Bloqueando o W95.Hybris no sendmail

Colaboração: Eduardo Maçan

Data de Publicação: 01 de Maio de 2001

Como parece que as pessoas não percebem que o e-mail que chega com o subject "Branca de Neve Pornô" também conhecido como "Snow white and the seven dwarfes" ou "Enanito si, pero con que pedazo!" (tinha uma versão em francês, mas eu não lembro) é um e-mail que carrega um worm anexado.

Não importando a variação linguística desta manifestação do W95.Hybris ele sempre vem com o campo From: do e-mail da seguinte forma:

  	From: Hahaha <hahaha@sexyfun.net>

Podemos criar um Ruleset local no sendmail pra bloquear e devolver um erro caso a mensagem recebida possua tal header.

Para isso editemos nosso sendmail.mc e adicionemos o seguinte conjunto de regras logo antes do MAILER_DEFINITION:

  ---------------adicionar ao sendmail.mc-------------------------
  LOCAL_RULESETS
  HFrom: $> CheckFrom
  SCheckFrom
  RHahaha$+               $#error $: 550 This message may contain the Hybris worm
  ------------------------sendmail.mc-----------------------------

Isso cria uma regra para checar o conteúdo do campo From: outras checagens do campo from podem ser adicionadas facilmente, adicionando-se regras (linhas R) ao ruleset acima, ou mesmo de outros headers, como Subject por exemplo criando seu próprio ruleset segundo o modelo.

Após esta adição ao sendmail.mc basta gerar o sendmail.cf novamente e instruir o sendmail a reler sua configuração com kill -HUP <sendmail_pid>

Agora toda mensagem que contiver em seu campo From: uma string começando por Hahaha será bloqueada e o erro 550 com a mensagem "This message may contain the Hybris worm" será devolvido ao remetente do vírus.

Por ser uma regra embutida no servidor SMTP tanto mensagens saindo de seu domínio, como mensagens chegando a ele são verificadas, sem praticamente nenhum impacto perceptível em performance.

Como sempre, a melhor fonte de referência para informação adicional que eu poderia citar é o incontestável "Livro do Morcego" da O'Reilly & Associates.