[
▲前のスレッド
]
[8230]
Subjectが"RE:"だけのものを振り分けたい
▽
2001/11/29 (木) 22:06:45
▽
はむ
gatekeeper2.sony.co.jp / Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)
最近はやりの「BADTRANS.B」ウィルスメール着信に悩まされています。
こいつはSubjectが"RE:"のみなので見ずに削除すればいいのですが。
フィルタリングマネージャーで
ヘッダ: Subject
文字列: RE:
とすると"RE:〜"のメールも引っかかってしまいます。
"RE:"だけを対象にするにはどうすれば良いのでしょうか?
[8231]
Re:Subjectが"RE:"だけのものを振り分けたい
▽
2001/11/29 (木) 22:10:09
▽
skyhigh
mz5ip008.mnet.ne.jp / Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
私も今そのフィルタリングマネージャーの設定をしようとして
行き詰まってるところでした。Re:だけじゃなく添付ファイルでの
条件設定はどうしたらいいでしょうか。
拡張子がこれこれの添付が有る場合・・という条件の設定は
できますでしょうか・・
[8232]
Re2:Subjectが"RE:"だけのものを振り分けたい
▽
2001/11/29 (木) 22:18:34
▽
skyhigh
mz5ip008.mnet.ne.jp / Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
スミマセン自己レスです。
検索でいくつかヒットしましたので研究してみます。
[8234]
Re:Subjectが"RE:"だけのものを振り分けたい
▽
2001/11/29 (木) 22:42:33
▽
noris
〔
HomePage
〕
proxy1.7-dj.com / INCM1.21e
「英大小文字を区別」を OFF、「正規表現」を ON にしたうえで、
^Re:$
とすれば良いです。(意味はヘルプで「正規表現」を調べてください)
その他の条件について、私もヘッダの部分だけ他にコピーして取っておいて
研究してみてたんですが、今のところ「====_ABC1234567890DEF_====」とい
う文字列をヘッダのどこかに含む、というのが、同ウイルスの共通点(かつ、
他のメールにはまず見られない特徴)としてあげられるように思えます。
「*(全てのヘッダ)」を対象として、同文字列を含むとき、という条件で
いけるんじゃないかなと思っているんですが……。
[8235]
Re2:Subjectが"RE:"だけのものを振り分けたい
▽
2001/11/29 (木) 23:13:42
▽
skyhigh
mz2ip061.mnet.ne.jp / Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
subjectが「Re」だけで且つ
ヘッダーのどこかに「====_ABC1234567890DEF_====」が有れば
ゴミ箱直行の条件設定をしました。
いいタイミングでウィルスメールが来ましたがこれも
「====_ABC1234567890DEF_====」がありました。
しばらくこれで様子を見たいと思います。
ありがとうございました。
[8236]
Re3:Subjectが"RE:"だけのものを振り分けたい
▽
2001/11/29 (木) 23:31:11
▽
pon
c218060.ppp.asahi-net.or.jp / Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
▼ skyhighさん
>
> subjectが「Re」だけで且つ
> ヘッダーのどこかに「====_ABC1234567890DEF_====」が有れば
> ゴミ箱直行の条件設定をしました。
> いいタイミングでウィルスメールが来ましたがこれも
> 「====_ABC1234567890DEF_====」がありました。
> しばらくこれで様子を見たいと思います。
> ありがとうございました。
僕も全く同じ設定をしたところです。
ソースで見たときの、cid=のところも
統一されているのですが、それをキャッチする方法はあるので
しょうか。
<iframe src=cid:EA4DMGBP9p height=0 width=0>
これです。
[8238]
Re4:Subjectが"RE:"だけのものを振り分けたい
▽
2001/11/29 (木) 23:50:41
▽
skyhigh
mz4ip208.mnet.ne.jp / Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
▼ ponさん
> ▼ skyhighさん
> >
> > subjectが「Re」だけで且つ
> > ヘッダーのどこかに「====_ABC1234567890DEF_====」が有れば
> > ゴミ箱直行の条件設定をしました。
> > いいタイミングでウィルスメールが来ましたがこれも
> > 「====_ABC1234567890DEF_====」がありました。
> > しばらくこれで様子を見たいと思います。
> > ありがとうございました。
>
> 僕も全く同じ設定をしたところです。
> ソースで見たときの、cid=のところも
> 統一されているのですが、それをキャッチする方法はあるので
> しょうか。
>
> <iframe src=cid:EA4DMGBP9p height=0 width=0>
>
> これです。
私も最初はそのcidを使って・・・と考えたんですが
ソース内を調べる方法が無さそう(有るかも)でしたので止めました。
「====_ABC1234567890DEF_====」が特有のものみたいですので
上記の条件でいけるんではないかと思います。
ただReの後に適当なsubjectがつく場合もあるという情報もありますので
「Re」だけ、と限定してよいかどうかもちょっと様子見です。
[8245]
Re5:Subjectが"RE:"だけのものを振り分けたい
▽
2001/11/30 (金) 07:35:33
▽
noris
〔
HomePage
〕
proxy1.7-dj.com / Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
> ただReの後に適当なsubjectがつく場合もあるという情報もありますので
> 「Re」だけ、と限定してよいかどうかもちょっと様子見です。
同じく
http://www.ipa.go.jp/security/topics/new
virus/badtrans-b.html
によると、他のパターンもあります。私のところにも3パターン全部届いて
ます。
個人的で無責任な見解ですが、シンプルに「====_ABC1234567890DEF_====」
の単体だけでいいんじゃないかと思ってます。通常の場合のファイル添付で、
こういう適当な文字列をつけるメーラはありえないと思いますし(実際、私
のローカルに残っているメール&バックアップログで検索してみましたが、
ウイルス以外にはヒットしませんでした)。
なお、この文字列で google 検索してみたところ、どうやらついでに nimda
にもヒットする条件となりえるようです。効率的ですね。
# でももしこれで他の普通のメールを削除するようなことになってしまっ
# ても、その辺は自己責任でお願いします
[8248]
Re6:Subjectが"RE:"だけのものを振り分けたい
▽
2001/11/30 (金) 12:06:54
▽
skyhigh
mz5ip149.mnet.ne.jp / Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
▼ norisさん
>
> > ただReの後に適当なsubjectがつく場合もあるという情報もありますので
> > 「Re」だけ、と限定してよいかどうかもちょっと様子見です。
>
> 同じく
http://www.ipa.go.jp/security/topics/new
virus/badtrans-b.html
> によると、他のパターンもあります。私のところにも3パターン全部届いて
> ます。
>
> 個人的で無責任な見解ですが、シンプルに「====_ABC1234567890DEF_====」
> の単体だけでいいんじゃないかと思ってます。通常の場合のファイル添付で、
> こういう適当な文字列をつけるメーラはありえないと思いますし(実際、私
> のローカルに残っているメール&バックアップログで検索してみましたが、
> ウイルス以外にはヒットしませんでした)。
やはり Reにも別のパターンが有りましたか・・
さらにくやしい事に「====_ABC1234567890DEF_====」以外のパターンも今日
初めて来ました。
今度は"----7E6C7CD4_Outlook_Express_messa
ge_boundary"でした。
[8260]
Re7:Subjectが"RE:"だけのものを振り分けたい
▽
2001/12/1 (土) 02:31:54
▽
はむ
nttaich021129.flets.ppp.infoweb.ne.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
皆さんレスありがとうございます。
やはり、同じようにBADTRANSに悩まされていたんですね。
困ったもんですな。>Outlook
色々と条件を組み合わせてやって見ます。
どうもありがとうございました。
[8242]
関連して質問です
▽
2001/11/30 (金) 02:14:45
▽
Tetz
ntttkyo25057.ppp.infoweb.ne.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Q312461)
同じく鬱陶しいくらいBadtransが来るのですが、
フィルタリングで"_"が最初に付くアドレスとか
の規制は可能なものなのでしょうか?
[8244]
Re:関連して質問です
▽
2001/11/30 (金) 07:24:56
▽
noris
〔
HomePage
〕
proxy1.7-dj.com / Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
> フィルタリングで"_"が最初に付くアドレスとか
> の規制は可能なものなのでしょうか?
技術的には、やはり「正規表現」ON で
^[^<]+<_
で可能です。最初に登場した "<" のあとにすぐ "_" があればヒットします。
でも
http://www.ipa.go.jp/security/topics/new
virus/badtrans-b.html
あたりの情報からしても、アンダーバーが付かないパターンもありますので、
これで完全網羅というわけにはいかないですね。
[
▼次のスレッド
]
INCM/CMT
Cyclamen v3.84