[Mimedefang] Large headers killing Mimedefang?

Shepet, Mike Mike.Shepet at phh.com
Tue Oct 7 09:12:01 EDT 2003 

Forgive me if this has been covered before.

This morning I came into work to find that MIMEDefang was not running and
all mail was being deferred.  I tracked down in my logs to what I _think_
caused the problem.  Is MimeDefang susceptable to buffer overflow attacks?
Given the log entries below, does anyone have any insight into what
happened?

We are running Sendmail 8.12.10, MIMEDefang 2.35 and SpamAssassin 2.55.


Thanks,
Mike Shepet


Oct  6 22:12:45 ops5 sendmail[26672]: [ID 801593 mail.info] h972Ce1p026672:
from=<amberg44 at hihome.com>, size=5496, class=0, nrcpts=1
, msgid=<200310070212.h972Ce1p026672 at ops5.hv-us.phh.com>, bodytype=8BITMIME,
proto=SMTP, daemon=MTA-v4, relay=[219.248.13.237]
Oct  6 22:12:46 ops5 mimedefang.pl[13765]: [ID 702911 mail.info]
MDLOG,h972Ce1p026672,spam,14.6,219.248.13.237,<amberg44 at hihome.com>
,<xxxx at phh.com>,=?ks_c_5601-1987?q?(광고)=BE=EE=B4=C0_=B
0=A3=B0=E6=C8=AD_=C8=AF=C0=DA=C0=C7_=B0=ED=B9=E9?=
Oct  6 22:12:47 ops5 sendmail[26672]: [ID 801593 mail.info] h972Ce1p026672:
Milter add: header: X-Spam-Warning: SpamAssassin says th
is message is SPAM
Oct  6 22:12:47 ops5 sendmail[26672]: [ID 801593 mail.info] h972Ce1p026672:
Milter add: header: X-Spam-Status: Yes, hits=14.6 requir
ed=8
Oct  6 22:12:47 ops5 mimedefang[24227]: [ID 210624 mail.debug]
h972Ce1p026672: Tempfailing because filter instructed us to
Oct  6 22:12:47 ops5 sendmail[26672]: [ID 134394 mail.info]
h972Ce1p026672[1]: Milter add: header: X-Spam-Report: This mail is proba
bly spam.  The original message has been attached\nalong with this report,
so you can recognize or block similar unwanted\nmail in f
uture.  See http://spamassassin.org/tag/ for more details.\n\nContent
preview:  This is a multi-part message in MIME format O \377\3
77\377\377\377\377\n  \377\377\377\377 URL : \377\377\377\377\377\377
\377\377\377\377\377\377 \377\377\377\377\377\377\377\377. \37
7\377\377\377\377\377\377\377\377\377 2\377\377
\377\377\377\377\377\377\377\377\377\377\377\377.\n
\377\377\377\377\377\377\377\37
7 \377\377\377\377\377\377\377\377\377\377 \377\377\377\377\377\377
\377\377\377\377 \377\377\377\377\377\377\377\377\377\377\377\37
7 \377\377\377\377 \377\377\377\377\377\377
\377\377\377\377\377\377\377\377\377\377\377\377\n  \377\377\377\377
\377\377 \377\377\3
77\377\377\377 \377\377\377\377\377\377 \377\377\377\377  ...
Oct  6 22:12:47 ops5 sendmail[26672]: [ID 134394 mail.info]
h972Ce1p026672[2]: \377\377\377\377\377\377\377\377\377\377\377\377\377\
377 60\377\377\377\377\377\377\377\377 \377\377\377\377\377\377\n
20\377\377\377\377\377\377\377\377\377\377 \377\377\377\377\377\3
77\377\377\377\377\377\377. \377\377\377\377\377\377
\377\377\377\377\377\377\377\377 \377\377\377\377 \377\377\377\377
\377\377\377
\377\377\377 \377\377\377\377 \377\377\377\377\n
\377\377\377\377\377\377\377\377.\377\377\377\377\377\377\377\377 \377\377
\377\37
7\377\377 \377\377\377\377\377\377\377\377
\377\377\377\377\377\377\377\377\377\377. \377\377\377\377\377\377\377\377
\377\377\377\3
77\n
\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377
\377\377\377\377\377 \377\377\377\377\377\377\377\
377 \377\377\377\377\377\377\377\377 \377\377\377\377\377\377\377\377
\377\377\377\377\377\377\n  \377\377\377\377\377\377\377\377\3
77\377\377\377. \377\377\377\377\377\377\377\377
\377\377\377\377\377\377\377\377  ...
Oct  6 22:12:47 ops5 sendmail[26672]: [ID 134394 mail.info]
h972Ce1p026672[3]: \377\377\377\377\377\377/\377\377\377\377 \377\377\37
7\377 \377\377\377\377\377\377\377\377\377\377
\377\377\377\377\377\377\377\377\n  \377\377\377\377\377\377
\377\377\377\377 4\377\3
77\377\377 \377\377\377\377\377\377 \377\377\377\377 \377\377\377\377
\377\377\377\377\377\377\377\377\377\377 \377\377\377\377\377\
377\377\377 \377\377\377\377 \377\377\377\377\n
\377\377\377\377\377\377\377\377. \377\377\377\377 \377\377\377\377\377\377
\377\37
7\377\377\377\377\377\377 \377\377\377\377\377\377\377\377
\377\377\377\377\377\377 \377\377\377\377\377\377\377\377 \377\377\377\37
7\377\377\n  \377\377\377\377\377\377\377\377. \377\377 \377\377\377\377
\377\377\377\377\377\377 3\377\377\377\377\377\377 \377\377
\377\377\377\377 \377\377\377\377 \377\377\377\377\377\377
\377\377\377\377\377\377\n  \377\377\377\377\377\377\377\377\377\377\377\
377.\377\377\377\377\377\377\377\377 \377\377\377\377\377\377
\377\377\377\377\377\377  ...
Oct  6 22:12:47 ops5 sendmail[26672]: [ID 134394 mail.info]
h972Ce1p026672[4]: \377\377\377\377\377\377\377\377\377\377. \377\377\37
7\377\377\377 \377\377\377\377\377\377 \377\377\377\377\n
\377\377\377\377\377\377\377\377 \377\377\377\377\377\377\377\377\377\377
\377\377\377\377. \377\377\377\377\377\377 \377\377\377\377 \377\377\377\377
\377\377\377\377\377\377\377\377 \377\377\377\377\377\3
77\377\377\377\377\377\377\377\377.\n  \377\377\377\377\377\377\377\377
\377\377\377\377\377\377 \377\377\377\377 \377\377\377\377\3
77\377\377\377\377\377 \377\377\377\377\377\377\377\377\377\377
\377\377\377\377 \377\377\377\377 \377\377\377\377 \377\377\377\377 
\377\377\377\377\n  \377\377\377\377\377\377\377\377\377\377\377\377.
\377\377\377\377\377\377\377\377 \377\377\377\377 \377\377\377
\377\377\377\377\377 \377\377\377\377\377\377\377\377\377\377\377\377.
\377\377\377\377 \377\377\377\377 \377\377\377\377\377\377\n 
 \377\377\377\377\377\377 \377\377\377\377 \377\377\377\377\377\377  ...
Oct  6 22:12:47 ops5 sendmail[26672]: [ID 428118 mail.info]
h972Ce1p026672[5]: \377\377\377\377\377\377 \377\377\377\377 \377\377\37
7\377 \377\377\377\377\377\377 \377\377\377\377\377\377
\377\377\377\377\377\377 \377\377\377\377\377\377\377\377\n  \377\377\377\37
7\377\377 \377\377\377\377\377\377\377\377\377\377\377\377. \377\377\377\377
\377\377\377\377\377\377 \377\377\377\377\377\377 \377\
377\377\377\377\377\377\377. \377\377\377\377\377\377
\377\377\377\377\377\377 \377\377\377\377\n
\377\377\377\377\377\377\377\377\
377\377 \377\377\377\377\377\377 \377\377\377\377\377\377 \377\377\377\377
\377\377\377\377\377\377 \377\377\377\377\377\377\377\377
\377\377. [...] \n\nContent analysis details:   (14.60 points, 8
required)\nRATWARE_EVAMAIL    (2.9 points)  Bulk email software fin
gerprint (EVAMAIL) found in headers\nFROM_ENDS_IN_NUMS  (-2.0 points) From:
ends in numbers\nMIME_BOUND_MANY_HEX (2.9 points)  Spam 
tool pattern in MIME boundary
Oct  6 22:12:47 ops5 sendmail[26672]: [ID 801593 mail.error] h972Ce1p026672:
milter_read(mimedefang): cmd read returned 0, expecting
 5
Oct  6 22:12:47 ops5 sendmail[26672]: [ID 801593 mail.info] h972Ce1p026672:
Milter (mimedefang): to error state
Oct  6 22:12:47 ops5 sendmail[26672]: [ID 801593 mail.info] h972Ce1p026672:
Milter: data, reject=451 4.7.1 Please try again later
Oct  6 22:12:47 ops5 sendmail[26672]: [ID 801593 mail.info] h972Ce1p026672:
to=<xxxxx at phh.com>, delay=00:00:03, pri=35496, stat=Plea
se try again later
Oct  6 22:13:19 ops5 sendmail[26655]: [ID 801593 mail.error] h972Bx1p026655:
Milter (mimedefang): write(D) returned -1, expected 5: 
Broken pipe
Oct  6 22:13:19 ops5 sendmail[26655]: [ID 801593 mail.info] h972Bx1p026655:
Milter (mimedefang): to error state
Oct  6 22:13:19 ops5 sendmail[26655]: [ID 801593 mail.info] h972Bx1p026655:
Milter: from=<kxjjqnv at bsi-service.com>, reject=451 4.7.1
 Please try again later
Oct  6 22:13:19 ops5 sendmail[26655]: [ID 801593 mail.info] h972Bx1p026655:
from=<kxjjqnv at bsi-service.com>, size=0, class=0, nrcpts=
0, proto=SMTP, daemon=MTA-v4, relay=oh-lyndhurst3f-50.clvhoh.adelphia.net
[24.54.55.50]
Oct  6 22:13:19 ops5 sendmail[26678]: [ID 801593 mail.error] h972DJ1p026678:
Milter (mimedefang): error connecting to filter: Connec
tion refused by /var/spool/MIMEDefang/mimedefang.sock
Oct  6 22:13:19 ops5 sendmail[26678]: [ID 801593 mail.info] h972DJ1p026678:
Milter (mimedefang): to error state
Oct  6 22:13:19 ops5 sendmail[26678]: [ID 801593 mail.info] h972DJ1p026678:
Milter: initialization failed, temp failing commands
Oct  6 22:13:34 ops5 sendmail[26679]: [ID 801593 mail.error] h972DY1p026679:
Milter (mimedefang): error connecting to filter: Connec
tion refused by /var/spool/MIMEDefang/mimedefang.sock


"The sender believes that this E-mail and any attachments were free of any
harmful and malicious code or defects when sent.  This message and its
attachments could have been infected during transmission.  By reading the
message and opening any attachments, the recipient accepts full
responsibility for taking protective and remedial action regarding the code
or such defects.  The sender is not liable for any loss or damage arising in
any way from this message or its attachments."

More information about the MIMEDefang mailing list