De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.
Bloqueando o W95.Hybris no sendmail
Colaboração: Eduardo Maçan
Data de Publicação: 01 de Maio de 2001
Como parece que as pessoas não percebem que o e-mail
que chega com o subject "Branca de Neve Pornô" também conhecido como
"Snow white and the seven dwarfes" ou "Enanito si, pero con que pedazo!"
(tinha uma versão em francês, mas eu não lembro) é um e-mail que carrega
um worm anexado.
Não importando a variação linguística desta manifestação do
W95.Hybris ele sempre vem com o campo From: do e-mail da seguinte forma:
From: Hahaha <hahaha@sexyfun.net>
Podemos criar um Ruleset local no sendmail pra bloquear e devolver
um erro caso a mensagem recebida possua tal header.
Para isso editemos nosso sendmail.mc e adicionemos o seguinte
conjunto de regras logo antes do MAILER_DEFINITION:
—-------------adicionar ao sendmail.mc-------------------------
LOCAL_RULESETS
HFrom: $> CheckFrom
SCheckFrom
RHahaha$+ $#error $: 550 This message may contain the Hybris worm
—----------------------sendmail.mc-----------------------------
Isso cria uma regra para checar o conteúdo do campo From:
outras checagens do campo from podem ser adicionadas facilmente, adicionando-se
regras (linhas R) ao ruleset acima, ou mesmo de outros headers, como
Subject por exemplo criando seu próprio ruleset segundo o modelo.
Após esta adição ao sendmail.mc basta gerar o sendmail.cf novamente e
instruir o sendmail a reler sua configuração com kill -HUP <sendmail_pid>
Agora toda mensagem que contiver em seu campo From: uma string começando por
Hahaha será bloqueada e o erro 550 com a mensagem "This message may contain
the Hybris worm" será devolvido ao remetente do vírus.
Por ser uma regra embutida no servidor SMTP tanto mensagens saindo de
seu domínio, como mensagens chegando a ele são verificadas, sem praticamente
nenhum impacto perceptível em performance.
Como sempre, a melhor fonte de referência para informação adicional que eu
poderia citar é o incontestável "Livro do Morcego" da O'Reilly & Associates.