Dziś reguła podesłana przez uzytkownika MSMARIO. Trzeba przyznać, ze jest sprytna i fajna i az dziw, że nikt wcześniej na to nie wpadł:)
Reguła sprawdza czy którym z serwerów w Received ma nieustawiony revDNS i nie jest z sieci prywatnych. Co do punktacji.. Tu każdy według uznania ponieważ brak revDNS może byc spowodowany zmianami/chwilową awarią itd.
header ZABOJCASPAMU_FROM_UNKNOWN Received =~ /from .*\(unknown\s\[(?!192\.168)(?!10\.)(?!172\.(1[6-9]|2[0-9]|3[0-1]))/ describe ZABOJCASPAMU_FROM_UNKNOWN Received from unknown score ZABOJCASPAMU_FROM_UNKNOWN 1.5
Nie ogarniam tak dobrze składni, ale czy to sprawdza wszystkie „Recieved”? Bo jeżeli tak to będzie punktować też te które u nadawcy przechodzą przez sieć lokalną.
Literówka, oczywiście chodzi o „Received”
To sprawdza wszystkie „Received”, zaliczają się te, które mają „unknown” lub adresy z pul prywatnych 192.168.*, 10.*, oraz 172,16.* do 172,31.*. Ja bym pominął te prywatne IP.
One sprawdzaja te ktore maja received i nie maja adresów prywatnych. Tam jest AND a nie OR
Apropos tej reguły to dodałem:
score RDNS_NONE 2.0
Ładnie się sprawdza 😉