I kolejny wysyp fałszywych faktur. Tym razem z Playa. Niby proste a jednak może przejść. Co do reguły sprawdzającej adres nadawcy to prawdę mówiąc nie wiem jaki jest w przypadku playa. Kiedyś był @mojefinanseplay.pl a teraz jaki? play.pl czy play24.pl czy taki jak był. W każdym razie reguła będzie dobra:) I ciekawostka, widać, że temat jest tłumaczony generatorem. brzmi „Masz nowa nieodplatna fakture Play”. Niedoplatna?:) Chyba niezapłaconą.
header __PLAY_20161005_1 Subject=~/Play\s+ID\:[A-Z]{3}\d+/
header __PLAY_20161005_2 From=~/Play24/
header __PLAY_20161005_3 From:addr=~/\.pl$/
meta PLAY_20161005 __PLAY_20161005_1 && __PLAY_20161005_2 && !__PLAY_20161005_3
describe PLAY_20161005 Falszywe faktury play
score PLAY_20161005 10
leci z awizo@mojefinanseplay.pl
w temacie jest zawsze: Play – e-faktura do pobrania
i adres From: ten co wyżej.
Return-Path:
Received: from mojefinanseplay.pl
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mojefinanseplay.pl; s=default; t=1474578377;
Może pomoże to w lepszej regułce 😉
Prawidłowy email ma:
Return-Path:
From: awizo@mojefinanseplay.pl
Received: from mojefinanseplay.pl (mx-soe.mojefinanseplay.pl [213.222.202.2])
i ma SPF -all
Wcięło (nawiasy ostre) return-patha – jest tam ten sam adres co we From.
tak, dokładnie, sorry nie zauważyłem, ze wcięło. Ale dokładnie ten sam.
Ja dostałem fałszywy e-mail z:
From: „Play Polska”
Temat:
Nowy PLAY faktura za Listopad ID:EQC1851287479
Serwer:
Received: from mail.tokgozticaret.com.tr
Potwierdzam iż Play wysyła z adresu:
awizo@mojefinanseplay.pl
Adres jednej z fałszywek:
play24@topmagazins.com