[opensuse-es] Como leches envio exes a traves del amavis?
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
On Monday 03 August 2009 00:29:31 Carlos E. R. wrote:
Content-ID:
Hola:
Mal dia, eh?
me salta el amavis con "banned", tanto si envio un exe, como un zip con exe, como un zip con contraseña y un exe dentro.
No conozco amavis pero ... ¿Cambiar la extensión del ejecutable serviría?
Encima, me están tocando las narices del DNS... no me encuentra la wikipedia, novel, etc. Apago el router, enciendo, y vuelve a funcionar un rato.
Pues a mi es el DNS de la intranet el que me ha dejado de manejar los equipos
a los que doy dirección por DHCP. Preguntaré a Morfeo, porque los logs no me
dan pistas.
Suerte. Mañana segun vayas al trabajo se te ocurrira la solución.
Alfredo J.V.P.
--
"Una vez que se descarta lo imposible, lo que queda es la verdad por
improbable que parezca" (Sherlock Holmes
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-08-03 a las 02:38 +0200, Alfredo J. V. P. escribió:
On Monday 03 August 2009 00:29:31 Carlos E. R. wrote:
Hola:
Mal dia, eh?
Pfff! :-) ¿Como lo sabes?
me salta el amavis con "banned", tanto si envio un exe, como un zip con exe, como un zip con contraseña y un exe dentro.
No conozco amavis pero ... ¿Cambiar la extensión del ejecutable serviría?
Mmm... merece la pena probar... si va dentro de un zip encriptado no puede mirar el contenido, sólo el nombre. En el resto de casos cero que los abre para mirar con "file".
Encima, me están tocando las narices del DNS... no me encuentra la wikipedia, novel, etc. Apago el router, enciendo, y vuelve a funcionar un rato.
Pues a mi es el DNS de la intranet el que me ha dejado de manejar los equipos a los que doy dirección por DHCP. Preguntaré a Morfeo, porque los logs no me dan pistas.
Suerte. Mañana segun vayas al trabajo se te ocurrira la solución.
En mi caso funciona apagando el router, lo cual cambia la IP. Y quizás algo más... pero estoy usando los root server, lo cambié anoche. Ahora sigue funcionando... ni idea. Me voy. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkp2fZIACgkQtTMYHG2NR9WItACeLmghWkf1Y9EA69dLMBz5kkFh kXIAn1dwpvD/mwbT6IH+Vhxo2JQ2hDWe =O9US -----END PGP SIGNATURE-----
El 2009-08-03 a las 00:29 +0200, Carlos E. R. escribió:
me salta el amavis con "banned", tanto si envio un exe, como un zip con exe, como un zip con contraseña y un exe dentro.
Revisa la variable "bypass_banned_checks_maps" Si quieres afinar más: http://www200.pair.com/mecham/spam/bypassing.html (...)
Lo unico que se me ocurre es ponerme en "banned files friends", pero yo quiero enviar, no recibir. Antiguamente encriptando el zip tragaba :-(
Mal hecho, digo, lo de no analizar los zip cifrados. ¿O lo dices porque se podía configurar para que pasaran los que estuvieran cifrados, como casos especiales, y bannear el resto?
Encima, me están tocando las narices del DNS... no me encuentra la wikipedia, novel, etc. Apago el router, enciendo, y vuelve a funcionar un rato.
Añade en el router como servidor dns secundario uno del opendns. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-08-03 a las 08:49 +0200, Camaleón escribió:
El 2009-08-03 a las 00:29 +0200, Carlos E. R. escribió:
me salta el amavis con "banned", tanto si envio un exe, como un zip con exe, como un zip con contraseña y un exe dentro.
Revisa la variable "bypass_banned_checks_maps"
Si quieres afinar más:
Largo documento... lo miraré. Je, ahora si quiero mirar algo en el curro me lo tengo que llevar en papel de casa...
(...)
Lo unico que se me ocurre es ponerme en "banned files friends", pero yo quiero enviar, no recibir. Antiguamente encriptando el zip tragaba :-(
Mal hecho, digo, lo de no analizar los zip cifrados.
¿O lo dices porque se podía configurar para que pasaran los que estuvieran cifrados, como casos especiales, y bannear el resto?
Es que antes no se verificaban. La manera ortodoxa de pasar los filtros antiguamente era esa, enviar un zip cifrado, y la contraseña en otro correo o por telefono. De esa manera estabas seguro de que no te lo podían alterar en tránsito y meterle un virus, y de que venía realmente de la persona que te lo mandaba. En una empresa puede no interesarte que se pueda hacer si tienes los windows capados para que no instalen nada nunca. Pero luego apareció un tipo de virus que se enviaba en zip cifrado, con la contraseña en el texto, y una petición al destinatario de que lo abriera que era un documento cifrado. Por eso imagino que lo cierran ahora. Pero yo quiero abrir al menos los zip cifrados, es mi correo. (mi amigo con windows al telefono no podía descargarse el smplayer para xp desde sourceforge, porque tiene puesto uno de esos programas "inteligentes" que abren varias conexiones de descarga simultanea... lo cual volvía loco al redirector de sourceforge. Por eso trataba de enviarselo yo por correo. Al final lo consiguió descargar antes que yo enviarlo)
Encima, me están tocando las narices del DNS... no me encuentra la wikipedia, novel, etc. Apago el router, enciendo, y vuelve a funcionar un rato.
Añade en el router como servidor dns secundario uno del opendns.
Sería inutil porque desactivé el dns del router, y estaba usando directamente los root servers desde mi dns en linux. No funcionaban ninguno. Y ahora no puedo probar porque funciona. El sintoma es que funcionaban, y a los cinco minutos la resolución fallaba, hasta que reseteaba el router, que volvía a funcionar. Muy extraño. Y no era tesa globalmente, porque estaba hablando con un amigo por telefono, con xp, y le iba perfecto. Algo estaban haciendo en alguna parte. Si hubieran bloqueado las consultas pasaría eso? cer@nimrodel:~> host opensuse.org opensuse.org has address 130.57.5.70 ;; connection timed out; no servers could be reached ;; connection timed out; no servers could be reached Por cierto, existe un host llamado "wwwwikipedia.com" que no es la misma ip que "www.wikipedia.com". No lo he abierto pa' mirar. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkp3LfQACgkQtTMYHG2NR9XpGwCfeQqpYsE4YJgpUKizd1e5dzwy hRwAn2KtMobK2w6yzZCfN2DwS9WDfO59 =QG/0 -----END PGP SIGNATURE-----
El 2009-08-03 a las 20:35 +0200, Carlos E. R. escribió:
El 2009-08-03 a las 08:49 +0200, Camaleón escribió:
El 2009-08-03 a las 00:29 +0200, Carlos E. R. escribió:
me salta el amavis con "banned", tanto si envio un exe, como un zip con exe, como un zip con contraseña y un exe dentro.
Revisa la variable "bypass_banned_checks_maps"
Si quieres afinar más:
Largo documento... lo miraré. Je, ahora si quiero mirar algo en el curro me lo tengo que llevar en papel de casa...
Es que tuve que hacer lo mismo (dar más flexibilidad en los adjuntos) porque la gente se quejaba ya que el amavisd-new se los zampaba, así que tuve que buscar información sobre cómo hacerlo. No entiendo esa manía de los ejecutables, jupe, que para eso "tá" el antivirus (clamav), desactualizado seguramente (para variar), pero ahí está O:-)
Lo unico que se me ocurre es ponerme en "banned files friends", pero yo quiero enviar, no recibir. Antiguamente encriptando el zip tragaba :-(
Mal hecho, digo, lo de no analizar los zip cifrados.
¿O lo dices porque se podía configurar para que pasaran los que estuvieran cifrados, como casos especiales, y bannear el resto?
Es que antes no se verificaban. La manera ortodoxa de pasar los filtros antiguamente era esa, enviar un zip cifrado, y la contraseña en otro correo o por telefono. De esa manera estabas seguro de que no te lo podían alterar en tránsito y meterle un virus, y de que venía realmente de la persona que te lo mandaba.
En una empresa puede no interesarte que se pueda hacer si tienes los windows capados para que no instalen nada nunca.
Pero luego apareció un tipo de virus que se enviaba en zip cifrado, con la contraseña en el texto, y una petición al destinatario de que lo abriera que era un documento cifrado. Por eso imagino que lo cierran ahora. Pero yo quiero abrir al menos los zip cifrados, es mi correo.
Es que el amavisd-new viene de serie muy cerrado.
(mi amigo con windows al telefono no podía descargarse el smplayer para xp desde sourceforge, porque tiene puesto uno de esos programas "inteligentes" que abren varias conexiones de descarga simultanea... lo cual volvía loco al redirector de sourceforge. Por eso trataba de enviarselo yo por correo. Al final lo consiguió descargar antes que yo enviarlo)
Pues menos mal que lo bajó antes. Su autoestima hubiera quedado por los suelos porque enredar con el amavisd-new lleva su tiempo :-P
Encima, me están tocando las narices del DNS... no me encuentra la wikipedia, novel, etc. Apago el router, enciendo, y vuelve a funcionar un rato.
Añade en el router como servidor dns secundario uno del opendns.
Sería inutil porque desactivé el dns del router, y estaba usando directamente los root servers desde mi dns en linux. No funcionaban ninguno.
Eso no es posible. Los root-servers deben funcionar "siempre". Algo le pasaría a tu canal/línea adsl >:-)
Y ahora no puedo probar porque funciona.
El sintoma es que funcionaban, y a los cinco minutos la resolución fallaba, hasta que reseteaba el router, que volvía a funcionar. Muy extraño. Y no era tesa globalmente, porque estaba hablando con un amigo por telefono, con xp, y le iba perfecto.
Algo estaban haciendo en alguna parte. Si hubieran bloqueado las consultas pasaría eso?
cer@nimrodel:~> host opensuse.org opensuse.org has address 130.57.5.70 ;; connection timed out; no servers could be reached ;; connection timed out; no servers could be reached
Huy, ¿de qué me sonará eso? Ah, sí, cuando no podía acceder al "marc.info" desde ningún router de Telefónica >:-)
Por cierto, existe un host llamado "wwwwikipedia.com" que no es la misma ip que "www.wikipedia.com". No lo he abierto pa' mirar.
(mirando...) Es una de esas páginas que ponen de pega cuando no hay hosting activo. También está "wwwwwikipedia.com", con un "w" más. saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-08-03 a las 20:54 +0200, Camaleón escribió:
Largo documento... lo miraré. Je, ahora si quiero mirar algo en el curro me lo tengo que llevar en papel de casa...
Es que tuve que hacer lo mismo (dar más flexibilidad en los adjuntos) porque la gente se quejaba ya que el amavisd-new se los zampaba, así que tuve que buscar información sobre cómo hacerlo.
No entiendo esa manía de los ejecutables, jupe, que para eso "tá" el antivirus (clamav), desactualizado seguramente (para variar), pero ahí está O:-)
Es que son dos cosas. El amavis puede bloquear todos los ejecutables sin mirarlos, y también puede mirarlos con antivirus, pero son políticas totalmente independientes: le pasa todo al antivirus, no sólo los que ya sabe que son ejecutables. Puede interesarte bloquear todos los ejecutables sin mirar, por "principios". Como que aquí nadie instala nada salvo yo, o porque es más rápido no mirarlos.
Es que el amavisd-new viene de serie muy cerrado.
Tendría que tener una manera de ser duro con los que entran y blando con los que salen.
(mi amigo con windows al telefono no podía descargarse el smplayer para xp desde sourceforge, porque tiene puesto uno de esos programas "inteligentes" que abren varias conexiones de descarga simultanea... lo cual volvía loco al redirector de sourceforge. Por eso trataba de enviarselo yo por correo. Al final lo consiguió descargar antes que yo enviarlo)
Pues menos mal que lo bajó antes. Su autoestima hubiera quedado por los suelos porque enredar con el amavisd-new lleva su tiempo :-P
La suya no, la mia >:-) El del amavis era yo, el estaba con xp.
Encima, me están tocando las narices del DNS... no me encuentra la wikipedia, novel, etc. Apago el router, enciendo, y vuelve a funcionar un rato.
Añade en el router como servidor dns secundario uno del opendns.
Sería inutil porque desactivé el dns del router, y estaba usando directamente los root servers desde mi dns en linux. No funcionaban ninguno.
Eso no es posible. Los root-servers deben funcionar "siempre". Algo le pasaría a tu canal/línea adsl >:-)
Ya lo se.
Algo estaban haciendo en alguna parte. Si hubieran bloqueado las consultas pasaría eso?
cer@nimrodel:~> host opensuse.org opensuse.org has address 130.57.5.70 ;; connection timed out; no servers could be reached ;; connection timed out; no servers could be reached
Huy, ¿de qué me sonará eso?
Ya lo se, ya lo se... pero esto es muy distinto, me bloquea todas las consultas, no una como aquello.
Ah, sí, cuando no podía acceder al "marc.info" desde ningún router de Telefónica >:-)
Por cierto, existe un host llamado "wwwwikipedia.com" que no es la misma ip que "www.wikipedia.com". No lo he abierto pa' mirar.
(mirando...)
Es una de esas páginas que ponen de pega cuando no hay hosting activo. También está "wwwwwikipedia.com", con un "w" más.
Pero también otros ponen trampas en esos sitios. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkp3NlkACgkQtTMYHG2NR9UhugCfY/lpu9Z4HHy8h4FMwF/ptkcY zbQAn3D42q2utQiSxSLdOPpK9ca3V02t =CGce -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
No entiendo esa manía de los ejecutables, jupe, que para eso "tá" el antivirus (clamav), desactualizado seguramente (para variar), pero ahí está O:-)
Es que son dos cosas. El amavis puede bloquear todos los ejecutables sin mirarlos, y también puede mirarlos con antivirus, pero son políticas totalmente independientes: le pasa todo al antivirus, no sólo los que ya sabe que son ejecutables.
Puede interesarte bloquear todos los ejecutables sin mirar, por "principios". Como que aquí nadie instala nada salvo yo, o porque es más rápido no mirarlos.
Pues lo envió... acabo de ver los rebotes. Lo que no sé es cual versión es la que atravesó, porque tengo tres rebotes: eso quiere decir que al final a lo mejor envió el .exe, el .zip, y el .zip encriptado. A pesar de que el amavis dijo que lo metía en la cuarentena :-O - ---- - El servidor de correo ha procesado los siguientes destinatarios del mensaje: DESTINATARIO@gmail.com; Fallido; 5.3.4 (mensaje demasiado grande para el sistema) MTA remoto gmail-smtp-in.l.google.com: error de red - diagnóstico de protocolo SMTP: 552-5.7.0 Our system detected an illegal attachment on your message. Please\r\n552-5.7.0 visit http://mail.google.com/support/bin/answer.py?answer=6590 to\r\n552 5.7.0 review our attachment guidelines. - ----- Luego, aunque mi sistema lo envió, el de tesa lo pasó sin chistar, el de gmail del destino lo capó. Por tamaño y por ejecutable. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkp3ODMACgkQtTMYHG2NR9Vn3wCghVBu/tdQh4ufOPGYJDgWC2tE zgQAoIqoPUSQqIW8prscUcvc5lW0Dr2Y =2P38 -----END PGP SIGNATURE-----
El 2009-08-03 a las 21:19 +0200, Carlos E. R. escribió:
El 2009-08-03 a las 21:11 +0200, escribí:
No entiendo esa manía de los ejecutables, jupe, que para eso "tá" el antivirus (clamav), desactualizado seguramente (para variar), pero ahí está O:-)
Es que son dos cosas. El amavis puede bloquear todos los ejecutables sin mirarlos, y también puede mirarlos con antivirus, pero son políticas totalmente independientes: le pasa todo al antivirus, no sólo los que ya sabe que son ejecutables.
Puede interesarte bloquear todos los ejecutables sin mirar, por "principios". Como que aquí nadie instala nada salvo yo, o porque es más rápido no mirarlos.
Pues lo envió... acabo de ver los rebotes. Lo que no sé es cual versión es la que atravesó, porque tengo tres rebotes: eso quiere decir que al final a lo mejor envió el .exe, el .zip, y el .zip encriptado. A pesar de que el amavis dijo que lo metía en la cuarentena :-O
Efectivamente... acabo de revisar los registros del correo y los pasa como "passed BANNED". Cuando los caza, los marca como "blocked BANNED"
- ---- - El servidor de correo ha procesado los siguientes destinatarios del mensaje: DESTINATARIO@gmail.com; Fallido; 5.3.4 (mensaje demasiado grande para el sistema)
¿Ocupa más de 20 MB. el smplayer? :-?
MTA remoto gmail-smtp-in.l.google.com: error de red
- diagnóstico de protocolo SMTP: 552-5.7.0 Our system detected an illegal attachment on your message. Please\r\n552-5.7.0 visit http://mail.google.com/support/bin/answer.py?answer=6590 to\r\n552 5.7.0 review our attachment guidelines. - -----
Otra de las cosas que no me gusta del gmail, es muy poco configurable en ese aspecto (spam, adjuntos y virus) :-(
Luego, aunque mi sistema lo envió, el de tesa lo pasó sin chistar, el de gmail del destino lo capó. Por tamaño y por ejecutable.
Curioso lo del tamaño :-? Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
El 2009-08-03 a las 21:19 +0200, Carlos E. R. escribió:
Pues lo envió... acabo de ver los rebotes. Lo que no sé es cual versión es la que atravesó, porque tengo tres rebotes: eso quiere decir que al final a lo mejor envió el .exe, el .zip, y el .zip encriptado. A pesar de que el amavis dijo que lo metía en la cuarentena :-O
Efectivamente... acabo de revisar los registros del correo y los pasa como "passed BANNED". Cuando los caza, los marca como "blocked BANNED"
Ah... y ahora me acuerdo, que pregunté sobre eso, que no los bloquea. Remiraré la configuración, falla algo. ¿Para que leshes lo mete en cuarentena y lo envía, al mismo tiempo? No tiene sentido.
- ---- - El servidor de correo ha procesado los siguientes destinatarios del mensaje: DESTINATARIO@gmail.com; Fallido; 5.3.4 (mensaje demasiado grande para el sistema)
¿Ocupa más de 20 MB. el smplayer? :-?
No :-? smplayer-0.6.8-win32.exe 13698K Pero el correo se expande a 19.3M, en BASE64.
Otra de las cosas que no me gusta del gmail, es muy poco configurable en ese aspecto (spam, adjuntos y virus) :-(
Es cierto.
Luego, aunque mi sistema lo envió, el de tesa lo pasó sin chistar, el de gmail del destino lo capó. Por tamaño y por ejecutable.
Curioso lo del tamaño :-?
Pues si. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkp3SoMACgkQtTMYHG2NR9XrhQCfSz/ajgISx7Tj9nC7k3I4BRfv uf4AnRE1LC2Lveere0zdlaYZyMIuHpZ1 =dXuy -----END PGP SIGNATURE-----
participants (4)
-
Alfredo J. V. P.
-
Camaleón
-
Carlos E. R.
-
Carlos E. R.