
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML><HEAD>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">

<TITLE>Blank Stationery</TITLE>


<META content="MSHTML 6.00.2800.1170" name=GENERATOR></HEAD>

<BODY style="FONT-SIZE: 10pt; COLOR: #000000; FONT-FAMILY: Lucida Console" 

background="">

<DIV><SPAN class=725540121-25082003>John:</SPAN></DIV>

<DIV><SPAN class=725540121-25082003></SPAN>&nbsp;</DIV>

<DIV><SPAN class=725540121-25082003>I'm logging a message when rules in the 

local-rules gets a hit.&nbsp; I build a report by greping the number of times 

the phrase "Trapped poisoned" exists in the Procmail log.&nbsp; If a message 

gets a hit in the local-rules,&nbsp;will it skip the "Trapped poisoned 

executable" test, or am I double counting?</SPAN></DIV>

<DIV><SPAN class=725540121-25082003></SPAN>&nbsp;</DIV>

<DIV><SPAN class=725540121-25082003>&lt;&lt;Dan&gt;&gt;</SPAN></DIV>

<DIV><SPAN class=725540121-25082003></SPAN>&nbsp;</DIV>

<DIV><SPAN class=725540121-25082003>Attached is reporting script and my 

local-rules</SPAN></DIV>

<DIV><SPAN class=725540121-25082003></SPAN>&nbsp;</DIV>

<DIV><SPAN 

class=725540121-25082003>====================================================</SPAN></DIV>

<DIV><SPAN class=725540121-25082003>root: cat /usr/sbin/mailstats</SPAN></DIV>

<DIV><SPAN class=725540121-25082003>echo " "<BR>echo " "<BR>echo "Lewis Spam and 

Sanitizer Summary for $(date --date=yesterday '+%b %d')"<BR>echo " "<BR>echo 

"Count Non-spam (ham) Messages"<BR>egrep -c "clean message" 

/var/log/maillog<BR>echo Count Spam Messages<BR>egrep -c "identified spam" 

/var/log/maillog<BR>echo -------------------<BR>echo Count Klez Trapped<BR>egrep 

-ic "Trapped: Probable Klez" /var/log/procmail<BR>echo Count BugBear 

Trapped<BR>egrep -ic "Trapped: Probable BugBear" /var/log/procmail<BR>echo Count 

SoBig Trapped<BR>egrep -ic "Trapped: Probable SoBig" /var/log/procmail<BR>echo 

Count MiMail Trapped<BR>egrep -ic "Trapped: Probable MiMail" 

/var/log/procmail<BR>echo Count Stripped Files<BR>egrep -ic "Stripped " 

/var/log/procmail<BR>echo Count Poisoned Files<BR>egrep -ic "Trapped poisoned" 

/var/log/procmail<BR>echo Count Excessively Long Headers<BR>egrep -ic "Trapped 

excessively" /var/log/procmail<BR>echo -------------------<BR>echo Sanitizer 

Warnings<BR>egrep "^WARN: " /var/log/procmail<BR>echo Trapped Excessive 

Headers<BR>egrep "Trapped excessively" /var/log/procmail<BR>echo 

-------------------<BR></SPAN></DIV>

<DIV><SPAN 

class=725540121-25082003>===============================================</DIV></SPAN>

<DIV><SPAN class=725540121-25082003>root: cat local-rules.procmail<BR>## Catch 

Cytron E-Card worm (10/29/2002)<BR>:0<BR>* &gt; 

110000<BR>{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :0 

B<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * You Have Received an 

E-Card<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; LOG="TRAPPED: Cytron 

E-Card worm"<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :0 

hfi<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; | formail -A 

"X-Content-Security: [${HOST}] NOTIFY" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [${HOST}] QUARANTINE" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [${HOST}] REPORT: Trapped Cytron E-Card 

worm"<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }<BR>}</SPAN></DIV>

<DIV>&nbsp;</DIV>

<DIV><SPAN class=725540121-25082003># Detect Hybris when sent as an anonymous 

message.<BR>#<BR>:0<BR>* &gt; 20000<BR>* !^Subject:<BR>* !^To:<BR>* 

^Content-Type:.*multipart/mixed;<BR>{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

:0 B<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * 1^1 

^Content-Disposition:.*\.EXE<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * 1^1 

^Content-Type:.*\.EXE<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; LOG="TRAPPED: 

Anonymous Executable (Hybris)"<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :0 

hfi<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; | formail -A 

"X-Content-Security: [${HOST}] NOTIFY" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [${HOST}] QUARANTINE" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [${HOST}] REPORT: Trapped (Hybris) anonymous 

executable"<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }<BR>}</SPAN></DIV>

<DIV>&nbsp;</DIV>

<DIV><SPAN class=725540121-25082003># Trap SirCam (signature as of 

08/01/2001)<BR>#<BR>:0<BR>* &gt; 130000<BR>* 

^Content-Type:.*multipart/mixed;<BR>{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

:0 B<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * ^Content-Disposition: 

attachment;<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * 

^Content-Transfer-Encoding: base64<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

* 

AAAAGgU0NhbTMyABCDTUlN|AAAAAaBTQ2FtMzIAEINNSU1F|ABkAAAABoFNDYW0zMgAQg01J<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; LOG="TRAPPED: SirCam 

worm "<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :0 

hfi<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; | formail -A 

"X-Content-Security: [$HOST] NOTIFY" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] DISCARD" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] REPORT: Trapped SirCam 

worm"<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }<BR>}</SPAN></DIV>

<DIV>&nbsp;</DIV>

<DIV><SPAN class=725540121-25082003># Trap BadTrans (signature as of 

11/26/2001)<BR>#<BR>:0<BR>* &gt; 40000<BR>* &lt; 50000<BR>* ^Subject: Re:<BR>* 

^Content-Type:.*multipart/.*boundary="====_ABC1234567890DEF_===="<BR>{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

:0 B<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * ^Content-Type: 

audio/x-wav;<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * ^Content-ID: 

&lt;EA4DMGBP9p&gt;<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * 

^Content-Transfer-Encoding: base64<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; LOG="TRAPPED: 

BadTrans worm "<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :0 

hfi<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; | formail -A 

"X-Content-Security: [$HOST] NOTIFY" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] DISCARD" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] REPORT: Trapped BadTrans 

worm"<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }<BR>}</SPAN></DIV>

<DIV>&nbsp;</DIV>

<DIV><SPAN class=725540121-25082003># Trap Klez (signature as of 

04/26/2002)<BR># Trap BugBear (signature as of 10/06/2002)<BR>#<BR>:0<BR>* &gt; 

50000<BR>* 

^Content-Type:.*multipart/alternative;<BR>{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

:0 B<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * \&lt;i?frame 

+src=(3D)?cid:.* height=(3D)?[0-9] 

+width=(3D)?[0-9]&gt;<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * 

^Content-Type:.*audio/<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * 

^Content-ID:.*&lt;<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * 

^Content-Transfer-Encoding: base64<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

* ^TVqQAAMAAAAEAAAA<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

:0<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

* &gt; 

100000<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

LOG="TRAPPED: Probable Klez worm 

"<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

:0 

hfi<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

| formail -A "X-Content-Security: [$HOST] NOTIFY" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] DISCARD" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] REPORT: Trapped probable Klez 

worm"<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

}<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

:0 

E<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

* &gt; 

50000<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

LOG="TRAPPED: Probable BugBear worm 

"<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

:0 

hfi<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

| formail -A "X-Content-Security: [$HOST] NOTIFY" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] DISCARD" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] REPORT: Trapped probable BugBear 

worm"<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

}<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }</SPAN></DIV>

<DIV>&nbsp;</DIV>

<DIV><SPAN class=725540121-25082003>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

:0 B E<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * H ?? ^Subject: A( 

(special|very))?[ ][ ][a-z]<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * 

^Content-Type:.*application/octet-stream<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

* ^Content-ID:<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * 

^Content-Transfer-Encoding: base64<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

* ^TVqQAAMAAAAEAAAA<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; LOG="TRAPPED: 

Probable Klez worm "<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

:0 hfi<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; | formail -A 

"X-Content-Security: [$HOST] NOTIFY" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] DISCARD" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] REPORT: Trapped probable Klez 

worm"<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }<BR>}</SPAN></DIV>

<DIV>&nbsp;</DIV>

<DIV><SPAN class=725540121-25082003># Attempt to trap sendmail header exploit 

(signature as of 03/05/3003)<BR>#<BR># CRITICAL NOTE: this WILL NOT protect the 

system it is installed on.<BR># It is intended to prevent a patched Sendmail 

from relaying an attack<BR># message onwards.<BR>#<BR>:0<BR>* 

^((resent-)?(sender|from|(reply-)?to|cc|bcc)|(errors|disposition-notification|apparently)-to|Return-Path): 

.*&lt;&gt;.*&lt;&gt;.*&lt;&gt;.*&lt;&gt;.*&lt;&gt;.*\(.*\)<BR>{<BR>&nbsp;&nbsp;&nbsp; 

LOG="TRAPPED: Probable Sendmail header exploit "<BR>&nbsp;&nbsp;&nbsp; :0 

hfi<BR>&nbsp;&nbsp;&nbsp; | formail -A "X-Content-Security: [$HOST] NOTIFY" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] QUARANTINE" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] REPORT: Trapped possible sendmail header 

exploit"<BR>}</SPAN></DIV>

<DIV>&nbsp;</DIV>

<DIV><SPAN class=725540121-25082003># Trap SoBig.F (signature as of 

08/25/2003)<BR>#<BR>:0<BR>* &gt; 100000<BR>* &lt; 120000<BR>* 

^Content-Type:.*multipart/mixed;<BR>{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

:0 B<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * ^(Please )?see the attached 

(zip )?file for details\.?<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * 

^Content-Disposition: attachment;<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

* ^Content-Transfer-Encoding: 

base64<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * 9876543210^1 

^Content-(Type|Disposition):.*$.*name *= 

*"?(your_details|application|document|screensaver|movie)[0-9]*\.(zip|pif|scr)"?<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

* 9876543210^1 ^Content-(Type|Disposition):.*name *= 

*"?(your_details|application|document|screensaver|movie)[0-9]*\.(zip|pif|scr)"?<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; LOG="TRAPPED: 

Probable SoBig worm "<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

:0 hfi<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; | formail -A 

"X-Content-Security: [$HOST] NOTIFY" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] QUARANTINE" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] REPORT: Trapped SoBig worm - <A 

href="http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html">http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html</A>"<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

}<BR>}</SPAN></DIV>

<DIV>&nbsp;</DIV>

<DIV><SPAN class=725540121-25082003># Trap backscatter from SoBig.F<BR>#<BR>:0 

hfi<BR>* ^Subject: Undeliverable: *(Re: *)*(Approved|Details|(My|Your) 

details|That movie|Thank you\!|Wicked screensaver|Your application)<BR>* 

^FROM_MAILER<BR>| formail -A "X-Content-Security: [$HOST] NONOTIFY" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -A 

"X-Content-Security: [$HOST] DISCARD" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -A 

"X-Content-Security: [$HOST] REPORT: Trapped SoBig.F backscatter"</SPAN></DIV>

<DIV>&nbsp;</DIV>

<DIV><SPAN class=725540121-25082003># Trap MiMail (08/01/2003)<BR>#<BR>:0<BR>* 

&gt; 10000<BR>* &lt; 50000<BR>* ^Content-Type:.*multipart/mixed;<BR>* 

^From:.*admin@<BR>* ^Subject:.*your 

account<BR>{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :0 

B<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * ^Content-Disposition: 

attachment;<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * 

^Content-Transfer-Encoding: base64<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

* 9876543210^1 ^Content-(Type|Disposition):.*name *= 

*"?message\.zip"?<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; * 9876543210^1 

^Content-(Type|Disposition):.*$.*name *= 

*"?message\.zip"?<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

{<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; LOG="TRAPPED: 

Probable MiMail worm "<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

:0 hfi<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; | formail -A 

"X-Content-Security: [$HOST] NOTIFY" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] QUARANTINE" 

\<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

-A "X-Content-Security: [$HOST] REPORT: Trapped MiMail worm - <A 

href="http://securityresponse.symantec.com/avcenter/venc/data/w32.mimail.a@mm.html">http://securityresponse.symantec.com/avcenter/venc/data/w32.mimail.a@mm.html</A>"<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 

}<BR>}<BR></SPAN></DIV>

<DIV><SPAN class=725540121-25082003>&nbsp;</DIV></SPAN></BODY></HTML>