Virus-sjekk av innkommende mail: Forskjell mellom sideversjoner
(Ny side: {{trenger gjennomgang}} I et par år har mailserverne hatt et visst forsvar mot mailvirus som ILOVEYOU og SirCam. Dette er virus særlig rettet mot Outlook og distribueres som eksekverbare ...) |
Ingen redigeringsforklaring |
||
Linje 16: | Linje 16: | ||
Meldinger som har blitt sjekket for virus og altså er klarert av mailserveren, påføres slike meldingsheadere: | Meldinger som har blitt sjekket for virus og altså er klarert av mailserveren, påføres slike meldingsheadere: | ||
X-checked-clean: by exiscan on alf | : X-checked-clean: by exiscan on alf | ||
X-Scanner: 639accbf9a9689f39f9209f426fe0810 http://tjinfo.uib.no/virus.html | : X-Scanner: 639accbf9a9689f39f9209f426fe0810 http://tjinfo.uib.no/virus.html | ||
Den tiltenkte mottager vil få en mail som viser headerne til virusmailen og forteller hvilket virus som ble funnet. Meldingen vil se omtrent slik ut: | Den tiltenkte mottager vil få en mail som viser headerne til virusmailen og forteller hvilket virus som ble funnet. Meldingen vil se omtrent slik ut: | ||
From: exiscan@uib.no | : From: exiscan@uib.no | ||
Subject: NOTIFICATION: Virus stopped | : Subject: NOTIFICATION: Virus stopped | ||
: An EMail directed to you, with subject | |||
:: 'Re: et eller annet emne', | |||
: from <somebody@somewere.net>, contained a virus or other harmful content. | |||
: The virus was sent from fep03.swip.net [930.944.199.491] | |||
: ID: 1692pb-0001Ck-00 | |||
Når avsender '''ER''' varslet vil mailen til mottageren fortelle: | Når avsender '''ER''' varslet vil mailen til mottageren fortelle: | ||
:: The sender HAS been notified by us. | |||
Når avsender '''IKKE''' er varslet vil mailen til mottageren fortelle: | Når avsender '''IKKE''' er varslet vil mailen til mottageren fortelle: | ||
:: Feel free to contact the sender, he/she has NOT been notified by us. | |||
Du trenger ikke å gjøre noe etter mottak av slik melding, | |||
viruset er fjernet før det nådde deg! | |||
Du trenger ikke å gjøre noe etter mottak av slik melding, '''viruset er fjernet før det nådde deg!''' | |||
Ofte vil avsender være ukjent. Det skyldes at noen av virusene har mer utspekulerte metoder enn bare å bruke adresseboken til OutLook når viruset samler inn adresser det vil prøve å spre seg til. F.eks. vil noen virus samle inn mailadresser fra websider, nyhetsgrupper og fra maillister hvor både avsender og mottager er medlemmer | Ofte vil avsender være ukjent. Det skyldes at noen av virusene har mer utspekulerte metoder enn bare å bruke adresseboken til OutLook når viruset samler inn adresser det vil prøve å spre seg til. F.eks. vil noen virus samle inn mailadresser fra websider, nyhetsgrupper og fra maillister hvor både avsender og mottager er medlemmer | ||
Men iblant vil avsender være kjent og da vil det være vennlig av deg å gi vedkommende beskjed om at hans PC er infisert av virus. De fleste mail-virus sender seg selv til et stort antall adressater uten avsenders viten eller vilje. | Men iblant vil avsender være kjent og da vil det være vennlig av deg å gi vedkommende beskjed om at hans PC er infisert av virus. De fleste mail-virus sender seg selv til et stort antall adressater uten avsenders viten eller vilje. | ||
Meldingene er altså bare til din informasjon! | Meldingene er altså bare til din informasjon! | ||
Virus som Hybris og de siste dagers populære Badtrans og Aliz vil uansett ikke inneholde tiltenkt informasjon - dette er virus som sprer seg automatisk uten avsenders viten eller vilje. For virus som SirCam og Magistr kan innholdet sågar være filer som slett ikke er tiltenkt noen mottager, men tilfeldig plukket fra "Mine Dokumenter". | Virus som Hybris og de siste dagers populære Badtrans og Aliz vil uansett ikke inneholde tiltenkt informasjon - dette er virus som sprer seg automatisk uten avsenders viten eller vilje. For virus som SirCam og Magistr kan innholdet sågar være filer som slett ikke er tiltenkt noen mottager, men tilfeldig plukket fra "Mine Dokumenter". | ||
Linje 44: | Linje 48: | ||
Word-filer som er infiserte kan imidlertid inneholde informasjon men vi har ikke mulighet for å vaske filen (selv om innholdet til en viss grad kunne ekstraheres). Slike virus vil typisk ha navn innledet av W97M/ heller enn Win32/ og da kan det utvilsomt ha noe for seg å kontakte avsender. | Word-filer som er infiserte kan imidlertid inneholde informasjon men vi har ikke mulighet for å vaske filen (selv om innholdet til en viss grad kunne ekstraheres). Slike virus vil typisk ha navn innledet av W97M/ heller enn Win32/ og da kan det utvilsomt ha noe for seg å kontakte avsender. | ||
Ved å kontakte bs.uib.no kan du reservere deg mot å få disse "recipient notifications" tilsendt. | Ved å kontakte [http://bs.uib.no/ bs.uib.no] kan du reservere deg mot å få disse "recipient notifications" tilsendt. | ||
Ofte er avsenderens adresse forfalsket. | Ofte er avsenderens adresse forfalsket. | ||
I noen tilfeller er avsenderadressen vilkårlig plukket ut blant de tiltenkte mottagerne, andre ganger er en eller flere bokstaver i adressen forandret eller som for viruset Hybris, er mailen forkledd som en feilmelding med avsender '<>'. | I noen tilfeller er avsenderadressen vilkårlig plukket ut blant de tiltenkte mottagerne, andre ganger er en eller flere bokstaver i adressen forandret eller som for viruset Hybris, er mailen forkledd som en feilmelding med avsender '<>'. | ||
I slike tilfeller vil ikke mailserverne forsøke å varsle avsender. | '''I slike tilfeller vil ikke mailserverne forsøke å varsle avsender.''' | ||
Men når viruset er kjent for å sende med en korrekt avsender så vil mailserverne varsle avsender med en mail som ser omtrent slik ut: | Men når viruset er kjent for å sende med en korrekt avsender så vil mailserverne varsle avsender med en mail som ser omtrent slik ut: | ||
Your EMail with subject | : From: exiscan@uib.no | ||
' some site for you ?! ', | : To: <mailadresse@onilne.no> | ||
sent to the recipient(s) | : Subject: WARNING! Virus detected | ||
: Your EMail with subject | |||
: ' some site for you ?! ', | |||
: sent to the recipient(s) | |||
: Fornavn.Etternavn@uib.no | |||
: contains a virus or other harmful content. | |||
: The message has NOT been delivered to the recipients. | |||
: Please contact your local support to resolve this issue. | |||
[[Kategori:E-post]] | |||
Sideversjonen fra 28. jan. 2010 kl. 17:53
I et par år har mailserverne hatt et visst forsvar mot mailvirus som ILOVEYOU og SirCam. Dette er virus særlig rettet mot Outlook og distribueres som eksekverbare (f.eks .exe, .com og .vbs) vedlegg til mailer sendt fra den infiserte avsendermaskinen.
Fra 3. november 2001 kjøres det fortløpende virussjekking på all mail som passerer mailserverne, denne virussjekken tilsvarer den som utføres på den enkelte PC og Windowsserver og vil også fange macrovirus i Word-filer mm.
Løsningen består av
- Mailsystemet exim med lokale patcher
- Selve virusscanneren Inoculan fra CA.
- Hjelpesystemet exiscan.
Statistikk over stoppede virus
Meldinger som har blitt sjekket for virus og altså er klarert av mailserveren, påføres slike meldingsheadere:
- X-checked-clean: by exiscan on alf
- X-Scanner: 639accbf9a9689f39f9209f426fe0810 http://tjinfo.uib.no/virus.html
Den tiltenkte mottager vil få en mail som viser headerne til virusmailen og forteller hvilket virus som ble funnet. Meldingen vil se omtrent slik ut:
- From: exiscan@uib.no
- Subject: NOTIFICATION: Virus stopped
- An EMail directed to you, with subject
- 'Re: et eller annet emne',
- from <somebody@somewere.net>, contained a virus or other harmful content.
- The virus was sent from fep03.swip.net [930.944.199.491]
- ID: 1692pb-0001Ck-00
Når avsender ER varslet vil mailen til mottageren fortelle:
- The sender HAS been notified by us.
Når avsender IKKE er varslet vil mailen til mottageren fortelle:
- Feel free to contact the sender, he/she has NOT been notified by us.
Du trenger ikke å gjøre noe etter mottak av slik melding, viruset er fjernet før det nådde deg!
Ofte vil avsender være ukjent. Det skyldes at noen av virusene har mer utspekulerte metoder enn bare å bruke adresseboken til OutLook når viruset samler inn adresser det vil prøve å spre seg til. F.eks. vil noen virus samle inn mailadresser fra websider, nyhetsgrupper og fra maillister hvor både avsender og mottager er medlemmer
Men iblant vil avsender være kjent og da vil det være vennlig av deg å gi vedkommende beskjed om at hans PC er infisert av virus. De fleste mail-virus sender seg selv til et stort antall adressater uten avsenders viten eller vilje.
Meldingene er altså bare til din informasjon! Virus som Hybris og de siste dagers populære Badtrans og Aliz vil uansett ikke inneholde tiltenkt informasjon - dette er virus som sprer seg automatisk uten avsenders viten eller vilje. For virus som SirCam og Magistr kan innholdet sågar være filer som slett ikke er tiltenkt noen mottager, men tilfeldig plukket fra "Mine Dokumenter".
Word-filer som er infiserte kan imidlertid inneholde informasjon men vi har ikke mulighet for å vaske filen (selv om innholdet til en viss grad kunne ekstraheres). Slike virus vil typisk ha navn innledet av W97M/ heller enn Win32/ og da kan det utvilsomt ha noe for seg å kontakte avsender.
Ved å kontakte bs.uib.no kan du reservere deg mot å få disse "recipient notifications" tilsendt.
Ofte er avsenderens adresse forfalsket. I noen tilfeller er avsenderadressen vilkårlig plukket ut blant de tiltenkte mottagerne, andre ganger er en eller flere bokstaver i adressen forandret eller som for viruset Hybris, er mailen forkledd som en feilmelding med avsender '<>'.
I slike tilfeller vil ikke mailserverne forsøke å varsle avsender.
Men når viruset er kjent for å sende med en korrekt avsender så vil mailserverne varsle avsender med en mail som ser omtrent slik ut:
- From: exiscan@uib.no
- To: <mailadresse@onilne.no>
- Subject: WARNING! Virus detected
- Your EMail with subject
- ' some site for you ?! ',
- sent to the recipient(s)
- Fornavn.Etternavn@uib.no
- contains a virus or other harmful content.
- The message has NOT been delivered to the recipients.
- Please contact your local support to resolve this issue.