Hilfe, Wurmbefall bei GMX

[Hans-Georg Normann]

Habe seit gestern fast 300 Viruswarnungen von GMX erhalten. Das sollte für den Anfang reichen, zumal mein Linux das *.exe Gestümpere doch nicht frißt! Da GMX mittlerweile dazu übergegangen ist, die vierenverseuchten Mails gleich zu löschen, benötige ich eigentlich in diesem Fall auch keine Benachrichtigung mehr.

Alle Mails kommen von mailing@gmx.net und weisen im Textbereich die Zeile

Code:

Virus: "W32/Gibe-F"
#suchmuster beginnt am Zeilenanfang!

Angeblich kann ich bei GMX mit regexpression arbeiten. Nur wie geht das? Wenn ich

Code:

/^Virus\: \"W32\/Gibe-F\"/

eintrage, passiert nix. Die Doku zeigt mir auch nur, wie ich was zusammenklicke

Hat einer einen Tipp?

[sagi]

hallo.

ich glaube, dass du statt "\:" einfach ":" verwenden kannst. bin mir da aber jetzt nicht ganz sicher.

mfg

c.

[Hans-Georg Normann]

Original geschrieben von Claudine
Es kann doch sein, das GMX automatisch im Volltext sucht, oder per Perl oder PHP Sonderzeichen aus Sicherheitsgründen gelöscht oder maskiert werden auf dem Server. Dann funktioniert dein REGEX natürlich nicht.

Die sagen ausdrücklichm dass Spezialisten REGEX verwenden können. Wie das geht sagen sie aber in der FAQ nicht. Ich hab mal die Hotline eingeschaltet.

Die Filter die ich mir da zusammenklicken kann, sind mir nicht kompakt genug. Wenn ich nur nach W32 suche, dann kann das ganz schnell schiefgehen, auch wenn ich privat mich von dem Krempel verabschiedet habe.

[tomes]

Also wenn die spamassassin benutzen, wuerde ich folgendes benutzen:
/^Virus\:.*\"W32\/Gibe\-F\"/i
.* ist klar, dafuer koennte man dann jetzt auch noch den : und die ersten " weglassen
\- Minus muss glaub ich auch geschuetzt werden (Deshalb vielleicht nicht )
i gross/klein Schreibung egal

Steht in deinen Mails nichts im Header ??? Koennte auch sein das deine Adresse in der Withlist steht, dann bekommst du die Mails "fast" immer ( gibt meist 100 Plusspunkte)

T;o)Mes

[Hans-Georg Normann]

@tomes

Bis auf das maskierte Minuszeichen und die Option i habe ich ja das so gemacht. Geht aber nicht. Habe auch einige andere (simplere) Einstellungen probiert. Die hotline war heut scheinbar noch nicht ausgeschlafen, deshalb auch noch keine REGEXP von GMX.

Und der Header macht mir nicht so den Eindruck, als wenn ich aus dem alleine eine totsichere Ableitung machen kann. In Verbindung mit anderen Kriterien sollte das aber gehen. Ich habe mal eine original Benachrichtigungsmail angehängt.

Heuze hat sich das dann etwas normalisiert. Habe nur ca. 120 Mails bekommen. Wenn jemand etwas aus meinem Testlabor benötigt, bitte nur bescheid sagen. Oder kann man die Viecher auch bei eBay verscheuern? Sind ja noch jungfräulich und unverbraucht.

Hans

[tomes]

Mal ne Frage:
Warum setzt du --> GMX Virenscanner <mailings@gmx.net>
nicht auf die Blacklist ? Waehre die einfachste Moeglichkeit.

Mit dem Header, dachte ich das die Spamassassin Treffer eingeschrieben werden. Machen wir so, dann weiss man wo es noch fehlt.
So koennte es sein, dass *@gmx.net automatisch in der Whitelist steht und somit schwer zu blocken ist.

Versuche es ueber den Absender s.o.

T;o)Mes

[Hans-Georg Normann]

Ich mache es so ähnlich. Ich prüfe auf den Absender mailings.gmx.net und Messagetxt enthält Virus und Messagetext enthält GIBE-F. Das funktioniert auch so für den Augenblick.

Ich hoffe ja, daß das ganze jetzt langsam abflaut. Eigentlich möchte ich schon wissen, was da so in meinem Postfach landet. Es war halt nur im Moment ein bisschen viel Und außerdem reizt es mich, wenn man da etwas definieren kann womit man sich beim Zusammenklicken die Finger blutig klickt und doch nicht zum Ergebnis kommt. Andere schreiben Viren und ich verleg mich darauf Filter zu definieren.

[tomes]

Andere schreiben Viren und ich verleg mich darauf Filter zu definieren.

Schau dir doch mal den Spamassassin an.
Da ist relativ schnell klar, wie die Filter *funcen*

Tomes

[Hans-Georg Normann]

Original geschrieben von tomes
************************************************
Man(n oder Frau) muss nicht alles wissen,
Man(n oder Frau) muss nur wissen wo es steht !
************************************************

Das trifft den Nagel auf den Kopf. Hier steht es jedenfalls nicht: >>GMX FAQ<<

[tomes]

T;o)Mes