день добрый
сегодня с утра пришло больше десятка Trojan.Dropper.Small-11 (по
классификации ClamAV), он же Win32.HLLM.Beagle.9728 (по классификации
DrWeb).
во всех экземплярах есть одна общая черта - доменная часть поля
Message-Id совпадает (даже с учетом регистра) с доменной часть адреса
envelope recipient (который в свою очередь полностью совпадает с header To)
так вот, может в проверку Message-Id в ключить функционал, позволяющий
отвергать письма, у которых домен адреса получателя находится в $w или
$R или указан в access_db с квалификатором To и значением RELAY и
совпадает с доменом из Message-Id?
ессно, при этом надо исключать из проверки локальные сообщения и
сообщения от аутентифицированных отправителей
--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Best wishes Victor Ustugov mailto:victor на corvax.kiev.ua
public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc
ICQ: 77186900, 32418694 CRV2-RIPE, CRV-UANIC