ist diesbezüglich grauselig...
Jein, man Mail::SpamAssassin::Conf MfG Benn -- #250319 - http://counter.li.org
Moin, Am Fre, 2003-06-06 um 21.30 schrieb Bernd Schmelter:
Joerg Rossdeutscher wrote:
Woran sehe ich, ob spamassassin das wirklich tut? Ich habe den Eindruck, daß nur die "normalen" Filter arbeiten, nicht aber der bayesdingsda.
Im Header sieht man das. Hier ein Headerauszug Deiner Mail an die Liste:
-- |X-Spam-Status: No, hits=-7.6 required=5.1 | tests=BAYES_01,PGP_SIGNATURE_2 | autolearn=ham version=2.55 --
Wenn Bayes seine Arbeit tut, dann steht bei "tests" immer Bayes_XX.
Dann hatte ich mit meiner Befürchtung recht. In deiner Mail steht nur: X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp) In einer Spam-Mail stehen ordnungsgemäß die Gründe, warum die Mail identifiziert wurde, es sind aber nur die "normalen" Kriterien wie HTML, Erwähnung kleiner Sauereien und so. Hmmm... kann meine lokale Config was damit zu tun haben? Meine ~/.spamassassin/user_prefs enthält eigentlich nur ein paar Worterweiterungen für (bzw. gegen) deutsche Pornowerbung. Meine /etc/mail/spamassassin/local.cf enthält: rewrite_subject 0 fold_headers 0 always_add_headers 0 report_safe 0 use_bayes 1 (Du ich außerhalb von Mailinglisten auch HTML-Mail bekomme und auch nix dagegen habe [animierte Weihnachtgrüße von Outlook-nutzenden Freunden und so]) habe ich mir das so geändert, daß HTML nicht zerlegt wird, ansonsten ist da ja nix aufregendes verstellt... Und die Wortlisten scheinen ja auch prall gefüllt: ratti@server:~/.spamassassin> ls -lah total 6.3M drwx------ 2 ratti users 208 Jun 7 09:33 . drwxr-xr-x 14 ratti users 1.4K Jun 7 09:33 .. -rw------- 1 ratti users 704K Jun 7 09:33 bayes_journal -rw------- 1 ratti users 836 Jun 7 09:33 bayes_msgcount -rw------- 1 ratti users 2.4M Jun 7 09:33 bayes_seen -rw------- 1 ratti users 5.1M Jun 7 09:33 bayes_toks -rw------- 1 ratti users 1.5K May 29 20:49 user_prefs Hmmm.... Grunz.
Die Doku ist ist diesbezüglich grauselig...
Jein, man Mail::SpamAssassin::Conf
Die meinte ich. :-) Sie ist grauslich bezüglich des selbstlernenden Filters. Die "normalen" Filter sind schön erklärt, aber dieser Lern-Teil ist dokumässig ein schwarzes Loch. Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Aaaaaaah!!!!!! Am Sam, 2003-06-07 um 09.52 schrieb Joerg Rossdeutscher:
Meine ~/.spamassassin/user_prefs enthält eigentlich nur ein paar Worterweiterungen für (bzw. gegen) deutsche P*rnowerbung.
Schrieb ich. Ohne das "*". Daraufhin bekam ich: Absender: mailpolice@br-automation.com BR Mailserver: Your mail was not delivered Possible problems: whether the recieved/sent mail was infected by a virus, or the mail contained illegal words If you have further questions, please contact your system administrator. Violation Information: The body violated the content filtering rule finds the text P*rno. No attempt was made to repair. Ich finde, da der Absender wohl ein Daemon ist, keinen Ansprechpartner, den ich bitten könnte, diesen Sche*ss auszustellen oder sich eine andere Mailadresse zu besorgen. Wenn das jeder machen würde, bekäme ich bei jeder Diskussion über Spamfilter 5000 Bounces pro Mail. Gaaah! Ich habe im obgen Text das "böse Wort" mit einem "*" maskiert, damit derjenige welcher diese Mail erhält. Gruß, Ratti (Der gerne gewusst hätte, was an Zeitungen mit nackten Menschen drin "illegal" ist...) -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
*** Joerg Rossdeutscher (ratti@gesindel.de) schrieb in suse-linux heute:
[...] Ich finde, da der Absender wohl ein Daemon ist, keinen Ansprechpartner, den ich bitten könnte, diesen Sche*ss auszustellen oder sich eine andere Mailadresse zu besorgen. Wenn das jeder machen würde, bekäme ich bei jeder Diskussion über Spamfilter 5000 Bounces pro Mail. Gaaah!
Hallo Jörg. Du kennst das Spiel mit "whois"? MfG Henning -- Alle unsere Unixkisten wurden hingestellt und laufen. Bei Windows läuft vor allem der Mensch, der versuchen darf, das Zeug in Gang zu halten. [Jens Dittmar in dca]
Am Sam, 2003-06-07 um 11.35 schrieb Henning Hucke:
*** Joerg Rossdeutscher (ratti@gesindel.de) schrieb in suse-linux heute:
Ich finde, da der Absender wohl ein Daemon ist, keinen Ansprechpartner, den ich bitten könnte, diesen Sche*ss auszustellen oder sich eine andere Mailadresse zu besorgen. Wenn das jeder machen würde, bekäme ich bei jeder Diskussion über Spamfilter 5000 Bounces pro Mail. Gaaah!
Hallo Jörg.
Du kennst das Spiel mit "whois"?
Klar, aber bevor ich den Postmaster anschreibe und mir die Mühe mache, auch noch alles in Englisch zu schreiben (und in eine Grundsatzdiskussion verwickelt werde, daß P*rnos uns alle umbringen werden und Rückenmarkschwindsucht verursachen) ist der Weg über die Liste erstmal einfacher. Betrachte es als eine Kolumne "Absurdes aus dem Internet". :-) Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Hallo,
* Joerg Rossdeutscher
Violation Information: The body violated the content filtering rule finds the text P*rno. No attempt was made to repair.
Let's play bible-buzzword. :) ,---- | | Isaiah 60 | | 16 Thou shalt also suck the milk of the Gentiles, and shalt suck the | breast of kings: and thou shalt know that I the LORD am thy Saviour and thy | Redeemer, the mighty One of Jacob. | | | Ezekiel 16 | | 28 Thou hast played the whore also with the Assyrians, because thou | wast unsatiable; yea, thou hast played the harlot with them, and yet couldest | not be satisfied. | | Lamentations 4 | | 6 For the punishment of the iniquity of the daughter of my people is | greater than the punishment of the sin of Sodom, that was overthrown as in a | moment, and no hands stayed on her. `---- Gruss, Andreas
Hallo Ratti, On Sat, Jun 07, 2003 at 10:56:26AM +0200, Joerg Rossdeutscher wrote:
Am Sam, 2003-06-07 um 09.52 schrieb Joerg Rossdeutscher:
Meine ~/.spamassassin/user_prefs enthält eigentlich nur ein paar Worterweiterungen für (bzw. gegen) deutsche P*rnowerbung.
Ich finde, da der Absender wohl ein Daemon ist, keinen Ansprechpartner, den ich bitten könnte, diesen Sche*ss auszustellen oder sich eine andere Mailadresse zu besorgen. Wenn das jeder machen würde, bekäme ich bei jeder Diskussion über Spamfilter 5000 Bounces pro Mail. Gaaah!
Ich habe im obgen Text das "böse Wort" mit einem "*" maskiert, damit derjenige welcher diese Mail erhält.
Der einzige (aktive) User von dieser Domain ist Petros.Stavrakakis@br-automation.com vielleicht sollten wir dem alle mal 'ne Mail schicken mit einem Danke für die Bounces (meine sig mag er irgendwie auch nicht *g*) Greetings Daniel PS: Meine eicar.com sig kam interessanterweise nicht zurück *lol* -- Fighting for peace is like fscking for virginity!
* Daniel Lord textete am 09.06.03:
On Sat, Jun 07, 2003 at 10:56:26AM +0200, Joerg Rossdeutscher wrote:
Am Sam, 2003-06-07 um 09.52 schrieb Joerg Rossdeutscher:
Meine ~/.spamassassin/user_prefs enthält eigentlich nur ein paar Worterweiterungen für (bzw. gegen) deutsche P*rnowerbung.
Ich finde, da der Absender wohl ein Daemon ist, keinen Ansprechpartner, den ich bitten könnte, diesen Sche*ss auszustellen oder sich eine andere Mailadresse zu besorgen. Wenn das jeder machen würde, bekäme ich bei jeder Diskussion über Spamfilter 5000 Bounces pro Mail. Gaaah!
Ich habe im obgen Text das "böse Wort" mit einem "*" maskiert, damit derjenige welcher diese Mail erhält.
Der einzige (aktive) User von dieser Domain ist
Petros.Stavrakakis@br-automation.com
vielleicht sollten wir dem alle mal 'ne Mail schicken mit einem Danke für die Bounces (meine sig mag er irgendwie auch nicht *g*)
Hm, meine Header werden wohl nicht analysiert...
Greetings Daniel
PS: Meine eicar.com sig kam interessanterweise nicht zurück *lol*
Was passiert bei ILOVEYOU? flo --
So lange du mich nicht Gildo Horn nennst. Aber Guildo ist doch ok, oder? Hallo Guildo! Aus jetzt! Schluss! Pfui! Platz! [Christopher Splinter und WoKo in dag°]
Florian Gross schrieb:
[...] Was passiert bei ILOVEYOU?
So einen Schrott (und andere gefakte Signaturviren o.ae.) schickt man nicht an die Liste, und wenn man es doch tut, dann muss man halt mit den Bounces leben. Ich finde das Verhalten derjenigen, die so etwas schicken, ziemlich da- neben. Es war einmal ein lustiger Gag, inzwischen hat sich das aber totgelaufen. Man sollte vielleicht auch mal be- denken, dass nicht jeder Subscriber hier Einfluss auf Vi- renscanner unterwegs hat - dass solche Virenscanner buggy sind, wenn sie auf Signaturviren hereinfallen, steht ausser Frage. Die Uni KA setzt ebenfalls einen Virenscanner ein, und auf dessen Konfiguration habe ich keinen Einfluss. Ge- rade vor einigen Tagen habe ich wieder eine Nachricht vom SuSE-Mailserver bekommen, dass einige Mails an mich nicht zustellbar waren, genau wegen dem Problem. Der Absender der Mails ist mir bekannt, aber er laesst von diesen zwei- felhaften Spaessen nicht ab, obwohl ich schon mal darauf hingewiesen habe. CU, Thomson
Am Mon, 2003-06-09 um 20.02 schrieb Thomas Hertweck:
Florian Gross schrieb:
Was passiert bei ILOVEYOU?
neben. Es war einmal ein lustiger Gag, inzwischen hat sich das aber totgelaufen. Man sollte vielleicht auch mal be- denken, dass nicht jeder Subscriber hier Einfluss auf Vi- renscanner unterwegs hat - dass solche Virenscanner buggy sind, wenn sie auf Signaturviren hereinfallen, steht ausser
Auch wenn ich verstehe, daß du darüber nicht glücklich bist - ich habe vollstes Verständnis für den Versender solcher Signaturen. Es ist das einzige Druckmittel, daß Netzuser haben auf Scharchmins, die ihren Schrott nicht upgedatet kriegen. Dann muß eben noch mehr Post verloren gehen, bis es mal die vom Chef ist, dann passiert vielleicht mal was. Übrigens: Herumfummelnde Provider sind der Grund dafür, daß ich meine Mails signiere. Sobald mein Provider auch nur ein Bit an meiner Post kippelt, wasch ich ihm den Kopf. Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Joerg Rossdeutscher schrieb:
[...] Auch wenn ich verstehe, daß du darüber nicht glücklich bist - ich habe vollstes Verständnis für den Versender solcher Signaturen. Es ist das einzige Druckmittel, daß Netzuser haben auf Scharchmins, die ihren Schrott nicht upgedatet kriegen. Dann muß eben noch mehr Post verloren gehen, bis es mal die vom Chef ist, dann passiert vielleicht mal was.
Das ist garantiert kein Druckmittel - so etwas zu behaupten ist IMHO ein Schutzargument und ein fadenscheiniger Rechtfertigungs- versuch fuer das Durchfuehren und Versenden dieser Spielchen... Fuer so etwas habe ich kein Verstaendnis. Wenn man das Argument naemlich konsequent verfolgt, dann kann man auch sagen, jeder Spammer ist ja nur da, den schnarchenden Admins mal zu zeigen, dass ihre offenen Relays mal abgeschaltet gehoeren. Ist im Prin- zip das Gleiche. Oder man versende nur noch Mails mit boesem Javascript Inhalt, um den Programmierern einiger MUAs mal zu zeigen, wie dumm manche ihrer Software ist. Ist dann im Prinzip auch ein Druckmittel, nur geht es auf Kosten der Anwender. Ne, fuer solche Sachen habe ich ehrlich gesagt kein Verstaendnis, irgendwo muss man mal eine Grenze ziehen. Man kann nicht jede Massnahme mit einem gut gemeinten Hintergrund rechtfertigen.
Übrigens: Herumfummelnde Provider sind der Grund dafür, daß ich meine Mails signiere. Sobald mein Provider auch nur ein Bit an meiner Post kippelt, wasch ich ihm den Kopf.
Um das geht es hier nicht. Der Provider oder Betreiber hat die Mails ja nicht geaendert, diese Diskussion hier fortzufuehren waere sinnlos. Das wurde auf suse-etikette lange genug gemacht. Alles natuerlich meine persoenliche Meinung... Gruesse, Thomson
Am Mon, 2003-06-09 um 21.39 schrieb Thomas Hertweck:
Joerg Rossdeutscher schrieb:
[...] Auch wenn ich verstehe, daß du darüber nicht glücklich bist - ich habe vollstes Verständnis für den Versender solcher Signaturen. Es ist das einzige Druckmittel, daß Netzuser haben auf Scharchmins, die ihren Schrott nicht upgedatet kriegen. Dann muß eben noch mehr Post verloren gehen, bis es mal die vom Chef ist, dann passiert vielleicht mal was.
Das ist garantiert kein Druckmittel - so etwas zu behaupten ist IMHO ein Schutzargument und ein fadenscheiniger Rechtfertigungs- versuch fuer das Durchfuehren und Versenden dieser Spielchen... Fuer so etwas habe ich kein Verstaendnis. Wenn man das Argument naemlich konsequent verfolgt, dann kann man auch sagen, jeder Spammer ist ja nur da, den schnarchenden Admins mal zu zeigen, dass ihre offenen Relays mal abgeschaltet gehoeren.
Spammen richtet Schaden an, das ist nicht das gleiche. Vergleichbar wäre es, den entsprechenden Server mal 'n bisschen anzuwärmen, indem man ihn bei Blacklists für offene Relais anschwärzt. DEr dadurch entstehende Schaden ist "angemessen", "verdient", oder wie man's nennen mag.
Übrigens: Herumfummelnde Provider sind der Grund dafür, daß ich meine Mails signiere. Sobald mein Provider auch nur ein Bit an meiner Post kippelt, wasch ich ihm den Kopf.
Um das geht es hier nicht. Der Provider oder Betreiber hat die Mails ja nicht geaendert, diese Diskussion hier fortzufuehren waere sinnlos. Das wurde auf suse-etikette lange genug gemacht.
Da war ich wohl schneller mit dem Denken als mit dem Schreiben. Gemeint war: Inzwischen wird vermehrt Antiviren-Software auf Mailserver aufgespielt. Ich möchte nicht, daß ein Virenscanner an meinem Mails rumfummelt. Das gleiche gilt für böse-Worte-Filter und dergleichen. Sowas fürchte ich deutlich mehr, als daß ein gelangweilter Sysadmin meine noch langweiligeren Mails lesen könnte. Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Joerg Rossdeutscher schrieb:
[...] Spammen richtet Schaden an, das ist nicht das gleiche. Vergleichbar wäre es, den entsprechenden Server mal 'n bisschen anzuwärmen, indem man ihn bei Blacklists für offene Relais anschwärzt. DEr dadurch entstehende Schaden ist "angemessen", "verdient", oder wie man's nennen mag.
Fuer mich sieht das so aus, als ob hier mal wieder ein Kampf gegen eine Unsitte (falsche Virenscanner) auf Kosten der Anwender ausgefuehrt wird, wenn man solche Viren-Fakes verschickt. Insofern habe ich Schaden da- von, denn ich kann am Einsatz des Scanners im Rechen- zentrum hier (andere Baustelle, Du weisst ja, da ist die Mailserver-Abteilung dran) nichts aendern. Ein korrektes Vorgehen waere IMHO, eine Mail an den Post- master zu schicken, wenn Mails aufgrund falscher Vi- renwarnungen oder Bose-Worte-Filter abgelehnt werden. So wie ich Schaden habe, dass ich Spam-Emails bekomme, genau so habe ich einen potentiellen Schaden, wenn ich durch Viren-Fakes Emails nicht bekomme - ich kann an beiden Dingen nichts aendern, um im zweiten Falle ist ja reiner Sarkasmus des Senders daran Schuld. In mei- nen Augen ein seeeehr zweifelhaftes Vorgehen. Ich glau- be ehrlich gesagt auch nicht, dass die meisten Sender solche Gedanken haben wie Du; ich denke vielmehr, dass Martin da Recht hat und es aus reiner Schadenfreude ge- macht wird.
[...] Da war ich wohl schneller mit dem Denken als mit dem Schreiben. Gemeint war: Inzwischen wird vermehrt Antiviren-Software auf Mailserver aufgespielt. Ich möchte nicht, daß ein Virenscanner an meinem Mails rumfummelt. Das gleiche gilt für böse-Worte-Filter und dergleichen.
Von Boese-Worte-Filter halte ich rein gar nichts. Viren- scanner haben sicher ihre Daseinsberechtigung, und es waere ja durchaus moeglich, dass Du Viren verschickst, das kann der Scanner ja nicht vorher wissen. Virenscan- ner veraendern ja auch nicht den Inhalt Deiner Mail, ausser evtl. das Entfernen gefaehrlicher Anhaenge - dafuer wurden sie aber ja konzipiert. Ich sehe da also keinen wirklichen Zusammenhang zwischen Virenscannern und dem Rumfummeln an Mails und dem daraus resultieren- den Schluss zum Signieren. Gruesse, Thomson
Joerg Rossdeutscher schrieb am Monday, June 09, 2003 9:22 PM: Hi Ratti
Am Mon, 2003-06-09 um 20.02 schrieb Thomas Hertweck:
Florian Gross schrieb:
Was passiert bei ILOVEYOU?
neben. Es war einmal ein lustiger Gag, inzwischen hat sich das aber totgelaufen. Man sollte vielleicht auch mal be- denken, dass nicht jeder Subscriber hier Einfluss auf Vi- renscanner unterwegs hat - dass solche Virenscanner buggy sind, wenn sie auf Signaturviren hereinfallen, steht ausser
Auch wenn ich verstehe, daß du darüber nicht glücklich bist - ich habe vollstes Verständnis für den Versender solcher Signaturen. Es ist das einzige Druckmittel, daß Netzuser haben auf Scharchmins, die ihren Schrott nicht upgedatet kriegen.
Nicht jedes Update und nicht jeder Patch sind sinnvoll und notwendig oder richtig. Mitunter fängt man sich mit solchen Geschichten auch mal Sachen ein, die man gar nicht wollte.
Dann muß eben noch mehr Post verloren gehen, bis es mal die vom Chef ist, dann passiert vielleicht mal was.
Bei echten Virenanhängen ist das ja auch richtig und nicht weiter tragisch, wenn der Anhang fehlt. Solche Virenmails sollten dem Ab- sender zurückgeschickt werdern und wenn die Rücksendung einmal bounced, wird die Mail gelöscht. Fertig. Aber bei gefakten Mails wäre es doch schade, wenn diese aus Dusseligkeit oder schulmeister- lichem Verhalten des Absenders verlorengeht.
Übrigens: Herumfummelnde Provider sind der Grund dafür, daß ich
meine
Mails signiere. Sobald mein Provider auch nur ein Bit an meiner Post kippelt, wasch ich ihm den Kopf.
Wann hast Du denn das letzte mal festgestellt, daß Dein Provider an Deinen Bits dreht und ihm dafür den Kopf gewaschen? Und vor Allem, wie willst Du das feststellen, wenn Du jede Mail signierst? Hier für die Liste kannste das getrost abstellen. Es ist nicht so wichtig, ob da ein Bit sorum oder andersrum ankommt. Hauptsahe, der Inhalt ist nicht sinnentstellt. Gruß Martin -- Ich lösche ungelesen alle PMs aus der Liste und beantworte danach keine weitere Fragen.
Martin Falley wrote:
Joerg Rossdeutscher schrieb am Monday, June 09, 2003 9:22 PM:
Übrigens: Herumfummelnde Provider sind der Grund dafür, daß ich meine Mails signiere. Sobald mein Provider auch nur ein Bit an meiner Post kippelt, wasch ich ihm den Kopf.
Wann hast Du denn das letzte mal festgestellt, daß Dein Provider an Deinen Bits dreht und ihm dafür den Kopf gewaschen? Und vor Allem, wie willst Du das feststellen, wenn Du jede Mail signierst?
*ey* ... in dem er sie signiert? micha
Michael Meyer schrieb am Monday, June 09, 2003 10:32 PM: [...]
*ey* ... in dem er sie signiert?
Ja klar, aber dann fällt es ja auf, wenn ein Provider Mails verändert. Wenn ich Provider wäre und Mails meiner User un- auffällig verändern wollte, würde ich sicher nicht die sig- nierten Mails verändern, sondern die unsignierten. Deshalb mein Einwand/meine Frage. Gruß Martin -- Ich lösche ungelesen alle PMs aus der Liste und beantworte danach keine weitere Fragen.
Moin, Am Mon, 2003-06-09 um 21.56 schrieb Martin Falley:
Joerg Rossdeutscher schrieb am Monday, June 09, 2003 9:22 PM:
vollstes Verständnis für den Versender solcher Signaturen. Es ist das einzige Druckmittel, daß Netzuser haben auf Scharchmins, die ihren Schrott nicht upgedatet kriegen.
Nicht jedes Update und nicht jeder Patch sind sinnvoll und notwendig oder richtig. Mitunter fängt man sich mit solchen Geschichten auch mal Sachen ein, die man gar nicht wollte.
Das juckt mich gar nicht. :-) Das ist lediglich ein weiteres Signal an Hersteller, "Upgrade" und "Bugfix" auseinanderzuhalten, und wenn die das nicht gebacken kriegen, den Hersteller der Software zu wechseln. Suse macht es vor: Wenn in einem Programm ein Exploit auftaucht, wird er in der _alten_ Version gefixed und neu compiliert - und wenn es 10 neue Versionen mit coolen Features gibt, es wird trotzdem die alte Version veröffentlicht. So isses richtig. (Und die User jammern.... will mir nicht in den Kopf...) Es gibt also keinen Grund mehr dafür, daß in einem Virenscanner keine Abfrage auf diese bekannte Fehlerkennung ist. Was ist beispielsweise, wenn wir in einer ML über Virencheck diskutieren und meine Mails kommen beim Empfänger nicht an, weil dessen Scanner Mails aussortiert, in denen "I love you" drinsteht? Wäre unschön. Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Joerg Rossdeutscher schrieb am Monday, June 09, 2003 10:38 PM:
Moin,
Moin - moin [...]
Es gibt also keinen Grund mehr dafür, daß in einem Virenscanner keine Abfrage auf diese bekannte Fehlerkennung ist.
stimmt
Was ist beispielsweise, wenn wir in einer ML über Virencheck diskutieren und meine Mails kommen beim Empfänger nicht an, weil dessen Scanner Mails aussortiert, in denen "I love you" drinsteht? Wäre unschön.
Das ist ein Fehler, aber den sollten die Admins der betreffenden Server ausbaden müssen und nicht die User. Wenn dann noch bestimmte User meinen, besonders zu diesem Chaos beitragen zu müssen, indem sie Fake-Viren versenden, ist das noch weniger witzig. Gruß Martin -- Ich lösche ungelesen alle PMs aus der Liste und beantworte danach keine weitere Fragen.
Moin, Am Mon, 2003-06-09 um 22.53 schrieb Martin Falley:
Joerg Rossdeutscher schrieb am Monday, June 09, 2003 10:38 PM:
Was ist beispielsweise, wenn wir in einer ML über Virencheck diskutieren und meine Mails kommen beim Empfänger nicht an, weil dessen Scanner Mails aussortiert, in denen "I love you" drinsteht? Wäre unschön.
Das ist ein Fehler, aber den sollten die Admins der betreffenden Server ausbaden müssen und nicht die User. Wenn dann noch bestimmte User meinen, besonders zu diesem Chaos beitragen zu müssen, indem sie Fake-Viren versenden, ist das noch weniger witzig.
Dieses Chaos hat seinen Grund nicht in den gefakten Viren und Würmern, sondern in den echten. Den initialen Verursachern (Vertreiber _und_ User scriptausführender MUAs) hat man nun wahrlich lange genug Zeit gelassen, ihr Produkt in Ordnung zu bringen bzw. sich andere zu suchen. Das sind keine Probleme von letzter Woche. Die Konsequenzen dieser Programme betreffen uns alle, siehe Mail von Kristian: Bei *mir* bimmelt nämlich das Telefon, und eine vierfarbfähnchen-schwenkende Admin-Imitation bezichtigt uns, Viren zu verschicken, "...und deswegen stürzt jedesmal bei uns der Mailserver ab!" Erstens: Der Account besteht seit einem Jahr nicht mehr, kann also nix verschicken. Zweitens: Wir verwenden kein Windows und kein Outlook, verschicken also keine Viren. Jedenfalls ganu sicher nicht via vbs. Drittens: Bitte Mailheader richtig lesen, meine Kiste ist dicht, von der kommt das bestimmt nicht... Viertens: Das ist ein Wurm, kein Virus. Fünftens: http://www.kreisvolkshochschule.de/EDV/einsteiger 1). Guten Tag, und bitte Mailserver rebooten. Danke. Und sowas stiehlt meine Zeit. Spontane Selbstentzündung könnte eine Lösung sein. Nachdem dieses Problem über eine so lange Zeit nicht gefixt ist, halte ich es für gerechtfertigt, die Verursacher mal etwas vors Schienbein zu treten. Und ja, Verursacher sind auch diejenigen, die den Mist dann noch benutzen, trotz bekanntermaßen defekter Bremse, sozusagen. Dafür dürfen sie sich Mitverantwortung zurechnen. Bei institutioneller Benutzungspflicht gilt dann eben Sippenhaft. Warum sollte unsereins sich weiter ärgern lassen? Nein, Martin, das richtet sich sicherlich nicht gegen dich, aber das ist es einfach, was dabei rauskommt. "Was lange gärt, wird endlich Wut." Oder so. Gruß, Ratti 1) Nein, den Link gibt es so nicht. -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Joerg Rossdeutscher schrieb am Tuesday, June 10, 2003 9:24 PM:
Moin,
Moin-moin ... Sott gehat. Eigentlich läuft dieser und die anderen Endlos-Dinger eigentlich bei mir schon unter der Rubrik Sondermüll, wovon der größte Teil bereits rückstandsfrei entsorgt ist. Neu anfallender Müll wird dem bereits entsorgten stillschweigend hinzuaddiert.
Am Mon, 2003-06-09 um 22.53 schrieb Martin Falley:
Joerg Rossdeutscher schrieb am Monday, June 09, 2003 10:38 PM:
[...]
Das ist ein Fehler, aber den sollten die Admins der betreffenden Server ausbaden müssen und nicht die User. Wenn dann noch bestimmte User meinen, besonders zu diesem Chaos beitragen zu müssen, indem sie Fake-Viren versenden, ist das noch weniger witzig.
Dieses Chaos hat seinen Grund nicht in den gefakten Viren und Würmern, sondern in den echten.
Das habe ich auch nicht behauptet, weder ich, noch sonst jemand in diesem elenden Endlos-Thread. Dennoch gibt es für mich keinen Grund, aus der Liste schulmeisterlich und besserwisserisch auf schlampende Admins oder Hersteller von MUA-Fakes einzuwirken. Wie Du weißt, fahre ich hier mehrspurig (Lin/Win/Mac/Sun) und benutze zum Mailen immernoch mein Outlook, ohne daß mir bisher irgendein Wurm, Virus oder sonstein Schädling etwas anhaben konnte. Es ist eben eine Sache des Wollens und des Wissens, wie man das eine oder andere System 'dicht' kriegt. Wer Interesse daran hat, zu erfahren, wie das denn wohl geht, darf mich gerne per PM (dann aber auch _nur_ per PM und nicht zusätzlich zur Liste), trotz meines Footers, danach befragen und ich werde darauf dann antworten.
Den initialen Verursachern (Vertreiber _und_ User scriptausführender MUAs) hat man nun wahrlich lange genug Zeit gelassen, ihr Produkt in Ordnung zu bringen bzw. sich andere zu suchen. Das sind keine
Probleme
von letzter Woche.
Wie gesagt, es ist nicht Aufgabe der/dieser Liste, darauf einzuwirken und gleichzeitig (oft unwissende) User in Bedrängnis/Panik zu bringen.
Die Konsequenzen dieser Programme betreffen uns alle, siehe Mail von Kristian: Bei *mir* bimmelt nämlich das Telefon, und eine vierfarbfähnchen-schwenkende Admin-Imitation bezichtigt uns, Viren
zu
verschicken, "...und deswegen stürzt jedesmal bei uns der Mailserver ab!"
Hä? Wieso stürzt ein Mailserver wegen eines Fakes ab? Oder habe ich das falsch verstanden? Die Mail von Kristian existiert bei mir nicht mehr und im Archiv nachzusehen, bin ich zu faul. ;)
Erstens: Der Account besteht seit einem Jahr nicht mehr, kann also
nix
verschicken.
Meiner verschickt auch nix, weil er sowas gar nicht kennt.
Zweitens: Wir verwenden kein Windows und kein Outlook, verschicken also keine Viren. Jedenfalls ganz sicher nicht via vbs.
Also doch welche. ;))
Drittens: Bitte Mailheader richtig lesen, meine Kiste ist dicht, von der kommt das bestimmt nicht...
Wer von den Outlook-Usern kann schon ohne fremde Hilfe Mail-Header lesen?
Viertens: Das ist ein Wurm, kein Virus.
Vom Schadstoffgehalt kaum ein Unterschied.
Fünftens: http://www.kreisvolkshochschule.de/EDV/einsteiger 1). Guten Tag, und bitte Mailserver rebooten.
??
Danke. Und sowas stiehlt meine Zeit. Spontane Selbstentzündung
könnte
eine Lösung sein.
Wer wird denn gleich in die Luft gehen? Greife lieber zur DVD ...
Nachdem dieses Problem über eine so lange Zeit nicht gefixt ist,
halte
ich es für gerechtfertigt, die Verursacher mal etwas vors Schienbein zu treten. Und ja, Verursacher sind auch diejenigen, die den Mist dann noch benutzen, trotz bekanntermaßen defekter Bremse, sozusagen.
Manche dürfen nicht anders. Ich will nicht anders. Ich habe bisher noch keine brauchbare Möglichkeit gefunden, meine Mails 1:1 von Outlook zu irgendwas anderem zu portierern. Es geht mir dabei nicht (nur) um die Listenmails. Die sind das dabei kleinere Übel.
Dafür dürfen sie sich Mitverantwortung zurechnen.
Danke.
Bei institutioneller Benutzungspflicht gilt dann eben Sippenhaft. Warum sollte unsereins sich weiter ärgern lassen?
Du machst es Dir einfach, aber da bist Du (leider) nicht der Einzige.
Nein, Martin, das richtet sich sicherlich nicht gegen dich, aber das
Das habe ich auch nicht so verstanden.
ist es einfach, was dabei rauskommt. "Was lange gärt, wird endlich Wut." Oder so.
Kann ich verstehen, aber diese Wut, oder den Frust wegen Unfähigkeit Anderer muß man ja nicht unbedingt an den Teilnehmern dieser Liste auslassen. Macht doch diese Art von Späßchen mit den Usern außerhalb dieser Liste, deren Admins nicht so wollen, wie es hier für richtig gehalten wird. Das wird aber nicht gemacht, weil es entweder nicht genügend Resonanz (Publikum) gibt, oder weil man damit seine Kunden und wiederum damit sich selbst schädigt.
Gruß, Ratti
Bis Freitag? -- Ich lösche ungelesen alle PMs aus der Liste und beantworte danach keine weitere Fragen.
Am Mit, 2003-06-11 um 00.39 schrieb Martin Falley:
Joerg Rossdeutscher schrieb am Tuesday, June 10, 2003 9:24 PM:
Wie Du weißt, fahre ich hier mehrspurig (Lin/Win/Mac/Sun) und benutze zum Mailen immernoch mein Outlook,
Ich weiss, habe ich sofort am Kammquoting erkannt. ;-)
Die Konsequenzen dieser Programme betreffen uns alle, siehe Mail von Kristian: Bei *mir* bimmelt nämlich das Telefon, und eine vierfarbfähnchen-schwenkende Admin-Imitation bezichtigt uns, Viren zu verschicken, "...und deswegen stürzt jedesmal bei uns der Mailserver ab!"
Hä? Wieso stürzt ein Mailserver wegen eines Fakes ab? Oder habe ich das falsch verstanden? Die Mail von Kristian existiert bei mir nicht mehr und im Archiv nachzusehen, bin ich zu faul. ;)
Oh, das hätte ich wohl deutlicher sagen sollen... Das war ein Anruf auf meiner Arbeitsstelle von einem "Admin" einer anderen Firma: Wir verschicken Viren, und da bricht jedesmal sein Mailserver zusammen (Geiles Schutzprogramm... :-) ). Ich hatte dann eine kleine "Diskussion"... Das war nur eines der amüsanteren Beispiele, daß man auch als nicht-Outlooker letztlich immer wieder unter Outlook zu leiden hat, weil man Empfänger irgendwelcher Würmer ist (Die nix anrichten, aber nerven), oder weil man bei einem Wurmverschickenden Outlooker im Adressbuch steht und anderswo als Absender in den Mailheader reingefaked wird, und so weiter und so fort... Ich denke daher einfach, daß Outlook-User da nicht motzen sollten, wenn man sich mal ein bisschen revanchiert. Mach mal einem Computer-unbedarften Kunden klar, daß die Mail, die gerade seinen Rechner entleert hat, nicht von dir war, obwohl dein Name drüberstand. Arglgngngn... Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Joerg Rossdeutscher schrieb am Wednesday, June 11, 2003 11:52 PM: Hi Ratti
Am Mit, 2003-06-11 um 00.39 schrieb Martin Falley:
Joerg Rossdeutscher schrieb am Tuesday, June 10, 2003 9:24 PM:
Wie Du weißt, fahre ich hier mehrspurig (Lin/Win/Mac/Sun) und benutze zum Mailen immernoch mein Outlook,
Ich weiss, habe ich sofort am Kammquoting erkannt. ;-)
Hä? Wo produziere ich Kammquoting? Normalerweise läuft hier ein Tool mit, das das automatisch verhindern soll und auch verhindert. Und meine Zeilenlänge ist auf 72 eingestellt, also genug Platz, um ordentlich zu quoten, wenn die anderen Zeilen auch nicht länger sind. [...]
Hä? Wieso stürzt ein Mailserver wegen eines Fakes ab? Oder habe ich das falsch verstanden? Die Mail von Kristian existiert bei mir nicht mehr und im Archiv nachzusehen, bin ich zu faul. ;)
Oh, das hätte ich wohl deutlicher sagen sollen... Das war ein Anruf auf meiner Arbeitsstelle von einem "Admin" einer anderen Firma: Wir verschicken Viren, und da bricht jedesmal sein Mailserver zusammen
Torfkopp. Von wem hat der denn seinen Mailserver einrichten lassen. Sowas kenne ich ja nicht mal unter Win.
(Geiles Schutzprogramm... :-) ). Ich hatte dann eine kleine "Diskussion"...
Der muß wirklich 'nen Triller unter'm Ponny haben, wenn er da auch noch versucht zu diskutieren. [...]
ein bisschen revanchiert. Mach mal einem Computer-unbedarften Kunden klar, daß die Mail, die gerade seinen Rechner entleert hat, nicht von dir war, obwohl dein Name drüberstand. Arglgngngn...
Na, wenn sich sein Rechner entleert hat, kann er ja auch die Mail nicht mehr zum Anlass nehmen, Dir die Schuld an seiner Misere zuzuschieben. ;) Gruß Martin -- Ich lösche ungelesen alle PMs aus der Liste und beantworte danach keine weitere Fragen.
Hallo Moin,
* "Martin Falley"
Hä? Wo produziere ich Kammquoting? Normalerweise läuft hier ein Tool mit, das das automatisch verhindern soll und auch verhindert.
Offensichtlich musst Du an Morver o.ä. noch feilen. ;)
,----
|
| Message-ID:
aporia@web.de schrieb am Thursday, June 12, 2003 8:50 AM:
Hallo Moin,
Hallo Andreas
* "Martin Falley"
: Hä? Wo produziere ich Kammquoting? Normalerweise läuft hier ein Tool mit, das das automatisch verhindern soll und auch verhindert.
Offensichtlich musst Du an Morver o.ä. noch feilen. ;)
Uff, das kannte ich noch gar nicht, habs mir aber gleich mal angesehen und für zu aufwändig befunden. Bin aber noch nicht fertig damit.
[...]
Ist aber nicht schlimm, da einige Mailreader Kammquoing und TOFU idR beim Betrachten und Beantworten korrigieren können:
Das kann OL natürlich nicht, wohl aber (teilweise) die Krücken, die ich verwende, um solche Unzulänglichkeiten zu umgehen. Eine dieser Krücken macht aber auch aus Deinem Pipe-Zeiche am Anfang einer Zeile eben auch ein Quote. :(( Damit fällt dieses Tool für Mails mit Pipe am Zeilenanfang oder inerhalb anderer Quotings aus.
,---- C-h k W k | | W k runs `gnus-article-outlook-deuglify-article' | | `gnus-article-outlook-deuglify-article' is an interactive
autoloaded
| Lisp function | -- autoloads from "deuglify" | | Documentation: | Deuglify broken Outlook (Express) articles and redisplay. `----
Muß ich mir das irgendwo suchen und reinziehen?
Das ist wie bei der "begin "-Geschichte und dem
Die habe ich für mich ja gelöst :)
Virenscanner: In andere Produkte aus dem Umfeld, in dem auch Outlook arbeitet, wird Arbeit gesteckt, um die OE-Fehler auszubügeln. Microsoft als Hersteller tut's ja nicht. Warum sollten sie auch: Die Leute nutzen den Kram ja trotzdem massenweise, obwohl es auch unter Windows genug Mailreader-Alternativen gibt. :-/
Outlook kann viel, eigentlich zu viel. Und das ist das Problem. Ich habe irgendwann vor Jahren damit angefangen. Jetzt kann ich aus verschiedenen (auch anderen) Gründen nicht wechseln, selbst wenn es unter Linux ein Tool gäbe, daß mir meinen kompletten Outlook-Kram problemlos konver- tieren könnte. Gruss Martin P.S.: Mach' mal was mit Deiner FROM-Zeile. Da steht immer noch nicht Dein hier gern gesehener Realname drin. -- Ich lösche ungelesen alle PMs aus der Liste und beantworte danach keine weitere Fragen.
* Am Don, 12 Jun 2003 schrieb Martin Falley:
P.S.: Mach' mal was mit Deiner FROM-Zeile. Da steht immer noch nicht Dein hier gern gesehener Realname drin.
Bekomme ich andere Mails als Du, bei mir steht da glasklar
From: Andreas Kneib
Christoph Maurer schrieb am Thursday, June 12, 2003 1:42 PM:
* Am Don, 12 Jun 2003 schrieb Martin Falley:
P.S.: Mach' mal was mit Deiner FROM-Zeile. Da steht immer noch nicht Dein hier gern gesehener Realname drin.
Bekomme ich andere Mails als Du, bei mir steht da glasklar From: Andreas Kneib
Sorry, war mein Fehler Gruß Martin -- Ich lösche ungelesen alle PMs aus der Liste und beantworte danach keine weitere Fragen.
Hallo, On Thu, 12 Jun 2003, Martin Falley wrote:
aporia@web.de schrieb am Thursday, June 12, 2003 8:50 AM: [..] P.S.: Mach' mal was mit Deiner FROM-Zeile. Da steht immer noch nicht Dein hier gern gesehener Realname drin.
Nope. Da steht vollkommen korrekt und normal und standardkonform
folgendes (und wird u.a. von mutt auch perfekt interpretiert):
====
From: Andreas Kneib
David Haller schrieb am Thursday, June 12, 2003 3:24 PM:
Hallo,
Hallo
On Thu, 12 Jun 2003, Martin Falley wrote:
aporia@web.de schrieb am Thursday, June 12, 2003 8:50 AM: [..]
P.S.:
Mach' mal was mit Deiner FROM-Zeile. Da steht immer noch nicht Dein hier gern gesehener Realname drin.
Nope. Da steht vollkommen korrekt und normal und standardkonform folgendes (und wird u.a. von mutt auch perfekt interpretiert):
Auch von OL. :)
==== From: Andreas Kneib
====
Ich habe in die falsche Zeile gesehen.
Da murkst offensichtlich mal wieder dein "LookOUT!!!" rum...
Nicht Andreas muss also was machen, sondern du. *hehe*
Hatte ich schon geschrieben: Sorry, war mein Fehler Gruß Martin -- Ich lösche ungelesen alle PMs aus der Liste und beantworte danach keine weitere Fragen.
* "Martin Falley"
aporia@web.de schrieb am Thursday, June 12, 2003 8:50 AM:
Offensichtlich musst Du an Morver o.ä. noch feilen. ;)
Uff, das kannte ich noch gar nicht, habs mir aber gleich mal angesehen und für zu aufwändig befunden. Bin aber noch nicht fertig damit.
Ich kenne ein paar Leute, die mit der Kombination Hamster/KorrNews/CopyIf/Morver sehr glücklich sind. Obwohl ich da lieber _einen_ funkionierenden Reader bevorzugen würde. ;)
Muß ich mir das irgendwo suchen und reinziehen?
(X)Emacs/Gnus. ;) [andreas]~/.xemacs > du -h gnus-manual.txt 732k gnus-manual.txt Ist schon ein bissle Lesestoff.
P.S.: Mach' mal was mit Deiner FROM-Zeile. Da steht immer noch nicht Dein hier gern gesehener Realname drin.
Ja, das wär ein Hammer, wo ausgerechnet _ich_ in Listen und Newsgroups die Pseudonymen und Namenlosen rausfiltere. So frei nach dem Moto: Ich bin schizo, in mir zieht's so. Sollte aber alles richtig gefromt und vernamed sein. :) Gruss, Andreas -- "Das Proggie funzt kewl" Freie Babysprache fuer den User! Klickibunti in die Koepfe!
* On Mon, 09 Jun 2003 at 21:22 +0200, Joerg Rossdeutscher wrote:
Am Mon, 2003-06-09 um 20.02 schrieb Thomas Hertweck:
Florian Gross schrieb: [Virus-Signaturen u.ä.] Auch wenn ich verstehe, daß du darüber nicht glücklich bist - ich habe vollstes Verständnis für den Versender solcher Signaturen. Es ist das einzige Druckmittel, daß Netzuser haben auf Scharchmins, die ihren Schrott nicht upgedatet kriegen. Dann muß eben noch mehr Post verloren gehen, bis es mal die vom Chef ist, dann passiert vielleicht mal was.
Tja, da gibts aber noch einen zweiten Punkt, und zwar aus Sicht der Hersteller der Virenscanner: Nachdem Outlook und Konsorten (Evolution, etc.) ja leider aus jedem begin bla.fasel ... end Block ein Attachment machen, muß das ja leider gescannt werden, ansonsten kann man ja eigentlich genau das Zielpublikum nicht bedienen. Ein Virenscanner, der diesen Block nicht scannt, würde ja sonst einen Virus frei Haus an Outlook liefern. Und nachdem Microsoft dieses "Feature" ja auch in neuen Versionen nicht ausbaut (es ist sogar irgendwo in der Knowledge Base dokumentiert), und es ja sogar fleissig von Evolution & Co. kopiert wird, ist diese Krankheit vermutlich auch nicht so leicht auszurotten. Man könnte natürlich versuchen, Outlook-Verwender dazu zwingen, etwas anderes einzusetzen, indem man schlicht und einfach alle Mails in ein begin-end packt, aber das würde dann irgendwie diese Liste sinnlos rendern. /apm -- GPG welcome, request public key: mailto:adalbert+key@lopez.at
Moin, Am Mon, 2003-06-09 um 22.36 schrieb Adalbert Michelic:
Tja, da gibts aber noch einen zweiten Punkt, und zwar aus Sicht der Hersteller der Virenscanner: Nachdem Outlook und Konsorten (Evolution, etc.) ja leider aus jedem begin bla.fasel ... end Block ein Attachment machen, muß das ja leider gescannt werden, ansonsten kann man ja eigentlich genau das Zielpublikum nicht bedienen.
Und ein Programm, das in der Lage ist, heuristisch Viren zu entdecken, hat keine Blacklist für false positives? Was zahlt man denn so für eine grafische Version von /begin(.*?)iloveyou(.*?)end/is ? Nix für ungut. :-))) Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
* On Mon, 09 Jun 2003 at 22:49 +0200, Joerg Rossdeutscher wrote:
Am Mon, 2003-06-09 um 22.36 schrieb Adalbert Michelic:
Tja, da gibts aber noch einen zweiten Punkt, und zwar aus Sicht der Hersteller der Virenscanner: Nachdem Outlook und Konsorten (Evolution, etc.) ja leider aus jedem begin bla.fasel ... end Block ein Attachment machen, muß das ja leider gescannt werden, ansonsten kann man ja eigentlich genau das Zielpublikum nicht bedienen.
Und ein Programm, das in der Lage ist, heuristisch Viren zu entdecken, hat keine Blacklist für false positives? Was zahlt man denn so für eine grafische Version von /begin(.*?)iloveyou(.*?)end/is ?
Daß die Software dann noch zusätzlich selten dämlich ist, steht auf einem anderen Blatt. Auf dem steht dann auch noch was von Admins, die prinzipiell alles, wo es nur nach vbs riecht, nicht durchlassen. Ich wollt nur sagen, daß das Reingucken in Attachments eine leise Berechtigung hat. /apm -- GPG welcome, request public key: mailto:adalbert+key@lopez.at
Moin,
* Joerg Rossdeutscher
Und ein Programm, das in der Lage ist, heuristisch Viren zu entdecken, hat keine Blacklist für false positives?
Dürfte schwierig werden. Wie soll ein Programm diesen Mailtext...
,----[ Scriptcode: wscript.echo "VIRUSALARM" ]
| begin blahblah.vbs
| ;=W-C
Hallo, On Mon, 09 Jun 2003, Andreas Kneib wrote: [..]
Dürfte schwierig werden. Wie soll ein Programm diesen Mailtext... [..] ...unterscheiden? :)
So wie es win.exe von $virus.pif unterscheidet. Ausserdem kann man das base64 auch dekodieren und dann analysieren... *hrpmf* -dnh -- I used to be a multiple personality, until we took a vote and decided we weren't. -- Stevo in the SDM
Hallo,
* David Haller
Hallo,
On Mon, 09 Jun 2003, Andreas Kneib wrote: [..]
Dürfte schwierig werden. Wie soll ein Programm diesen Mailtext... [..] ...unterscheiden? :)
So wie es win.exe von $virus.pif unterscheidet. Ausserdem kann man das base64 auch dekodieren und dann analysieren...
Eben. Man _kann_ nicht. Man _muss_, wenn man will. Gruss, Andreas
Am Mon, 2003-06-09 um 23.42 schrieb Andreas Kneib:
Moin,
* Joerg Rossdeutscher
: Und ein Programm, das in der Lage ist, heuristisch Viren zu entdecken, hat keine Blacklist für false positives?
Dürfte schwierig werden. Wie soll ein Programm diesen Mailtext...
,----[ Scriptcode: wscript.echo "VIRUSALARM" ] | begin blahblah.vbs | ;=W-C
...von diesem...
,----[ Dünnsinn: Wattn Wetter hier ] | begin blahblah2.vbs | 25V%T=&X@5V5T=&5R(&AI97(* | ` | end `----
...unterscheiden? :)
Muß es ja gar nicht. Es reicht vollkommen, wenn es *.vbs ersetzt durch *.txt. Oder noch besser: Rausschmeissen. Oder am Besten: Anderes Mailprogramm verwenden. Nein, ganz im Ernst: Bei uns im Betrieb gibt es auch ein paar Windowsrechner. Bei der Einrichtung fliegen Outlook und IE runter und werden ersetzt durch Mozilla und Eudora. Bei Eudora muß man noch einstellen, daß es eben nicht den MS-HTML-Viewer verwendet, und gut ist. Sooo schwer ist es doch gar nicht. (Man könnte an dieser Stelle viel Diskutieren. Zum Beispiel, was ein .vbs überhaupt in einer Mail zu suchen hat, und ob man es nicht ganz löscht. Falls sich zwei VBS-Programmierer gegenseitig Code zuschicken... nun ja, man muß Prioritäten setzen. Man könnte noch mehr diskutieren, zum Beispiel, ob nicht Anwendern von scriptausführenden Mailprogrammen völlig zu recht die Platte blankgeschliffen werden sollte bis runter aufs Kugellager. Da wird diese Diskussion aber bereits oft genug im Archiv finden, könnten wir es erstmal bei obiger Lösung bewenden lassen. :-) ) -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Moinmoin,
* Joerg Rossdeutscher
Nein, ganz im Ernst: Bei uns im Betrieb gibt es auch ein paar Windowsrechner. Bei der Einrichtung fliegen Outlook und IE runter und werden ersetzt durch Mozilla und Eudora. Bei Eudora muß man noch einstellen, daß es eben nicht den MS-HTML-Viewer verwendet, und gut ist. Sooo schwer ist es doch gar nicht.
Nein, es ist nicht schwer. Deshalb kommt mir auch jedes Mal die Galle hoch, wenn wieder die verwurmte Mail eines Outlookers durch sein blindes Fenster in meinen Spam-Folder segelt. Das letzte Mal brachte so eine Mail gleich Teile ihrer heimischen Festplatte mit. Sprich das Bewerbungsschreiben und den Lebenslauf einer wissenschaftlichen Assistentin, von ihrem zukünftigen Arbeitgeber in "Eigene Dateien" abgelegt. Ich habe die junge Dame angerufen (Anschrift/Telefon lag ja dem Wurm bei) und ihr erklärt, dass ihre Gehaltsvorstellungen samt Vita und Qualifikationen gerade über den halben Erdball verteilt werden...
(Man könnte an dieser Stelle viel Diskutieren. Zum Beispiel, was ein .vbs überhaupt in einer Mail zu suchen hat, und ob man es nicht ganz löscht.
Ich hatte hier mal so ein VBS-Schnippsel rumliegen, der beim tumben Draufklicken den Rechner des tumben Draufklickers runterfährt. Das scheint Sinn zu machen. ;) Gruss, Andreas -- Mit den Mengen an TOFU, die in dcoulm anfallen, koennte man vermutlich die gesamte Weltbevoelkerung auf Jahre hinaus ernaehren ... -- Juergen Ilse in de.comp.os.unix.linux.misc
Moin,
* Adalbert Michelic
Tja, da gibts aber noch einen zweiten Punkt, und zwar aus Sicht der Hersteller der Virenscanner: Nachdem Outlook und Konsorten (Evolution, etc.) ja leider aus jedem begin bla.fasel ... end Block ein Attachment machen, muß das ja leider gescannt werden, ansonsten kann man ja eigentlich genau das Zielpublikum nicht bedienen. Ein Virenscanner, der diesen Block nicht scannt, würde ja sonst einen Virus frei Haus an Outlook liefern.
Aber nicht doch. :) Der Virenscanner liefert gar nichts frei Haus, wenn sich ein kaputter Mailreader aus diesem _Text_... begin smiley.html G/&AT;6P^/&)O9'D^/&@Q/CHI/"]H,3X\+VAT;6P^/"]B;V1Y/@H* ` end ... selber eine "funktionierende" _Datei_ bastelt. Selbst wenn es sich dabei nicht um .html sondern .vbs handelt. Das abzustellen ist die Aufgabe des Herstellers des Mailers. Wo soll das sonst noch enden? Heute ist es "begin ", morgen vielleicht das Wort "und ", das dem Großkonzern nicht passt, und das wir gefälligst nicht zu benutzen haben. [1] Gruss, Andreas [1] http://support.microsoft.com/default.aspx?scid=kb;EN-US;q265230 -- -----BEGIN GEEK CODE BLOCK (v3.12)----- GL/P/TW d? s+:+ a C++ UL+++ L+++ P+>++ E+>++ W- N+++ o-- K- !w(--) O? M- V- !PS@ !PE? Y? PGP t+@ 5-- X- R- tv- b++ DI? D- G++ e* r+++ h---- y++++ ------END GEEK CODE BLOCK------
* On Tue, 10 Jun 2003 at 9:19 +0200, Andreas Kneib wrote:
* Adalbert Michelic
: Tja, da gibts aber noch einen zweiten Punkt, und zwar aus Sicht der Hersteller der Virenscanner: Nachdem Outlook und Konsorten (Evolution, etc.) ja leider aus jedem begin bla.fasel ... end Block ein Attachment machen, muß das ja leider gescannt werden, ansonsten kann man ja eigentlich genau das Zielpublikum nicht bedienen. Ein Virenscanner, der diesen Block nicht scannt, würde ja sonst einen Virus frei Haus an Outlook liefern.
Aber nicht doch. :)
Der Virenscanner liefert gar nichts frei Haus, wenn sich ein kaputter Mailreader aus diesem _Text_...
begin smiley.html G/&AT;6P^/&)O9'D^/&@Q/CHI/"]H,3X\+VAT;6P^/"]B;V1Y/@H* ` end
... selber eine "funktionierende" _Datei_ bastelt.
Das, was der Scanner machen soll, ist, für den Client gefährliche Inhalte von ebendiesem fernhalten. Und dazu _muss_ er eben diesen Textblock angreifen, weil er sonst genau das Zielpublikum - das, so ziehe ichs mir mal aus der Nase, zu über 90% aus Outlook-Anwendern besteht - eben nicht "beschützen" kann.
Selbst wenn es sich dabei nicht um .html sondern .vbs handelt. Das abzustellen ist die Aufgabe des Herstellers des Mailers. Wo soll das sonst noch enden?
Du sagst es. Der Scanner kann das nicht abstellen. Das muß der Hersteller des Mailers machen. Solange Mailer das machen, muß auch der Scanner das berücksichtigen, ansonsten ist noch sinnbefreiter, als er jetzt schon ist.
Heute ist es "begin ", morgen vielleicht das Wort "und ", das dem Großkonzern nicht passt, und das wir gefälligst nicht zu benutzen haben. [1]
Vor MIME hat man Attachments eben so verschickt, manche machen das auch heute noch so (ließ mal die Liste genauer - jedesmal, wenn die Frage auftaucht, wie man eine Mail mit Attachment per Skript verschickt, kommt so ein Tip). Daß das clientseitig noch unterstützt ist - such Dirs aus - dämlich, dinosauriermäßig, $WHATEVER. Es ist nur leider nicht so aus der Luft gegriffen, wie es scheint. Ja, es gehört eliminiert. Und zwar in den MUAs - nicht in Virenscannern. Aber es wird ja das Gegenteil gemacht. Schau Dir Evolution an, das ist mittlerweile genauso dämlich wie Outlook. Ein VBS-Interpreter fehlt noch, aber der kommt bestimmt bald. Das dauert nimmer lang. PS: Meine persönliche Meinung zum Thema Virenscanner, Viren in Mails und Sinnhaftigkeit derer aller verkneife ich mir hier; die ist nicht gesellschaftstauglich. /apm -- GPG welcome, request public key: mailto:adalbert+key@lopez.at
Moin, Am Die, 2003-06-10 um 10.31 schrieb Adalbert Michelic:
* On Tue, 10 Jun 2003 at 9:19 +0200, Andreas Kneib wrote:
Selbst wenn es sich dabei nicht um .html sondern .vbs handelt. Das abzustellen ist die Aufgabe des Herstellers des Mailers. Wo soll das sonst noch enden?
Du sagst es. Der Scanner kann das nicht abstellen. Das muß der Hersteller des Mailers machen. Solange Mailer das machen, muß auch der Scanner das berücksichtigen, ansonsten ist noch sinnbefreiter, als er jetzt schon ist.
Da möchte ich euch widersprechen. Der Hersteller muß seine vbs-Einbindung nicht sicher machen - er muß sie entfernen. Ihr Vorhandensein ist einfach völlig sinnfrei. Ich habe in meinem ganzen Leben noch keine Email bekommen, in der echter vbs-Content drin gewesen wäre, der irgendwas gemacht hätte. Und bitte: Ich bin in meinem privaten Emailverkehr eine Attachmentverschicktende HTML-Schlampe und hänge Filmchen und animierte GIFs rein und könnte mir ernsthaft vorstellen, noch schlimmere Dinge zu tun - aber was bitteschön soll vbs in Mails überhaupt? Geht irgendwo irgendein Feature verloren, wenn Billy das einfach ausbaut? Hat irgendjemand mal eine Mail erhalten mit Knöpfchen oder so, wo man dachte: Fein, da brauche ich bloß was ankreuzen und retournieren? Also, ich nicht. (Naja, einmal schon, aber das war JavaScript und ging irgendwie auch nicht... :-) ) Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
thertw@rz.uni-karlsruhe.de schrieb am :
Subject: Re: Schweinkram in der Liste
Florian Gross schrieb:
[...] Was passiert bei ILOVEYOU?
[...]
zustellbar waren, genau wegen dem Problem. Der Absender der Mails ist mir bekannt, aber er laesst von diesen zwei- felhaften Spaessen nicht ab, obwohl ich schon mal darauf hingewiesen habe.
CU, Thomson
Hi Thomas Du wirst Die Leute nicht andern. Diese Kiddies halten sich fur was besonders Schlaues, wenn sie Fake-Viren versenden und freuen sich schelmisch, wenn wieder einmal ein Viren- scanner oder gleich der ganze Mailer darauf angesprungen ist. Ich denke immer, da? die Leute, die es betrifft, nicht so sehr sozial (gemeinschaftlich), sondern eher als asozial (der Gemeinschaft entgegenwirkend) einzustufen sind. Gru? Martin
On Mon, Jun 09, 2003 at 08:02:50PM +0200, Thomas Hertweck wrote:
Man sollte vielleicht auch mal be- denken, dass nicht jeder Subscriber hier Einfluss auf Vi- renscanner unterwegs hat - dass solche Virenscanner buggy sind, wenn sie auf Signaturviren hereinfallen, steht ausser Frage.
Ein Mailvirenscanner ist konstruktionsbedingt buggy und Schlangenöl. Er bekommt nur die Hälfte mit und ist zum Beispiel machtlos, wenn es um ZIPs mit einem Kennwort, PGP-verschlüsselte Nachrichten und anderes Zeugs geht. Damit kann er genau das nicht erreichen, wofür er angeblich installiert worden ist: Das Netz hinter dem Scanner vor Infektionen schützen. Der Anwender - alle Anwender hinter dem Mailscanner! - brauchen dennoch einen lokalen Virenscanner auf ihrem System, der sie vor dem Kram schützt, den der Mailscanner zwangsläufig durchläßt. Der Mailscanner erspart einem damit genau gar keine Arbeit und wird außerdem zu einem Privacy-Problem und einem Kommunikationsrisiko. Wenn der Scanner freundlicherweise Virenwarnungen an den Absender versendet, dann reagiert er obendrein auch auf Spam und wird so zu einem Verstärker für das Spamproblem und damit auch für mich (kein Virenscanner, kein Windows, keine Viren) zu einem Problem. Denn welcher Virus, der sein Geld wert ist, versendet sich heute noch mit einer gültigen Absenderadresse? Ich bekomme ja nicht nur Spam, sondern auch Haufenweise Bounces und Virenwarnungen für Nachrichten, die ich nicht versendet habe. Stattdessen hat irgendein Outlook-Spacko mich in seinem Adreßbuch gehabt, als er sich hat infizieren lassen und irgendein Virus versendet sich mit meiner Adresse als Absender. Toll, daß ich das sofort per Mail erfahre, das nützt mir wirklich. Nein, danke. Meiner persönlichen Meinung nach gehören Mailvirenscanner in den Kopf geschossen, und deren Admins gleich dazu, falls es sich um die Sorte Scanner handelt, die nette Warnmails versenden. Stattdessen gehört auf einen Windows-Arbeitsplatz ein guter, selbstaktualisierender lokaler Scanner, der die Windows-Kiste so richtig schön langsam beim Öffnen von Dateien macht, um den Windows-Anwender zu motivieren, auf Linux umzusteigen. Ein Scanner, der außerdem seine Warnmeldungen nicht auf dem Schirm von Anwender, sondern auch auf dem Schirm vom neuen, noch nicht in den Kopf geschossenen Admin anzeigt, damit sich jemand kompetentes um die Entgiftung des Arbeitsplatzes kümmern kann (a la Monsters Inc. am Besten, damit der Anwender auch was davon hat). Aber man fühlt sich natürlich tierisch warm und sicher, wenn man so ein Ding hat, das macht es attraktiv für die ganzen Deppen. Ganz besonders wegen der "Ich habe einen Virus gefangen *hops* *freu* *jubel* *um den Server tanz*"-Mails von dem Ding. Zum Thema Wortfilter? Davon fange ich besser gar nicht an (http://www.koehntopp.de/kris/artikel/rating_does_not_work/, die Seite ist hoffentlich nicht lesbar für Leute hinter einem Filter, denn sie ist mit PICS auf die höchste Stufe gerated, um mich rechtlich abzusichern -- dazu ein anderes Mal mehr). Kristian
Ich brauche keine Privatkopie von Listenmails, ich lese diese Liste mit. Ich dachte immer, mutt sei so ein toller MUA mit einem List-Reply - dann soll- te man es auch nutzen! Kristian Koehntopp wrote:
[...] Ein Mailvirenscanner ist konstruktionsbedingt buggy und Schlangenöl. Er bekommt nur die Hälfte mit und ist zum Beispiel machtlos, wenn es um ZIPs mit einem Kennwort, PGP-verschlüsselte Nachrichten und anderes Zeugs geht. Damit kann er genau das nicht erreichen, wofür er angeblich installiert worden ist: Das Netz hinter dem Scanner vor Infektionen schützen.
So ein Scanner arbeitet logischerweise nicht 100% zuverlaessig. Die Frage ist aber, ob man deswegen darauf verzichten kann oder will oder soll. Ich bin kein Befuerworter solcher Filter oder Scanner, aber kann es durchaus verstehen: wenn auch nur einige Viren abgefangen werden, so hat das Ganze fuer eine Firma o.ae. schon seinen Sinn erfuellt. Da spielt es keine Rolle, ob manche Nachrichten verschluesselt sind oder nicht (was wohl eher aus- zuschliessen ist bei einer Firma) oder ob ZIPs ein Passwort tragen oder nicht. Ausserdem, Du kannst Dich da gerne mal schlau machen, kenne ich einige Firmen, da ist der Admin gegen den Einsatz solcher Dinge, hat aber gegen die Firmenleitung keine Wahl. Und, nein, er wird deswegen nicht seinen Job wech- seln, den Jobs sind heutzutage nicht gerade wie Sand am Meer verfuegbar.
Der Anwender - alle Anwender hinter dem Mailscanner! - brauchen dennoch einen lokalen Virenscanner auf ihrem System, der sie vor dem Kram schützt, den der Mailscanner zwangsläufig durchläßt. Der Mailscanner erspart einem damit genau gar keine Arbeit und wird außerdem zu einem Privacy-Problem und einem Kommunikationsrisiko.
Warum das ein Privacy-Problem ist, verstehe ich nicht. Deine Mail wird nicht veraendert, sie wird auch nicht inhaltlich ausgewertet und bewertet. Sie wird nur auf Viren geprueft (was natuerlich auch eine Auswertung des Inhalts ist, aber IMHO eine unbedenkliche im Gegensatz zu manchen anderen).
[...] Nein, danke. Meiner persönlichen Meinung nach gehören Mailvirenscanner in den Kopf geschossen, und deren Admins gleich dazu, falls es sich um die Sorte Scanner handelt, die nette Warnmails versenden. [...]
Ich glaube, auf diesem Niveau diskutiere ich nicht. Wenn Du Leuten in den Kopf schiessen moechtest, dann mache das bitte woanderst. Danke. CU, Thomson -- Thomas Hertweck, Geophysicist Geophysical Institute, Karlsruhe University (TH)
On Tue, Jun 10, 2003 at 08:51:19AM +0200, Thomas Hertweck wrote:
Der Anwender - alle Anwender hinter dem Mailscanner! - brauchen dennoch einen lokalen Virenscanner auf ihrem System, der sie vor dem Kram schützt, den der Mailscanner zwangsläufig durchläßt. Der Mailscanner erspart einem damit genau gar keine Arbeit und wird außerdem zu einem Privacy-Problem und einem Kommunikationsrisiko.
Warum das ein Privacy-Problem ist, verstehe ich nicht. Deine Mail wird nicht veraendert, sie wird auch nicht inhaltlich ausgewertet und bewertet. Sie wird nur auf Viren geprueft (was natuerlich auch eine Auswertung des Inhalts ist, aber IMHO eine unbedenkliche im Gegensatz zu manchen anderen).
Sie wird aufgrund nicht nachzuvollziehender, sich spontan ändernder Kriterien ("Messages containing the letter 'P'") in ein Quantäneverzeichnis kopiert, nicht zugestellt und dann von einer dazu nicht berechtigten Person gelesen. Darum ist zum legalen Betrieb eines solchen Scanners ja auch eine Betriebsvereinbarung zwingend notwendig. Kristian
Kristian Koehntopp schrieb:
[...] Sie wird aufgrund nicht nachzuvollziehender, sich spontan ändernder Kriterien ("Messages containing the letter 'P'") in ein Quantäneverzeichnis kopiert, nicht zugestellt und dann von einer dazu nicht berechtigten Person gelesen. Darum ist zum legalen Betrieb eines solchen Scanners ja auch eine Betriebsvereinbarung zwingend notwendig.
Na, das ist aber schon arg gekuenstelt :-) Ich denke, man muss da schon ein bissl bei der Realitaet bleiben - nach dem Buchstaben "P" wird wohl kaum jemand einen Virenscan- ner arbeiten lassen. Wenn die Mail bounced, wird sie ab- gelehnt, aber auch nicht von einer Person gelesen, ausser vom urspruenglichen Autor und der darf das. Mal davon ab- gesehen, dass Systemverwalter i.d.R. alle unverschluessel- ten Mails lesen koennten, so sie es darauf anlegen. Dass es unschoen ist, da stimme ich voll mit Dir ueberein, und dass viele Scanner buggy sind, ebenfalls. Ueber den Sinn des Einsatzes solcher Virenscanner kann man sicher strei- ten, ich habe aber bei vielen Gespraechen schon erfahren, dass es sich bei Firmen wohl doch lohnt, sowohl fuer ein- als auch ausgehene Emails. Ich denke aber um so mehr, dass das Verschicken von Viren-Fakes eine Unsitte ist und einem recht zweifelhaften Humorempfinden entspringt. Gruesse, Thomson PS: Bitte bitte keine Kopie der Mail an mich! Ich erhalte auch so schon genug Mails den Tag ueber :-)
* On Tue, 10 Jun 2003 at 18:54 +0200, Thomas Hertweck wrote:
Kristian Koehntopp schrieb:
[...] Sie wird aufgrund nicht nachzuvollziehender, sich spontan ändernder Kriterien ("Messages containing the letter 'P'") in ein Quantäneverzeichnis kopiert, nicht zugestellt und dann von einer dazu nicht berechtigten Person gelesen. Darum ist zum legalen Betrieb eines solchen Scanners ja auch eine Betriebsvereinbarung zwingend notwendig.
Na, das ist aber schon arg gekuenstelt :-)
Leider nein.
Ich denke, man muss da schon ein bissl bei der Realitaet bleiben - nach dem Buchstaben "P" wird wohl kaum jemand einen Virenscan- ner arbeiten lassen.
http://www.google.com/search?q=trend+micro+p /apm -- GPG welcome, request public key: mailto:adalbert+key@lopez.at
Adalbert Michelic schrieb:
* On Tue, 10 Jun 2003 at 18:54 +0200, Thomas Hertweck wrote:
Kristian Koehntopp schrieb:
[...] Sie wird aufgrund nicht nachzuvollziehender, sich spontan ändernder Kriterien ("Messages containing the letter 'P'") in ein Quantäneverzeichnis kopiert, nicht zugestellt und dann von einer dazu nicht berechtigten Person gelesen. Darum ist zum legalen Betrieb eines solchen Scanners ja auch eine Betriebsvereinbarung zwingend notwendig.
Na, das ist aber schon arg gekuenstelt :-)
Leider nein.
Ich denke, man muss da schon ein bissl bei der Realitaet bleiben - nach dem Buchstaben "P" wird wohl kaum jemand einen Virenscan- ner arbeiten lassen.
Ja, und? Das war ein Bug in der Software und wurde behoben, es war ja keine Absicht: The "p" protection was the result of a bug accidentally introduced to eManager in an update to the product's antispam feature. Das Beispiel geht also IMHO an der Diskussion hier vorbei. Wenn wir naemlich an- fangen, saemtliche Bugs in saemtlicher Software, die so im Einsatz ist, hier zu beherzigen, dann wird das eine seeeehr lange Diskussion :-) Gruesse, Thomson
* On Tue, 10 Jun 2003 at 19:55 +0200, Thomas Hertweck wrote: [Trend Micro 'p'-Bug]
Ja, und? Das war ein Bug in der Software und wurde behoben, es war ja keine Absicht: The "p" protection was the result of a bug accidentally introduced to eManager in an update to the product's antispam feature. Das Beispiel geht also IMHO an der Diskussion hier vorbei. Wenn wir naemlich an- fangen, saemtliche Bugs in saemtlicher Software, die so im Einsatz ist, hier zu beherzigen, dann wird das eine seeeehr lange Diskussion :-)
Ich weiß nicht; ich hab so den Verdacht, wenn wo so schlampig gearbeitet wird, daß nicht mal so ein k.o.-Bug vor der Auslieferung bemerkt wird (keine klar definierte Testsuite?), dann werden da noch etliche andere ebenfalls anzutreffen sein. Ich meine jetzt nicht irgendwelche komplizierteren Fehler, sondern solche echt dämlichen. Irgendwer hier auf der Liste hat ja auch so ein tolles Teil im Einsatz, das mir wegen einer meiner gestrigen Mails (begin bla.fasel\n...\nend) einen Love-Letter o.ä. unterstellt hat. /apm, kopfschüttelnd -- GPG welcome, request public key: mailto:adalbert+key@lopez.at
On Tue, Jun 10, 2003 at 06:54:49PM +0200, Thomas Hertweck wrote:
Kristian Koehntopp schrieb:
[...] Sie wird aufgrund nicht nachzuvollziehender, sich spontan ändernder Kriterien ("Messages containing the letter 'P'") in ein Quantäneverzeichnis kopiert, nicht zugestellt und dann von einer dazu nicht berechtigten Person gelesen. Darum ist zum legalen Betrieb eines solchen Scanners ja auch eine Betriebsvereinbarung zwingend notwendig.
Na, das ist aber schon arg gekuenstelt :-) Ich denke, man muss da schon ein bissl bei der Realitaet bleiben - nach dem Buchstaben "P" wird wohl kaum jemand einen Virenscan- ner arbeiten lassen.
http://slashdot.org/article.pl?sid=03/05/23/0521222&mode=nested&tid=126&tid=128 "Trend Micro quarantines the letter 'P'" Kristian
Kristian Koehntopp wrote:
On Tue, Jun 10, 2003 at 06:54:49PM +0200, Thomas Hertweck wrote:
[...] Na, das ist aber schon arg gekuenstelt :-) Ich denke, man muss da schon ein bissl bei der Realitaet bleiben - nach dem Buchstaben "P" wird wohl kaum jemand einen Virenscan- ner arbeiten lassen.
http://slashdot.org/article.pl?sid=03/05/23/0521222&mode=nested&tid=126&tid=128 "Trend Micro quarantines the letter 'P'"
Das hatten wir doch schon durchgekaut... *seufz*. Das war ein Bug und kein Feature, insofern ein echt schlechtes Beispiel fuer diese Diskussion hier. Denn wenn wir anfangen, jegliche Bugs hier zu diskutieren, dann wird das endlos. Kein Mensch filtert oder scannt ernsthaft nach dem Buchstaben "P", dabei bleibe ich; das ist einfach laecherlich! CU, Thomson
Hallo, On Tue, 10 Jun 2003, Kristian Koehntopp wrote:
On Mon, Jun 09, 2003 at 08:02:50PM +0200, Thomas Hertweck wrote:
Man sollte vielleicht auch mal be- denken, dass nicht jeder Subscriber hier Einfluss auf Vi- renscanner unterwegs hat - dass solche Virenscanner buggy sind, wenn sie auf Signaturviren hereinfallen, steht ausser Frage.
Dazu von mir nur soviel: Im grossen und ganzen bin ich der Meinung von Kris. Wenn ein Scanner wg. einer plain-text(!) sig(!): b*gin 666 magritte.txt.vbs Ceci n'est pas un attachement end (mit 'e' statt dem '*') anspringt und das fuer einen Virus haelt, also ich bitte dich! Das ist doch einfach nur laecherlich, krank und scheisse. Darf ich jetzt wegen diesem Schrott nicht mal mehr in einer Mail 'begin' am Zeilenanfang schreiben??? Oder einen Anhang mit base64 codieren? Da sag ich nur: FUCK OFF AND DIE! [2] Gab es denn mal Viren mit < 320 Byte? In den letzten 10 Jahren?
Ein Mailvirenscanner ist konstruktionsbedingt buggy und Schlangenöl.
Nicht per se. Allerdings filtere ich meine Mails nicht durch nen Scanner, aber was hier allein an So(r)big Varianten aufschlaegt (alle 2 Tage einer) ist unschoen. Da will man diese Mails dann doch mal per Hand an AntiVir verfuettern um zu sehen, was das denn jetzt schon wieder fuer ein Virus ist ;) In meinem "Archiv" (die meisten So(r)big's landen inzwischen nur noch unbesehen im spam-folder[1]) finden sich inzwischen: < Contains signature of the VBS script virus VBS/LoveLetter.D < Contains signature of the worm Worm/BugBear.1 < Contains signature of the worm Worm/Gibe.B.3 < Contains signature of the worm Worm/Klez.E < Contains signature of the worm Worm/Sobig.B < Contains signature of the worm Worm/Sorbig.A Das sieht fuer mich doch sehr langweilig aus. V.a. wenn man betrachen wuerde wann diese Viren jew. eingetroffen sind. Apropos: Von LoveLetter hab ich mir dann irgendwann mal den Quelltext besorgt, das ist sowas von laecherlichem VBS... Und die meisten 5k1p7-k1ddyz bekommen ja nicht mal sowas hin, sondern klicken sich das im Baukasten zusammen... Wann gab's den letzten "originellen" Virus? IIRC muesste das vor CIH gewesen sein, und das ist, aeh, wie lange her? *gah*! Ich werd schon fast nostalgisch bzgl. meiner Viren-verseuchten Amiga-Disketten... [..]
Der Anwender - alle Anwender hinter dem Mailscanner! - brauchen dennoch einen lokalen Virenscanner auf ihrem System, der sie vor dem Kram schützt, den der Mailscanner zwangsläufig durchläßt.
ACK. [..]
Nein, danke. Meiner persönlichen Meinung nach gehören Mailvirenscanner in den Kopf geschossen, und deren Admins gleich dazu,
NACK. V.a.: wo ist bei einer SW der Kopf, in den man schiessen koennte? Nein, die Programmierer von so'ner Scheisse gehoeren gelartet. Und die Leut's, die sowas blind einsetzen, das Teil dann nicht richtig konfigurieren und unschuldige Leuts wie dich und mich belaestigen... Wo gab's den schwarzen taktischen Kleinbus nochmal guenstig zu mieten? Jedenfalls: die Idee, Viren (soweit erkennbar) schon auf dem MTA-Host auszusortieren ist per se nicht schlecht. Dann haben die Scanner auf den MUA-Hosts weniger zu tun... ;)
Zum Thema Wortfilter? Davon fange ich besser gar nicht an [..]
Hab ich jetzt noch nicht angeschaut. Aber das was man hier immer wieder an bounces bekommt, weil $USER via $IDIOTENISP mit $WORTFILTER subscribed ist, nur weil man z.B. mal schreibt, dass solch scheiss SW Schlangenoel und grober Unfug ist, das ist fuer mich hier meist doch eher amuesant. -dnh, patting his sigmonster [1] da durch spamassassin ausgefiltert... [2] nicht zu dir, latuernich, sondern zu all denen, die solche Mist-^WScheiss-^W beschissenen Filter schreiben und verwenden. Mal sehen, wo das wieder ueberall in $FILTER haengenbleibt... -- Don't Panic
Hallo, On Tue, 10 Jun 2003, Andreas Kneib wrote:
* David Haller
: *gah*! Ich werd schon fast nostalgisch bzgl. meiner Viren-verseuchten Amiga-Disketten...
ByteBandit :)
Sacht mir (fast) nix -> PM? Damals[tm][1] war _ich_ der Newbie ;)) Ich habe damals nur von $IRGENDWO[tm] Disketten "bekommen", wo eben gerne auch mal ein Virus mit dabei war... Gestoert hat mich das aber eh nur, wenn deswegen dann "Guru Meditation"s ausgeloest wurden oder das Spiel nicht mehr richtig lief... *hach* Allein diese Meldung ;)) Naja, ich habe dann aber doch relativ bald auch ab und an mal den µEmacs und AmigaBasic verwendet ;) /me hat sich damals den Luxus geleistet, das RAM von .5 auf 1 MB zu verdoppeln... Und heut hab ich 320 MB in der Kiste *g*... Und ja, ich bereue es inzwischen, meine "Freundin" hergegeben zu haben... *seufz* Die Spiele heute sind uebrigens nur von der Grafik her schicker, das Spiel selbst ist meist nur ein mehr oder weniger mueder Abklatsch der alten Ideen... MI, Lemmings, RR-Tycoon, EOB[2], Kick Off... Oder dann auf DOS: M&M (EOB Ersatz), Descent [3], Civilization...
Jo, langlang ist's her...
Och, soooo alt fuehl ich mich noch gar nicht ;) -dnh [1] Anfang der 90er, IIRC [2] Das suche ich uebrigens "verzeifelt"... [3] ja, ich kenn d1x, das laeuft praechtig[4], mir ist nur leider grad der (neue!) Joystick verreckt *ARGH* [4] und das hab ich mir sogar schon "passend" gehackt, ich habe diese niedrigen Limits fuer die "Missiles" schon immer gehasst ;) OpenSource is geil ;) -- "Powered-up hardware and sweat do not mix." -- Simon Cozens
Hallo,
* Joerg Rossdeutscher
Am Fre, 2003-06-06 um 21.30 schrieb Bernd Schmelter:
Im Header sieht man das. Hier ein Headerauszug Deiner Mail an die Liste:
-- |X-Spam-Status: No, hits=-7.6 required=5.1 | tests=BAYES_01,PGP_SIGNATURE_2 | autolearn=ham version=2.55 --
Wenn Bayes seine Arbeit tut, dann steht bei "tests" immer Bayes_XX.
In einer Spam-Mail stehen ordnungsgemäß die Gründe, warum die Mail identifiziert wurde, es sind aber nur die "normalen" Kriterien wie HTML, Erwähnung kleiner Sauereien und so.
Das gleiche hier. Vor einigen Tagen bin ich von der Version 2.53 auf 2.55 umgestiegen. Bei der 2.53 klappte auch noch alles hervorragend. Bei der 2.55 sind Einträge wie "use_bayes 1" und "auto_learn 1" in der user_prefs oder local.cf bei mir wirkungslos, obwohl auto_learn laut sa-learn(1) sogar per Default eingeschaltet sein sollte. Ich hatte schon überlegt, ob es daran liegen könnte, dass ich Spamassassin lokal für einen User installiert habe, aber dann hätte ich evtl. Fehler wohl auch schon in der 2.53 bemerkt. Ausserdem werden alle anderen Konfigurationen in der user-prefs auch ausgewertet - nur halt mit Bayes tut sich nichts. Wenn Du noch was entdeckst zu dem Thema, dann gib bitte Laut. ;) Gruss, Andreas -- [andreas] > du -hs mutt-manual 328k mutt-manual *WOW!* [andreas] > du -hs gnus-manual 1.9M gnus-manual *GASP!*
Andreas Kneib wrote: [...] Ich mache hier alles "sidewide" über die /etc/mails/spamassassin/local.cf. ----------------------------------- required_hits 5.1 rewrite_subject 0 spam_level_stars 0 report_safe 0 bayes_path /etc/mail/spamassassin/bay/bayes score RAZOR_CHECK 0 score RCVD_IN_ORBS 0 use_terse_report 1 auto_learn_threshold_spam 7.0 ok_languages de en ok_locales en whitelist_to spamassassin-talk@lists.sourceforge.net whitelist_from *@ssl.berkeley.edu #deutsche Phrasen rawbody GERMAN_PORN_1 /(vernaschen|geil|schatz|single|dates|livechat|kuss|fick|amateur|kostenlos|treff|privat|erotik|flirt|anonym|0190|hack|dialer|invest|cash|webcam|girls)/ describe GERMAN_PORN_1 words and phrases indicating German porn (1) score GERMAN_PORN_1 1.8 ------------------------------------- Wie ruft ihr spamassassin auf? Die Bayesfiles werden default unter ~/.spamassassin gesucht für die User-ID, die spamassassin startet oder via spamc auf spamd zugreift. MfG Benn -- #250319 - http://counter.li.org
On Sat, 7 Jun 2003, Bernd Schmelter wrote: Hi,
Wie ruft ihr spamassassin auf? Die Bayesfiles werden default unter ~/.spamassassin gesucht für die User-ID, die spamassassin startet oder via spamc auf spamd zugreift.
Schaltet mal das Debugging fuer spamassassin/spamd ein, bei beiden geht das mit -D. Die werden dann sehr gespraechig, und ich wuerde mal die Logfiles checken. Bei meiner Installation auf unserem Solaris-Mailserver lag es an den Permissions, die zentrale Datenbank musste fuer alle schreibbar sein. Noch was zum Lernen: Automatisch gelernt wird Spam bei Punktezahlen ueber 15 und Ham bei kleiner als -5(?). Es lohnt sich also auch noch, aussortierten Spam kleiner 15 lernen zu lassen oder "gute" Mails mit nicht so niedrigen Werten. Die Manpage sagt aber auch, dass man bei Ham vorsichtig sein soll und nicht zu wenige Mails zum Fuettern nehmen soll. Und: Was nun bei uns nahezu 100%ige Sicherheit bei der Spam-Erkennung bringt: installiert noch Net::DNS (CPAN), Razor, Pyzor und DCC. Spamassassin erkennt automatisch, wenn die Tools installiert sind und zieht die zusaetzlich zur Bewertung heran. Ok, Ihr muesst dazu online sein. http://razor.sourceforge.net/ http://pyzor.sourceforge.net/ http://www.rhyolite.com/anti-spam/dcc/ Bei etwa 50 Spams am Tag kommen bei mir vielleicht noch 3 die Woche durch, false Positives hatte ich bisher nur eine Einzige in mittlerweile einigen Monaten... Spamassassin ist genial! Viele Gruesse Dirk -- private office Schubertstr. 43 ComNets - RWTH Aachen 52080 Aachen Lehrstuhl fuer Kommunikationsnetze Phone +49 (0) 241 961180 Phone +49 (0) 241 8793779
On Sat, Jun 07, 2003 at 01:15:50PM +0200, Dirk Kuypers wrote:
Und: Was nun bei uns nahezu 100%ige Sicherheit bei der Spam-Erkennung bringt: installiert noch Net::DNS (CPAN), Razor, Pyzor und DCC.
Ich habe bei mir Razor und Net::DNS drin, und bekomme so mit einer fast unmodifizierten .spamassassin/user_prefs ----- required_hits 4 whitelist_from bestellbestaetigung@amazon.de subject_tag SPAM _HITS_ - rewrite_subject 1 score MIME_HTML_ONLY 1.5 score MICROSOFT_EXECUTABLE 1.5 ok_languages de en ok_locales en # bayes use_bayes 1 auto_learn 1 auto_learn_threshold_nonspam 0 auto_learn_threshold_spam 6 # Razors use_razor1 1 use_razor2 1 ----- nur noch sehr wenig Spam (pro Tag kommen 3-4 Nachrichten durch). Genaugenommen fange ich 100 bis 200 Nachrichten Spam am Tag im Gegenwert von 3-4 Megabyte. Das Resultat habe ich zeichnen lassen: http://vvv.koehntopp.de/spamstat/ Ohne SpamAssassin und procmail wäre Mailadresse schon lange nicht mehr verwendbar. Kristian
Moin, Einleitendes postscriptum: Ich lasse über diese Mail einmal "Suchen und ersetzen rübergehen und ersetze @ durch (AT), weil unten im log ziemlich viele Mailadressen auftauchen) Am Sam, 2003-06-07 um 12.20 schrieb Bernd Schmelter:
Wie ruft ihr spamassassin auf? Die Bayesfiles werden default unter ~/.spamassassin gesucht für die User-ID, die spamassassin startet oder via spamc auf spamd zugreift.
Auf meinem lokalen Mailserver: fetchmail holt die Mails "....is ratti
here" von diversen POP3's ab, schickt sie durch procmail und postfix,
sodaß sie lokal liegenbleiben, und mein Rechner holt sie wiederum über
pop3 ab. Spamassassin läuft auf dem Server, weil mir das Filtern sonst
zu lahm ist. Die Einbindung läuft über procmail:
ratti(AT)server:~> cat .procmailrc
:0fw: spamassassin.lock
| /usr/bin/spamassassin
Ich habe sowohl als root als auch als ratti sa-learn gefüttert.
spamc/spamd läuft eigentlich nicht.
Durch die Einbindung per procmail entfällt auch der Zwang, irgendeinen
Daemon neu zu starten...
Hatte ich vergessen, extra zu erwähnen: Nichts besonderes in den Logs.
Ich habe jetzt mal testweise ~/.spamassassin/bayes* auf 666
ge'chmode'ed.
Isses auch nicht.
So, dann hatte jemand die Idee, spamassassin im Debug-Modus laufen zu
lassen. Prima Idee, hatte ich übersehen, daß es den gibt.
Also, ich nehme mir eine spam-Mail, schiebe sie auf den Server und
befreie sie von der bestehenden Erkennung:
spamassassin -d
Joerg Rossdeutscher wrote: [...]
debug: is spam? score=4.6 required=5 tests=HTML_50_60,HTML_FONT_BIG,LARGE_HEX,MIME_HTML_ONLY,MISSING_MIMEOLE,PRIORITY_NO_NAME,X_MSMAIL_PRIORITY_HIGH,X_PRIORITY_HIGH
Da steht also eine ganze Menge Bayes-Kram drin, und es sieht so aus, als würde es prima ausgeführt. Ich hab's nochmal gemacht ohne die Umleitung nach /dev/null, und im Header steht weiterhin nur:
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)
Nicht von aktivem Bayeskrams. Hä?
Das sieht gut aus. Versuchs mal mit einer Spammail.
Ich habe gerade mit den sources gelieferten Testmails getestet.
Als User in der Konsole folgendes getan:
spamassassin -D -t
Am Sam, 2003-06-07 um 15.32 schrieb Bernd Schmelter:
Joerg Rossdeutscher wrote:
Du hast in Deiner local.cf - always_add_headers auf 0 gesetzt. Deshalb wird bei "Nicht-spam" auch nix angezeigt. Das heisst nicht, dass Bayes nicht arbeitet.
Ich Hirsch. Ich habe es auf 1 gesetzt, und voila, bei der nächsten Mail (war auch kein Spam): X-Spam-Status: No, hits=-5.6 required=5.0 tests=BAYES_01,FROM_ENDS_IN_NUMS,IN_REP_TO,QUOTED_EMAIL_TEXT,X_LOOP,X_MAILING_LIST version=2.55 Danke! Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
* Joerg Rossdeutscher
Am Sam, 2003-06-07 um 15.32 schrieb Bernd Schmelter:
Joerg Rossdeutscher wrote:
Du hast in Deiner local.cf - always_add_headers auf 0 gesetzt. Deshalb wird bei "Nicht-spam" auch nix angezeigt. Das heisst nicht, dass Bayes nicht arbeitet.
Ich Hirsch.
Danke!
Auch von Rotwild Nummer 2 ein Dankeschön! :) Viele Gruesse, Andreas -- -----BEGIN GEEK CODE BLOCK (v3.12)----- GL/P/TW d? s+:+ a C++ UL+++ L+++ P+>++ E+>++ W- N+++ o-- K- !w(--) O? M- V- !PS@ !PE? Y? PGP t+@ 5-- X- R- tv- b++ DI? D- G++ e* r+++ h---- y++++ ------END GEEK CODE BLOCK------
participants (15)
-
Adalbert Michelic
-
Andreas Feile
-
Andreas Kneib
-
Bernd Schmelter
-
Christoph Maurer
-
Daniel Lord
-
David Haller
-
Dirk Kuypers
-
Florian Gross
-
Henning Hucke
-
Joerg Rossdeutscher
-
Kristian Koehntopp
-
Martin Falley
-
Michael Meyer
-
Thomas Hertweck