minor changes - version bump
[exim-website.git] / system_filter.exim
1 # Exim filter
2 ## Version: 0.10
3
4 ## If you haven't worked with exim filters before, read
5 ## the install notes at the end of this file.
6
7 #
8 # Only run any of this stuff on the first pass through the
9 # filter - this is an optomisation for messages that get
10 # queued and have several delivery attempts
11 #
12 # we express this in reverse so we can just bail out
13 # on inappropriate messages
14 #
15 if not first_delivery
16 then
17   finish
18 endif
19
20 # Check for MS buffer overruns as per latest BUGTRAQ.
21 # http://www.securityfocus.com/frames/?content=/templates/article.html%3Fid%3D61
22 # This could happen in error messages, hence its placing
23 # here...
24 # We substract the first n characters of the date header
25 # and test if its the same as the date header... which
26 # is a lousy way of checking if the date is longer than
27 # n chars long
28 if ${length_80:$header_date:} is not $header_date:
29 then
30   fail text "This message has been rejected because it has\n\
31              \tan overlength date field which can be used\n\
32              \tto subvert Microsoft mail programs\n\
33              \tThe following URL has further information\n\
34              \thttp://www.securityfocus.com/frames/?content=/templates/article.html%3Fid%3D61"
35   seen finish
36 endif
37
38 # This is a nasty compromise.
39 # This crud is now being sent with a <> envelope sender, but
40 # blocking all error messages that pattern match prevents
41 # bounces getting back.... so we fudge it somewhat
42 if $header_from: contains "@sexyfun.net"
43 then
44   fail text "This message has been rejected since it has\n\
45                 \tthe signature of a known virus in the header."
46   seen finish
47 endif
48 if error_message and $header_from: contains "Mailer-Daemon@"
49 then
50   # looks like a real error message - just ignore it
51   finish
52 endif
53
54 # Look for single part MIME messages with suspicious name extensions
55 # Check Content-Type header [vb2_regexp]
56 if $header_content-type: matches "(?:file)?name=(\"[^\"]+\\\\.(?:vb[se]|ws[fh]|jse?|exe|com|shs|bat|scr|pif)\"|[\\\\w.-]+\\\\.(?:vb[se]|ws[fh]|jse?|exe|com|shs|bat|scr|pif))"
57 then
58   fail text "This message has been rejected because it has\n\
59              \ta potentially executable attachment $1\n\
60              \tThis form of attachment has been used by\n\
61              \trecent viruses such as that described in\n\
62              \thttp://www.fsecure.com/v-descs/love.htm\n\
63              \tIf you meant to send this file then please\n\
64              \tpackage it up as a zip file and resend it."
65   seen finish
66 endif
67
68 # Attempt to catch embedded VBS attachments
69 # in emails.   These were used as the basis for 
70 # the ILOVEYOU virus and its variants
71 # [vb_regexp]
72 if $message_body matches "(?:Content-(?:Type:(?>\\\\s*)[\\\\w-]+/[\\\\w-]+|Disposition:(?>\\\\s*)attachment);(?>\\\\s*)(?:file)?name=|begin(?>\\\\s+)[0-7]{3,4}(?>\\\\s+))(\"[^\"]+\\\\.(?:vb[se]|ws[fh]|jse?|exe|com|shs|bat|scr|pif)\"|[\\\\w.-]+\\\\.(?:vb[se]|ws[fh]|jse?|exe|com|shs|bat|scr|pif))[\\\\s;]"
73 then
74   fail text "This message has been rejected because it has\n\
75              \ta potentially executable attachment $1\n\
76              \tThis form of attachment has been used by\n\
77              \trecent viruses such as that described in\n\
78              \thttp://www.fsecure.com/v-descs/love.htm\n\
79              \tIf you meant to send this file then please\n\
80              \tpackage it up as a zip file and resend it."
81   seen finish
82 endif
83
84 #### Version history
85 #
86 # 0.01 5 May 2000
87 #       Initial release
88 # 0.02 8 May 2000
89 #       Widened list of content-types accepted, added WSF extension
90 # 0.03 8 May 2000
91 #       Embedded the install notes in for those that don't do manuals
92 # 0.04 9 May 2000
93 #       Check global content-type header.  Efficiency mods to REs
94 # 0.05 9 May 2000
95 #       More minor efficiency mods, doc changes
96 # 0.06 20 June 2000
97 #       Added extension handling - thx to Douglas Gray Stephens & Jeff Carnahan
98 # 0.07 19 July 2000
99 #       Latest MS Outhouse bug catching
100 # 0.08 19 July 2000
101 #       Changed trigger length to 80 chars, fixed some spelling
102 # 0.09 29 September 2000
103 #       More extensions... its getting so we should just allow 2 or 3 through
104 # 0.10 18 January 2001
105 #       Removed exclusion for error messages - this is a little nasty
106 #       since it has other side effects, hence we do still exclude
107 #       on unix like error messages
108 #
109 #### Install Notes
110 #
111 # Exim filters run the exim filter language - a very primitive
112 # scripting language - in place of a user .forward file, or on
113 # a per system basis (on all messages passing through).
114 # The filtering capability is documented in the main set of manuals
115 # a copy of which can be found on the exim web site
116 #       http://www.exim.org/
117 #
118 # To install, copy the filter file (with appropriate permissions)
119 # to /etc/exim/system_filter.exim and add to your exim config file
120 # [location is installation depedant - typicaly /etc/exim/config ]
121 # at the top the line:-
122 #       message_filter = /etc/exim/system_filter.exim
123 #       message_body_visible = 5000
124 #
125 # Any message that matches the filter will then be bounced.
126 # If you wish you can change the error message by editing it
127 # in the section above - however be careful you don't break it.
128 #
129 # After install exim should be restarted - a kill -HUP to the
130 # daemon will do this.
131 #
132 #### LIMITATIONS
133 #
134 # This filter tries to parse MIME with a regexp... that doesn't
135 # work too well.  It will also only see the amount of the body
136 # specified in message_body_visible
137 #
138 #### BASIS
139 #
140 # The regexp that is used to pickup MIME/uuencoded parts is replicated
141 # below (in perl format).  You need to remember that exim converts
142 # newlines to spaces in the message_body variable.
143 #
144 #  (?:Content-                                  # start of content header
145 #  (?:Type: (?>\s*)                             # rest of c/t header
146 #    [\w-]+/[\w-]+                              # content-type (any)
147 #    |Disposition: (?>\s*)                      # content-disposition hdr
148 #    attachment)                                        # content-disposition
149 #  ;(?>\s*)                                     # ; space or newline
150 #  (?:file)?name=                               # filename=/name= 
151 #  |begin (?>\s+) [0-7]{3,4} (?>\s+))           # begin octal-mode
152 #  (\"[^\"]+\.                                  # quoted filename.
153 #       (?:vb[se]                               # list of extns
154 #       |ws[fh]
155 #       |jse?
156 #       |exe
157 #       |com
158 #       |shs
159 #       |bat
160 #       |scr
161 #       |pif)
162 #       \"                                      # end quote
163 #  |[\w.-]+\.                                   # unquoted filename.ext
164 #       (?:vb[se]                               # list of extns
165 #       |ws[fh]
166 #       |jse?
167 #       |exe
168 #       |com
169 #       |shs
170 #       |bat
171 #       |scr
172 #       |pif)
173 #  )                                            # end of filename capture
174 #  [\s;]                                        # trailing ;/space/newline
175 #
176 #
177 ### [End]