<div dir="ltr">Ok....no expert on filetype magic here....but this is what I see....<div><br></div><div>File v5.22 has the following magic:</div><div><br></div><div><div>0       ulequad&0x07a0ffffffff          0xffffffff              DOS executable (</div><div>>4      uleshort&0x8000                 0x0000                  \bblock device driver</div><div>>0      ubyte                           x                       \b)</div></div><div><br></div><div>And the .dat file starts off with</div><div><br></div><div>ffff ffff<br></div><div><br></div><div>which hits the DOS executable part</div><div><br></div><div>and then has a bunch of</div><div><br></div><div>0000</div><div><br></div><div>which is the block device driver part</div><div><br></div><div>Which is a very very generic test and will fire on a lot of things.</div><div><br></div><div>Here's the quick and dirty fix for this problem assuming the dat files are commonly formatted in this fashion in Office documents:</div><div><br></div><div>archive.filetype.rules.conf:</div><div><div># Allow .dat files in newer MS Office documents</div><div>allow   DOS executable (block device driver)  -       -</div></div><div><br></div><div>A more elaborate solution will involve modifying the source, but I am struggling with how the code might identify the documents and then apply an exception since this is such a generic test and will affect a lot of things.</div><div><br></div><div><br></div><div>On Thu, Apr 16, 2015 at 3:45 PM, Jerry Benton <span dir="ltr"><<a href="mailto:jerry.benton@mailborder.com" target="_blank">jerry.benton@mailborder.com</a>></span> wrote:<br></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Has anyone dealt with this? I can’t decide if I should mod the source or just change the configs:<br>
<br>
- Microsoft document comes through with some sort of dat file embedded. While MS see that dat file as text/plain, the character set is binary, so it nails it as an executable.<br>
- Allowing executables will allow the file.<br>
<br>
So, there’s the rub. Under the current code we have to allow executables for these “newer” types of Microsoft documents to get through. This isn’t restricted to just Microsoft. There are several other file formats that make MailScanner fire on this.<br>
<br>
<br>
Ideas?<br>
<br>
-<br>
Jerry Benton<br>
<a href="http://www.mailborder.com" target="_blank">www.mailborder.com</a><br>
<span class=""><font color="#888888"><br>
<br>
<br>
<br>
<br>
--<br>
MailScanner mailing list<br>
<a href="mailto:mailscanner@lists.mailscanner.info">mailscanner@lists.mailscanner.info</a><br>
<a href="http://lists.mailscanner.info/listinfo/mailscanner" target="_blank">http://lists.mailscanner.info/listinfo/mailscanner</a><br>
<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">Shawn Iverson<div>Director of Technology</div><div>Rush County Schools</div><div>765-932-3901 x271</div><div><a href="mailto:iversons@rushville.k12.in.us" target="_blank">iversons@rushville.k12.in.us</a></div></div></div>
</div></div>