Antivirus gateway – unique headers causing crashes

Posted on by

This morning the McAfee WebShield MailScan SMTP service was found to be unaccountably stopped. The service could be restarted, but would not stay running for longer than 10 minutes. After calling McAfee service, we applied the latest patch set, which had no effect.

After the service consultant mentioned some problems with corrupt SMTP headers, we found several messages in German similar to the following:

——————————————————————————————-
Received: From hcjogg.pe ([200.121.127.144]) by gehenna.windows.ups.edu (WebShield SMTP v4.5 MR1a P0803.345);
id 1086899371171; Thu, 10 Jun 2004 13:29:31 -0700
From: tmatrix@t-matrix.com.pe
To: sleith@ups.edu
Date: Thu, 10 Jun 2004 19:48:18 GMT
MIME-Version: 1.0
Subject: Libanesen in Berlin [Key:4463]
Importance: Normal
X-Priority: 3 (Normal)
Message-ID:
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=”us-ascii”

Habe eben im Fernsehen einen Bericht gesehen, in dem klar hervorging, dass libenesiche und kurdische Moslems in Berlin die Drogenszene und teilweise sogar das Rotlicht-Milieu beherrschen. Der Clou an der Geschichte ist jedoch, dass die Libanesen, die in kriminelle Aktivitaeten verwickelt und Millionen scheffeln, ebenfalls vor dem Sozialamt erscheinen um ihre Sozialhilfe einzufordern. In einigen Szenen im Berliner Sozialamt, konnte man vor lauter Kopftuecher nicht einmal mehr die Waende sehen!Wenn man da bedenkt, dass die Gruenen sich im Moment gegen ein strengeres Immigrations-und Asylgesetz querlegen, kann man nur noch mit Hoffnungslosigkeit und Kopfschuetteln reagieren. Interessant an dem Bericht war ebenfalls, dass Justiz und Politik bisher nicht mit der gebotenen Staerke gegen solche Umtriebe vorgegangen ist, aus Angst man koennte ihnen Auslaenderfeindlichkeit und Rechtslastigkeit vorwerfen! Die Auswirkungen von soviel Dummheit und falscher Toleranz werden wir noch alle bitter bereuen muessen!

——————————————————————————————–

These messages were removed from the AVG SMTP queue, and the SMTP service operated properly.

McAfee service has been given exemplars of the offending messages. We have blocked the relevant IP addresses in the Firewall.