Już kiedyś był wpis o tym rodzaju spamu. Na pewno kojarzycie spam ze specyficznymi nazwiskami jako nadawca: abra,Abram,abramczyk czyli specyficzny spam… Od tego czasu niestety reguła poprzednia się zdezaktualizowała. Niemiły spamer zmienił trochę konstrukcję maila i reguła przestała działać. Zmieniłem również nazwę reguły aby bardziej oddawała obecny stan. Oto reguła wraz z omówieniem co gdzie i jak działa. UWAGA: w 3 linii MOJADOMENA trzeba zmienić na swoja domenę oczywiście
header __ZABOJCASPAMU_LOGIN_NAZWISKO1 From=~ /(abram|Abram|abramczyk|Abramczyk|abramowicz|Abramowicz|adamczak|Adamczak|adamczyk|Adamczyk|adamek|Adamek|adamiak|Adamiak|adamik|Adamik|adamowicz|adamski|Babiarz|Babicz|Babik|Babin|Babinski|Babka|Babula|Baran|Baranek|Baranoski|Baranowski|Baranski|Barczak|Barela|Bargiel)/
header __ZABOJCASPAMU_DOMENA_MAILCOM1 From=~ /(email|news)\.(com|info)/
header __ZABOJCASPAMU_RP_FOR_THIS_SPAM1 Return-Path=~/-.{2,20}\=MOJADOMENA@/
meta ZABOJCASPAMU_NAME_ABRAMBABIARZ __ZABOJCASPAMU_LOGIN_NAZWISKO1 && __ZABOJCASPAMU_DOMENA_MAILCOM1 && __ZABOJCASPAMU_RP_FOR_THIS_SPAM1
describe ZABOJCASPAMU_NAME_ABRAMBABIARZ Adres z nazwiskiem abram,Babik i domena z koncowka email.com
score ZABOJCASPAMU_NAME_ABRAMBABIARZ 3
Jak ktoś obsługuje kilka domen 3 linia wygląda:
header __ZABOJCASPAMU_RP_FOR_THIS_SPAM1 Return-Path=~/-.{2,20}\=(MOJADOMENA1|MOJADOMENA2)@/
Co każda reguła robi? Oto wyjaśnienie:
- wychwytuje listę nazwisk w polu From. Jest to stała lista kilka powtarza się częściej. Ja zebrałem tu które pojawiają się w regułach u mnie. Chyba kompletna lista.
- ta linia się zmieniła w stosunku do poprzedniej. Sprawdza czy domena nadawcy kończy się na email lub news, potem znak kropki i com lub info. Czyli domeny typu: costamemail.com,costamnews.info lub przykladnews.com itd
- sprawdza czy w polu return-path jest znak minusa trochę znakow (od 2 do 20) znak równości i moja domena. Taka konstrukcja dziwna tych maili
- pozostałe linie do definiowanie właściwej reguły (3 poprzednie muszą wystąpić równocześnie), describe i punktacja.
Reguła jest wycelowana w specyficzny spam, który mnie bardzo denerwował i postanowiłem go zabijać na śmierć.
Miłego ubijania spamu.
Witam,
jestem w tym zielony. Nie wiem jak dodać tę regułę w poczcie o2?
Czy każdą linijkę osobno i dodać do czarnej listy np.:
__LOCAL_LOGIN_NAZWISKO1 From=~ /(abram|Abram|abramczyk|Abramczyk|abramowicz|Abramowicz|adamczak|Adamczak|adamczyk|Adamczyk|adamek|Adamek|adamiak|Adamiak|adamik|Adamik|adamowicz|adamski|Babiarz|Babicz|Babik|Babin|Babinski|Babka|Babula|Baran|Baranek|Baranoski|Baranowski|Baranski|Barczak|Barela|Bargiel)/
Czy wszystko naraz?
Pozdrawiam,
To są reguły dla serwerów czyli administrujących serwerami nie dla końcowych użytkowników. Wiec na o2.pl nie da sie tego włączyć. Ale można uruchomić filtr antyspamowy Opcje->antyspam.
Z tego co wiem to jednak o2.pl ma słabe zabezpieczenia antyspamowe.
dzięki za podjecie walki z tym spamerem, jednak proszę o krótką instrukcję gdzie w direct adminie wprowadza sie regułę? Wprowadziłem ja w ręcznej konfiguracji spamasina ale chyba nie o to chodzi.
Właśnie o to chodzi:) Direct Admina nie używałem ale pewnei trzeba zrobić restart demona SpamAssassina zapewne jeszcze
Witaj kolego, tak sobie śledzę ostatnim czasem Twojego bloga. Tak rozglądam się za rozwiązaniem na syf, z którym walczę ostatnim czasem.. Mam sporo śmieci, które są kompletnie indywidualne.. przykładowo:
Od Dariusz Wozniak
Temat Tez wczesniej myslalem, ze nie dam rady a potem sie wkrecilem – i oto rezultat
Zobaczcie jak 24 letnia dziewczyna pozegnala sie z szefem
Internet rozsadzila sensacyjna wiadomosc: cicha sekretarka zarabia wiecej niz jej szef.
Caly rok skromna sekretarka pilnie chodzila do pracy. W ciagu tego roku wyciagnela ponad 400 000 $. Kiedy zainteresowala sie nia skarbowka okazalo sie, ze cicha dziewczyna zarabiala w Internecie siedzac po prostu w miejscu pracy. To wlasnie ta strona – klikajcie i patrzcie. Bylibyscie w stanie to powtorzyc?
Nagłówek:
Message-Id:
X-Mailer: PHP 5.3
X-Get-Message-Sender-Via: server1.mpolitico.com: authenticated_id: policonf/from_h
Content-Type: multipart/alternative; boundary=”——_=_NextPart_001_98A30933.ECE291C7″
X-Antiabuse: This header was added to track abuse, please include it with any abuse report
X-Antiabuse: Primary Hostname – server1.mpolitico.com
X-Antiabuse: Original Domain – vmg.pl
X-Antiabuse: Originator/Caller UID/GID – [502 32007] / [47 12]
X-Antiabuse: Sender Address Domain – server1.mpolitico.com
X-Source-Args: /usr/bin/php /home/policonf/public_html/wp-content/plugins/facebook-comments-plugin/system.php
Spotkałeś się z czymś takim? Dziennie przychodzi około 5 maili na skrzynkę, treść podobna, na końcu link do np. strony:
http://bioptions.pl/
Będę wdzięczny za sugestię.
A przypadkiem w polu Return-Path lub From nie jest suport@? Trzeba znalezc kilak rzeczy co wyroznia: X-Mailer: PHP 5.3 i dawalem regułe na to wiec jedna jest. Dziwne jest to pole X-Source-Args wiec drugie. Moze adres nadawcy ?
Ciezko raczej:
Mar 3 10:42:36 prime amavis[32400]: (32400-09) Passed CLEAN {RelayedInbound}, [5.9.203.115]:57092 [5.9.203.115] -> , Queue-ID: 9744830381D, Message-ID: , mail_id: xlPVv0lKKDfC, Hits: -1.106, size: 2246, queued_as: 1049D30381E, 430 ms
Mar 2 11:50:54 prime amavis[14128]: (14128-17) Passed CLEAN {RelayedInbound}, [204.197.242.113]:59622 [204.197.242.113] -> , Queue-ID: A96F4303808, Message-ID: , mail_id: 3KZp7NcV8HiG, Hits: -1.104, size: 2633, queued_as: AAC7E30380C, 866 ms
Mar 4 10:40:36 prime amavis[17922]: (17922-17) Passed CLEAN {RelayedInbound}, [216.158.67.157]:56427 [216.158.67.157] -> , Queue-ID: B68583013C7, Message-ID: , mail_id: Uu_A5Xglgeob, Hits: 0.344, size: 2811, queued_as: 034C3303642, 1101 ms
Mar 2 12:37:06 prime amavis[18554]: (18554-20) Passed CLEAN {RelayedInbound}, [92.43.216.251]:61993 [92.43.216.127] -> , Queue-ID: F141330380A, Message-ID: , mail_id: O_S5-JOcEyHW, Hits: -1.898, size: 2273, queued_as: B26D830380C, 623 ms
Na 100 maili dziennie nie powtarza się nigdy ani adres IP ani adres mailowy..
A treści tych wiadomości znajduje tylko na niepodam.pl
Widzę, że wycięło adresy mailowe z loga..
Tu jeszcze przykładowe domeny:
carreralighting.net
pelfusion.com
server1.mpolitico.com
tierhomoeopathie-mathys.ch
wright-living.com
Jeszcze co do wcześniejszego pytania o support – owszem przychodzą z adresów support także ale niestety to adres używany często przez realne wsparcia techniczne, więc wycinanie ich odpada 🙁
Taaaa. Tez były takie obiekcje ale okazały się niepotrzebne. Cóż tylko mogę podpowiedzieć https://zabojcaspamu.pl/duza-ilosc-spamu-z-loginem-support/ i nic innego nie da się wymyślić. Możesz dodać do tej reguły jak się boisz ze wytnie następny warunek ( DCC_CHECK || RAZOR2_CHECK || PYZOR_CHECK) .Niestety coraz więcej jest spamu który przechodzi testy. I podejrzewam, że będzie tego dużo
Witam,
Mam problem … przy takim zapisie jak przedstawiono, jeśli którykolwiek z elementów jest rozpoznany (From, Return-Path) to daje mi po 1 punkcie za każdy wykryty element i dopisuje je do X-Spam-Status. Gdy spełnię warunek wystąpienia wszystkich elementów, to wtedy dodatkowo dodaje ustaloną liczbę punktów.
Wiem że można ustawić dla poszczególnych zdarzeń score = 0, ale chodzi mi o to dopisywanie X-Spam-Status.
Już działa … było tylko jedno podkreślenie. Po dodaniu drugiego działa jak należy.
Pozdrawiam
ja wysłałem im 60 tysięcy wiadomości
Czy ktos mógłby powiedzieć mi jak włączyć ta regułę na nazwa.pl?
Tylko tak krok po kroku, dla kompletnego laika.
W nazwie kazali wpisać mi IP spamera ale oni codziennie zmieniają IP 🙁
ale jak na nazwa.pl? jaka charakterystyka jest tego maila?