Grzybica, podlewanie, klimatyzator i inne badziewia

Prawdziwy wysp tego spamu. Każy na pewno go dostał. najlepszy sposób to jednak RBLe. Dość dobrze go tną. Nalezy włączyć je w spamassassinie. Trochę było o RBLach na stronie

Ale RBL to jedno a reguły to co innego. Jakie są cechy tego spamu

przypadkowy ciąg znaków w polu From. Rozpoznanie przypadkowego ciągu znaków opisane było tutaj.
domena nadawcy to com
w polu Received są specyficzne zależności

Kilka słów o ostatnim punkcie. Są dwa mozliwe przypadki. Pierwszy ze pole received ma postać

Received: from <slowo>.domena1.com (<slowo>.domena2.com

Mozna wychwycić to dzięki temu, ze <slowo> jest takie samo a domeny sie zmieniaja. Nie wiem czemu tak jest ale jest.
Drugi przypadek to pole Received ma postać (widac uknown przed IP)

Received: from <slowo>.domena1.com (uknown

Co ciekawe po kilku(nastu) minutach jak sprawdzi sie adres IP revDNS to wpis juz jest. Czyzby tak szybko zmieniali domeny, że DNS się nie propagują?

Niestety czasem spam nie łapie się na regułę o przypadkowym ciągu w polu From. Nie ma z rzędu samych spółgłosek lub samogłosek. Wg mnie łapię się na powyższe reguły ok 70 % przypadkow. Można zawsze sprobować zmniejszyć wymagania co do ilości z rzędu spółglosek.

Można też zamiast szukania przypadkowego ciągu znaków dać regułę o dlugim loginie w polu From. W przypadku gdy pole Received ma dwie domeny to powinno byc bezpieczne. Dodałem również taka regułę mniej punktowaną ponieważ może coś dobrego się załapać ale raczej nie powinno. Każdy może sam podnieść punktacje.

Ostatnia reguła która jest very soft. Sprawdzamy tylko warunki dla domen oraz link w specyficznej postaci do usubuscribe Domena w received from i ta po nawiasie 3 literowa, pierwsza częsc taka sama a głowne domeny różne:

Received: from slowo.domena1.com (slowo.domena2.com

Ta regula ma punktacje 1 bo nie sprawdziłem jakie może to miec konsekwencje czyli ile będzie dobrych mail punktowanych. Ale jak ktoś będzie bardzo zirytowany niech podniesie punktacje.

Co do sytuacji z uknown. Trudno uznac za spam regule która ma 3 czlonowa domene w Received i com na koncu i uknown kolo IP. Mogło by się łapać troche dobrych maili jako spam. Ale na szczęscie mozna po linku sluzącego do wypisania sie sprawdzić. ma specyficzna budowe i to jest reguła o nazwie

Mam nadzieje, ze juz nikomu to nie przejdzie przez filty

Oto reguły:

 header   ZABOJCASPAMU_RECEIVED_COM  Received =~ /\.com /
 describe ZABOJCASPAMU_RECEIVED_COM  Domain in received com
 score    ZABOJCASPAMU_RECEIVED_COM  0.01

 meta     ZABOJCASPAMU_NATARCZYWYSPAM_1 (ZABOJCASPAMU_RANDOM_STRING || HK_RANDOM_ENVFROM) && ZABOJCASPAMU_FROM_UNKNOWN && ZABOJCASPAMU_RECEIVED_COM
 describe ZABOJCASPAMU_NATARCZYWYSPAM_1 Spam grzybica, detektor, klimatyzator ...(rodzaj 1 z unknown)
 score    ZABOJCASPAMU_NATARCZYWYSPAM_1 10

 uri      __URI_LINK_USUB_NATARCZYWY /ub\.php\?[a-z0-9]{3}=/
 meta     ZABOJCASPAMU_NATARCZYWYSPAM_1_2 __URI_LINK_USUB_NATARCZYWY && ZABOJCASPAMU_FROM_UNKNOWN && ZABOJCASPAMU_RECEIVED_COM
 describe ZABOJCASPAMU_NATARCZYWYSPAM_1_2 Spam grzybica, detektor, klimatyzator ...(rodzaj 1 unkown z linkiem)
 score    ZABOJCASPAMU_NATARCZYWYSPAM_1_2 3

 header  __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 Received =~ /from ([^.]+)\.[a-z]+\.com \(\1\.[a-z]+\.com/
 header  __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 Received =~ /from [^.]+\.([a-z]+)\.com \([^.]+\.\1\.com/
 meta    ZABOJCASPAMU_NATARCZYWYSPAM_2_1   __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 && !  __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 && (ZABOJCASPAMU_RANDOM_STRING || HK_RANDOM_ENVFROM)
 describe ZABOJCASPAMU_NATARCZYWYSPAM_2_1 Spam grzybica, detektor, klimatyzator ... (rodzaj 2)
 score    ZABOJCASPAMU_NATARCZYWYSPAM_2_1 10

 meta    ZABOJCASPAMU_NATARCZYWYSPAM_2_S   __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 && ! __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 && ZABOJCASPAMU_LONG_LOGIN_IN_FROM
 describe ZABOJCASPAMU_NATARCZYWYSPAM_2_S Spam grzybica, detektor, klimatyzator ... (rodzaj 2 Soft)
 score    ZABOJCASPAMU_NATARCZYWYSPAM_2_S 1.8

 meta    ZABOJCASPAMU_NATARCZYWYSPAM_2_VSOFT   __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 && ! __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 && __URI_LINK_USUB_NATARCZYWY
 describe ZABOJCASPAMU_NATARCZYWYSPAM_2_VSOFT Spam grzybica, detektor, klimatyzator ... (rodzaj 2 Very Soft)
 score    ZABOJCASPAMU_NATARCZYWYSPAM_2_VSOFT 1

Dzięki czytelnikom za zmotywowanie mnie do stworzenia reguł:) Uzywam RBLi i nie wiedziałem,że to duży problem i spam przechodzi

7 thoughts on “Grzybica, podlewanie, klimatyzator i inne badziewia”

manczos pisze:

4 września 2018 o 10:14

Pierwszą linię zmień na:
header ZABOJCASPAMU_RECEIVED_COM Received =~ /\.com$/

Odpowiedz
1. zabojcaspamu pisze:
  
  4 września 2018 o 14:36
  
  To niekoniecznie musi byc konic linii. Nawet najczesciej nie jest. Dlatego tam jest spacja
  
  Odpowiedz
Jacke pisze:

6 września 2018 o 14:09

Ostatnio od kilku dni uaktywnili się kolejni. Idzie spam z domen z końcówką .tk. Np. e.zaproszenie.tk, f.zaproszenie.tk, http://www.twoja-kolej.tk, pol.twoja-kolej.tk. Teksty są po polsku w których piszą pierdoły o bezdomnych, aktywowaniu kont itd. Spam, że szok i to po kilka emaili z różnych domen i IP.

Odpowiedz
czerwo pisze:

10 października 2018 o 06:37

Czy nie lepiej było złapać po powtarzającym się odnośniku na końcu maila?
Wszystkie mają /ub.php? lub /ob.php?

Odpowiedz
1. zabojcaspamu pisze:
  
  10 października 2018 o 17:03
  
  Zbyt ogolne i moga sie lapac normalne maile.
  
  Odpowiedz
Łukasz pisze:

14 stycznia 2019 o 03:59

Ostatnio przychodzi więcej szajsu który się nie łapie na te reguły niestety 🙁

Odpowiedz
1. zabojcaspamu pisze:
  
  14 stycznia 2019 o 10:03
  
  Skontaktuj sie ze mna przez formularz. Ogladne te mail moze nowe reguly
  
  Odpowiedz

Zabójca spamu

Blog zajmujący się walką ze spamen na serwerach> Szczególnie polskim spamem

Grzybica, podlewanie, klimatyzator i inne badziewia

7 thoughts on “Grzybica, podlewanie, klimatyzator i inne badziewia”

Dodaj komentarz Anuluj pisanie odpowiedzi