How can you tell if it&#39;s a good double extension file (ie what the server THINKS NOW is non-spam/non-malware) vs what is actually bad vs a new virus signature that comes after the event that would flag the file as problematic. The double extn trap is designed to solve a particular trick the bad guys started playing years ago and the AV&#39;s weren&#39;t picking them up fast enough.<br>
<br> drop the double extn check and let them through if this is causing too many issues (false positives) - you can even do this on a per recipient/domain level (<a href="http://wiki.mailscanner.info/doku.php?id=documentation:configuration:rulesets:overloading">http://wiki.mailscanner.info/doku.php?id=documentation:configuration:rulesets:overloading</a>) for common recipients of this stuff, or educate the users that it&#39;s bad and wrong and they should cleanup the filenames before sending. or both!<br>
<br>Either<br><br clear="all">-- <br>Martin Hepworth<br>Oxford, UK<br>
<br><br><div class="gmail_quote">On 2 September 2011 11:20, Joolee <span dir="ltr">&lt;<a href="mailto:mailscanner@joolee.nl">mailscanner@joolee.nl</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
A feature that i would like to be able to disable ;)<div class="im"><br><br>&quot;Why would you want to spend precious resources on a meaningless check, 
when you already decided to stop the offending attachment?!&quot;<br></div>To inform my paying user why the contract he&#39;s been waiting for was blocked.<br><br>I think I already made quite clear why it&#39;s not an option for me to completely block them. I can&#39;t see why other users can&#39;t be bothered by it, maybe they just accept that they can&#39;t solve it? (Not my way of handling problems)<div>
<div></div><div class="h5"><br>


<br><div class="gmail_quote">On 1 September 2011 23:07, Glenn Steen <span dir="ltr">&lt;<a href="mailto:glenn.steen@gmail.com" target="_blank">glenn.steen@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<p>That&#39;s not a problem, it&#39;s a feature... And a much needed one at that!<br>
Why would you want to spend precious resources on a meaningless check, when you already decided to stop the offending attachment?!<br>
Don&#39;t deliver it at all, if it bothers you;-) </p>
<p>Cheers<br>
-- <br>
-- Glenn</p>
<div class="gmail_quote">Den 1 sep 2011 19:12 skrev &quot;Joolee&quot; &lt;<a href="mailto:mailscanner@joolee.nl" target="_blank">mailscanner@joolee.nl</a>&gt;:<div><div></div><div><br type="attribution">&gt; The problem with the current spam is that they&#39;re blocked for containing exe<br>




&gt; files, not double file extensions (Although they woul&#39;ve hit that one if<br>&gt; exe&#39;s were not clocked.)<br>&gt; <br>&gt; Only quick temporary solution is to disable all file-name validation because<br>&gt; this can occur with more than just exe files and double extensions. This is<br>




&gt; no final solution though.<br>&gt; <br>&gt; On 1 September 2011 18:40, Kevin Miller &lt;<a href="mailto:Kevin_Miller@ci.juneau.ak.us" target="_blank">Kevin_Miller@ci.juneau.ak.us</a>&gt;wrote:<br>&gt; <br>&gt;&gt; **<br>



&gt;&gt; Easiest thing to do in that case is to comment out the line in<br>
&gt;&gt; filename.rules.conf that disallows double extensions.  The message will be<br>&gt;&gt; accepted as normal and go through the additional tests (is it an executable,<br>&gt;&gt; is it a virus, is it spam, etc.)<br>




&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; ...Kevin<br>&gt;&gt; --<br>&gt;&gt; Kevin Miller                Registered Linux User No: 307357<br>&gt;&gt; CBJ MIS Dept.               Network Systems Admin., Mail Admin.<br>&gt;&gt; 155 South Seward Street     ph: <a href="tel:%28907%29%20586-0242" value="+19075860242" target="_blank">(907) 586-0242</a><br>




&gt;&gt; Juneau, Alaska 99801        fax: <a href="tel:%28907%20586-4500" value="+19075864500" target="_blank">(907 586-4500</a><br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;  ------------------------------<br>&gt;&gt; *From:* <a href="mailto:mailscanner-bounces@lists.mailscanner.info" target="_blank">mailscanner-bounces@lists.mailscanner.info</a> [mailto:<br>




&gt;&gt; <a href="mailto:mailscanner-bounces@lists.mailscanner.info" target="_blank">mailscanner-bounces@lists.mailscanner.info</a>] *On Behalf Of *Joolee<br>&gt;&gt; *Sent:* Thursday, September 01, 2011 7:32 AM<br>&gt;&gt; *To:* MailScanner discussion<br>




&gt;&gt; *Subject:* Re: MS Doesn&#39;t completely block spam with faulty attachments<br>&gt;&gt;<br>&gt;&gt; I agree that it isn&#39;t a good idea to notify the sender of a spam or virus<br>&gt;&gt; message I&#39;m not planning to do that, I know the troubles of backscatter.<br>




&gt;&gt;<br>&gt;&gt; What I&#39;ve configured is that if a user sends a completely normal<br>&gt;&gt; (non-virus, non-spam) E-mail but with, for instance, a file named<br>&gt;&gt; &quot;CurriculumVitae.doc.pdf&quot; (default output for a lot of PDF printers). The<br>




&gt;&gt; server sends out a warning to sender and the original message stripped of<br>&gt;&gt; it&#39;s attachment to the recipient of the message. Notifying the sender is not<br>&gt;&gt; strictly necessary but if this is only done for such non-virus, non-spam<br>




&gt;&gt; message, it isn&#39;t a problem either.<br>&gt;&gt;<br>&gt;&gt; The situation that bugs me is when some spam message with a file named<br>&gt;&gt; &quot;CurriculumVitae.doc.pdf&quot; is received. The message hits the filename rule<br>




&gt;&gt; and* isn&#39;t processed any further to check if its a spam message*. Because<br>&gt;&gt; it isn&#39;t processed any further, the warning messages are send out to both<br>&gt;&gt; sender and original recipient.<br>




&gt;&gt;<br>&gt;&gt; As I stated before, I can disable the sender notification. What I can&#39;t do<br>&gt;&gt; is tell my customers (the recipients) that such wrongly named files, most<br>&gt;&gt; containing important documents, are silently discarded. Sending spam to my<br>




&gt;&gt; customers that could have been recognized isn&#39;t an option either.<br>&gt;&gt;<br>&gt;&gt; The simplest solution, I think, would be to *continue processing* the<br>&gt;&gt; message after a file name rule is hit, decide if the E-mail is HAM and in<br>




&gt;&gt; that case, send out the notifications. If the E-mail is spam, silently<br>&gt;&gt; discard it.<br>&gt;&gt; It would add a bit of load to the server but stopping spam is what it&#39;s all<br>&gt;&gt; about, isn&#39;t it? :P<br>




&gt;&gt;<br>&gt;&gt; On 1 September 2011 16:34, Julian Field &lt;<a href="mailto:MailScanner@ecs.soton.ac.uk" target="_blank">MailScanner@ecs.soton.ac.uk</a>&gt;wrote:<br>&gt;&gt;<br>&gt;&gt;&gt; He&#39;s probably switched on some &quot;Notify Senders&quot; options. Bad idea :-(<br>




&gt;&gt;&gt;<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; On 01/09/2011 12:32, Martin Hepworth wrote:<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; what version of MS?<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; I never inform the sender of junk as you end up with fake messages sent<br>




&gt;&gt;&gt;&gt; out.<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; --<br>&gt;&gt;&gt;&gt; Martin Hepworth<br>&gt;&gt;&gt;&gt; Oxford, UK<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; On 1 September 2011 08:17, Joolee &lt;<a href="mailto:mailscanner@joolee.nl" target="_blank">mailscanner@joolee.nl</a> &lt;mailto:<br>




&gt;&gt;&gt;&gt; <a href="mailto:mailscanner@joolee.nl" target="_blank">mailscanner@joolee.nl</a>&gt;**&gt; wrote:<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;    Hallo Everybody,<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;    I&#39;ve experienced a small flood of virus E-mails. These E-mails<br>




&gt;&gt;&gt;&gt;    (subj.: &quot;ACH Payment *random number* Canceled&quot;) contain<br>&gt;&gt;&gt;&gt;    attachments named like: &quot;report_082011-65.pdf.exe&quot;<br>&gt;&gt;&gt;&gt;    They obviously get blocked by the &quot;no executables&quot; and &quot;No double<br>




&gt;&gt;&gt;&gt;    file extensions&quot; rules. The problem is that after blocking them,<br>&gt;&gt;&gt;&gt;    an automated E-mail is send to the original recipient and the<br>&gt;&gt;&gt;&gt; (faked) sender of the message, informing them of the blocked<br>




&gt;&gt;&gt;&gt;    attachment.<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;    Had the E-mails been processed further, they would&#39;ve probably hit<br>&gt;&gt;&gt;&gt;    the virusscanner (not tested) or spamassassin (gives a score of 27<br>




&gt;&gt;&gt;&gt;    when tested) and the E-mail would&#39;ve silently been discarded as a<br>&gt;&gt;&gt;&gt;    virus / spam / phishing.<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;    Is it possible to let the MailScanner continue it&#39;s processing<br>




&gt;&gt;&gt;&gt;    when hitting the file name rules and / or running the filename<br>&gt;&gt;&gt;&gt;    rule at a later time?<br>&gt;&gt;&gt;&gt;    --<br>&gt;&gt;&gt;&gt;    MailScanner mailing list<br></div></div>&gt;&gt;&gt;&gt;    mailscanner@lists.mailscanner.**info&lt;<a href="mailto:mailscanner@lists.mailscanner.info" target="_blank">mailscanner@lists.mailscanner.info</a>&gt;<br>




&gt;&gt;&gt;&gt;    &lt;mailto:<a href="mailto:mailscanner@lists." target="_blank">mailscanner@lists.</a>**<a href="http://mailscanner.info" target="_blank">mailscanner.info</a>&lt;<a href="mailto:mailscanner@lists.mailscanner.info" target="_blank">mailscanner@lists.mailscanner.info</a>&gt;&gt;<br>




&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;    <a href="http://lists.mailscanner.info/**mailman/listinfo/mailscanner" target="_blank">http://lists.mailscanner.info/**mailman/listinfo/mailscanner</a>&lt;<a href="http://lists.mailscanner.info/mailman/listinfo/mailscanner" target="_blank">http://lists.mailscanner.info/mailman/listinfo/mailscanner</a>&gt;<br>




&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;    Before posting, read <a href="http://wiki.mailscanner.info/**posting" target="_blank">http://wiki.mailscanner.info/**posting</a>&lt;<a href="http://wiki.mailscanner.info/posting" target="_blank">http://wiki.mailscanner.info/posting</a>&gt;<div>



<br>
&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;    Support MailScanner development - buy the book off the website!<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; Jules<br>




&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; --<br>&gt;&gt;&gt;&gt; Julian Field MEng CITP CEng<br>&gt;&gt;&gt;&gt; <a href="http://www.MailScanner.info" target="_blank">www.MailScanner.info</a><br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; Buy the MailScanner book at <a href="http://www.MailScanner.info/store" target="_blank">www.MailScanner.info/store</a><br>




&gt;&gt;&gt;&gt; Need help customising MailScanner? Contact me!<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; PGP footprint: EE81 D763 3DB0 0BFD E1DC 7222 11F6 5947 1415 B654<br>&gt;&gt;&gt;&gt; Follow me at <a href="http://twitter.com/JulesFM" target="_blank">twitter.com/JulesFM</a><br>




&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; &#39;It&#39;s okay to live without all the answers&#39; - Charlie Eppes, 2011<br>&gt;&gt;&gt;&gt; &#39;All programs have a desire to be useful&#39; - Tron, 1982<br>&gt;&gt;&gt;&gt;<br>




&gt;&gt;&gt;<br>&gt;&gt;&gt; --<br>&gt;&gt;&gt; This message has been scanned for viruses and<br>&gt;&gt;&gt; dangerous content by MailScanner, and is<br>&gt;&gt;&gt; believed to be clean.<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; --<br>




&gt;&gt;&gt;  MailScanner mailing list<br></div>&gt;&gt;&gt; mailscanner@lists.mailscanner.**info &lt;<a href="mailto:mailscanner@lists.mailscanner.info" target="_blank">mailscanner@lists.mailscanner.info</a>&gt;<br>&gt;&gt;&gt; <a href="http://lists.mailscanner.info/**mailman/listinfo/mailscanner" target="_blank">http://lists.mailscanner.info/**mailman/listinfo/mailscanner</a>&lt;<a href="http://lists.mailscanner.info/mailman/listinfo/mailscanner" target="_blank">http://lists.mailscanner.info/mailman/listinfo/mailscanner</a>&gt;<br>




&gt;&gt;&gt;<br>&gt;&gt;&gt; Before posting, read <a href="http://wiki.mailscanner.info/**posting" target="_blank">http://wiki.mailscanner.info/**posting</a>&lt;<a href="http://wiki.mailscanner.info/posting" target="_blank">http://wiki.mailscanner.info/posting</a>&gt;<div>



<br>
&gt;&gt;&gt;<br>&gt;&gt;&gt; Support MailScanner development - buy the book off the website!<br>&gt;&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; --<br>&gt;&gt; MailScanner mailing list<br>&gt;&gt; <a href="mailto:mailscanner@lists.mailscanner.info" target="_blank">mailscanner@lists.mailscanner.info</a><br>




&gt;&gt; <a href="http://lists.mailscanner.info/mailman/listinfo/mailscanner" target="_blank">http://lists.mailscanner.info/mailman/listinfo/mailscanner</a><br>&gt;&gt;<br>&gt;&gt; Before posting, read <a href="http://wiki.mailscanner.info/posting" target="_blank">http://wiki.mailscanner.info/posting</a><br>




&gt;&gt;<br>&gt;&gt; Support MailScanner development - buy the book off the website!<br>&gt;&gt;<br>&gt;&gt;<br></div></div>
<br>--<br>
MailScanner mailing list<br>
<a href="mailto:mailscanner@lists.mailscanner.info" target="_blank">mailscanner@lists.mailscanner.info</a><br>
<a href="http://lists.mailscanner.info/mailman/listinfo/mailscanner" target="_blank">http://lists.mailscanner.info/mailman/listinfo/mailscanner</a><br>
<br>
Before posting, read <a href="http://wiki.mailscanner.info/posting" target="_blank">http://wiki.mailscanner.info/posting</a><br>
<br>
Support MailScanner development - buy the book off the website!<br>
<br></blockquote></div><br>
</div></div><br>--<br>
MailScanner mailing list<br>
<a href="mailto:mailscanner@lists.mailscanner.info">mailscanner@lists.mailscanner.info</a><br>
<a href="http://lists.mailscanner.info/mailman/listinfo/mailscanner" target="_blank">http://lists.mailscanner.info/mailman/listinfo/mailscanner</a><br>
<br>
Before posting, read <a href="http://wiki.mailscanner.info/posting" target="_blank">http://wiki.mailscanner.info/posting</a><br>
<br>
Support MailScanner development - buy the book off the website!<br>
<br></blockquote></div><br>