No e-mail que eh enviado para o MAILER-DAEMON dizendo que foi detectado
um virus na mensagem dele, eu peguei o cabecalho abaixo, mas nenhum dos
enderecos que ele cita eh da minha rede. Pelo que eu entendi, o e-mail
deveria ter sido enviado por 65.198.43.174, certo? Ha a possibilidade do
micro infectado nao estar realmente aqui na rede, mas sim fazendo o que
vc disse na primeira mensagem? Se mandando pela lista de contatos e
pegando a identificacao do MAILER-DAEMON?
E qual seria a maneira mais correta de se agir nessa situacao?
Obrigado novamente
Heber
------------------------- BEGIN HEADERS -----------------------------
Return-Path: <>
Received: from mails.conexion.com.py ([209.117.123.2])
by serverw.emilioribas.sp.gov.br (8.9.3/8.9.3) with ESMTP id
LAA02754
for <[EMAIL PROTECTED]>; Fri, 27 Apr 2001 11:03:22
-0300
Received: from oemcomputer (ppp429.conexion.com.py [65.198.43.174])
by mails.conexion.com.py (8.11.0/8.11.0) with SMTP id
f3RExKZ27029
for <[EMAIL PROTECTED]>; Fri, 27 Apr 2001 10:59:20
-0400
Date: Fri, 27 Apr 2001 10:59:20 -0400
Message-Id: <[EMAIL PROTECTED]>
From: Hahaha <[EMAIL PROTECTED]>
Subject: Enanito si, pero con que pedazo!
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="--VE5MZCPUFO9IZ8LI70TE7O5EJOHQNOLM3ST"
X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
-------------------------- END HEADERS ------------------------------
--
#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#=#
Heber Blain Goncalves
Administrador de Rede
Biblioteca do Instituto de Infectologia Emilio Ribas
Linux Registered User # 167580
"Quem pouco ou nada sabe, pensa mal e costuma agir pior ainda"
Leon Trotsky
Wagner Klein da Silva wrote:
> Sim. A analise a linha "Received: " vai te dizer qual � o computador
> que est� contaminado.
>
> Voc� tem que descobrir como ver "todos os headers" em seu programa de
> email, pois usualmente esta informa��o � suprimida na visualiza��o
> pelo MUA (pine, outlook, eudora, ...).
>
> Essas linhas tem o formato geral do tipo:
>
> Received: from animaniacs.conectiva.com.br (animaniacs.conectiva.com.br
>[200.250.58.146])
> by seti.psi.com.br (8.8.5/8.8.5) with ESMTP id LAA06969
> for <[EMAIL PROTECTED]>; Tue, 25 Jan 2000 11:17:27 -0200
>
> O "from blablabla" vai ser lixo (colocado pelo virus), o que est�
> entre parentesis logo ap�s � a informa��o que o sendmail coloca em
> fun��o do IP de conex�o. Na linha acima � o IP 200.250.58.146 que
> resolve no nome animaniacs.conectiva.com.br.
>
> --- Wagner [EMAIL PROTECTED]
Assinantes em 27/04/2001: 2252
Mensagens recebidas desde 07/01/1999: 111201
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
