abra,Abram,abramczyk czyli specyficzny spam

Już kiedyś był wpis o tym rodzaju spamu. Na pewno kojarzycie spam ze specyficznymi nazwiskami jako nadawca: abra,Abram,abramczyk czyli specyficzny spam… Od tego czasu niestety reguła poprzednia się zdezaktualizowała. Niemiły spamer zmienił trochę konstrukcję maila i reguła przestała działać. Zmieniłem również nazwę reguły aby bardziej oddawała obecny stan. Oto reguła wraz z omówieniem co gdzie i jak działa. UWAGA: w 3 linii MOJADOMENA trzeba zmienić na swoja domenę oczywiście

 header         __ZABOJCASPAMU_LOGIN_NAZWISKO1 From=~ /(abram|Abram|abramczyk|Abramczyk|abramowicz|Abramowicz|adamczak|Adamczak|adamczyk|Adamczyk|adamek|Adamek|adamiak|Adamiak|adamik|Adamik|adamowicz|adamski|Babiarz|Babicz|Babik|Babin|Babinski|Babka|Babula|Baran|Baranek|Baranoski|Baranowski|Baranski|Barczak|Barela|Bargiel)/
 header         __ZABOJCASPAMU_DOMENA_MAILCOM1 From=~ /(email|news)\.(com|info)/
 header         __ZABOJCASPAMU_RP_FOR_THIS_SPAM1 Return-Path=~/-.{2,20}\=MOJADOMENA@/
 meta           ZABOJCASPAMU_NAME_ABRAMBABIARZ  __ZABOJCASPAMU_LOGIN_NAZWISKO1 && __ZABOJCASPAMU_DOMENA_MAILCOM1 && __ZABOJCASPAMU_RP_FOR_THIS_SPAM1
 describe    ZABOJCASPAMU_NAME_ABRAMBABIARZ Adres z nazwiskiem abram,Babik i domena z koncowka email.com
 score          ZABOJCASPAMU_NAME_ABRAMBABIARZ 3

Jak ktoś obsługuje kilka domen 3 linia wygląda:

 header         __ZABOJCASPAMU_RP_FOR_THIS_SPAM1 Return-Path=~/-.{2,20}\=(MOJADOMENA1|MOJADOMENA2)@/
Co każda reguła robi? Oto wyjaśnienie:
  1. wychwytuje listę nazwisk w polu From. Jest to stała lista kilka powtarza się częściej. Ja zebrałem tu które pojawiają się w regułach u mnie. Chyba kompletna lista.
  2. ta linia się zmieniła w stosunku do poprzedniej. Sprawdza czy domena nadawcy kończy się na email lub news, potem znak kropki i com lub info. Czyli domeny typu: costamemail.com,costamnews.info lub przykladnews.com itd
  3. sprawdza czy w polu return-path jest znak minusa trochę znakow (od 2 do 20) znak równości i moja domena. Taka konstrukcja dziwna tych maili
  4. pozostałe linie do definiowanie właściwej reguły (3 poprzednie muszą wystąpić równocześnie), describe i punktacja.

Reguła jest wycelowana w specyficzny spam, który mnie bardzo denerwował i postanowiłem go zabijać na śmierć.

Miłego ubijania spamu.

15 thoughts on “abra,Abram,abramczyk czyli specyficzny spam

  1. Witam,
    jestem w tym zielony. Nie wiem jak dodać tę regułę w poczcie o2?
    Czy każdą linijkę osobno i dodać do czarnej listy np.:
    __LOCAL_LOGIN_NAZWISKO1 From=~ /(abram|Abram|abramczyk|Abramczyk|abramowicz|Abramowicz|adamczak|Adamczak|adamczyk|Adamczyk|adamek|Adamek|adamiak|Adamiak|adamik|Adamik|adamowicz|adamski|Babiarz|Babicz|Babik|Babin|Babinski|Babka|Babula|Baran|Baranek|Baranoski|Baranowski|Baranski|Barczak|Barela|Bargiel)/
    Czy wszystko naraz?

    Pozdrawiam,

    1. To są reguły dla serwerów czyli administrujących serwerami nie dla końcowych użytkowników. Wiec na o2.pl nie da sie tego włączyć. Ale można uruchomić filtr antyspamowy Opcje->antyspam.
      Z tego co wiem to jednak o2.pl ma słabe zabezpieczenia antyspamowe.

  2. dzięki za podjecie walki z tym spamerem, jednak proszę o krótką instrukcję gdzie w direct adminie wprowadza sie regułę? Wprowadziłem ja w ręcznej konfiguracji spamasina ale chyba nie o to chodzi.

    1. Właśnie o to chodzi:) Direct Admina nie używałem ale pewnei trzeba zrobić restart demona SpamAssassina zapewne jeszcze

  3. Witaj kolego, tak sobie śledzę ostatnim czasem Twojego bloga. Tak rozglądam się za rozwiązaniem na syf, z którym walczę ostatnim czasem.. Mam sporo śmieci, które są kompletnie indywidualne.. przykładowo:
    Od Dariusz Wozniak
    Temat Tez wczesniej myslalem, ze nie dam rady a potem sie wkrecilem – i oto rezultat
    Zobaczcie jak 24 letnia dziewczyna pozegnala sie z szefem

    Internet rozsadzila sensacyjna wiadomosc: cicha sekretarka zarabia wiecej niz jej szef.

    Caly rok skromna sekretarka pilnie chodzila do pracy. W ciagu tego roku wyciagnela ponad 400 000 $. Kiedy zainteresowala sie nia skarbowka okazalo sie, ze cicha dziewczyna zarabiala w Internecie siedzac po prostu w miejscu pracy. To wlasnie ta strona – klikajcie i patrzcie. Bylibyscie w stanie to powtorzyc?

    Nagłówek:
    Message-Id:
    X-Mailer: PHP 5.3
    X-Get-Message-Sender-Via: server1.mpolitico.com: authenticated_id: policonf/from_h
    Content-Type: multipart/alternative; boundary=”——_=_NextPart_001_98A30933.ECE291C7″
    X-Antiabuse: This header was added to track abuse, please include it with any abuse report
    X-Antiabuse: Primary Hostname – server1.mpolitico.com
    X-Antiabuse: Original Domain – vmg.pl
    X-Antiabuse: Originator/Caller UID/GID – [502 32007] / [47 12]
    X-Antiabuse: Sender Address Domain – server1.mpolitico.com
    X-Source-Args: /usr/bin/php /home/policonf/public_html/wp-content/plugins/facebook-comments-plugin/system.php

    Spotkałeś się z czymś takim? Dziennie przychodzi około 5 maili na skrzynkę, treść podobna, na końcu link do np. strony:
    http://bioptions.pl/

    Będę wdzięczny za sugestię.

    1. A przypadkiem w polu Return-Path lub From nie jest suport@? Trzeba znalezc kilak rzeczy co wyroznia: X-Mailer: PHP 5.3 i dawalem regułe na to wiec jedna jest. Dziwne jest to pole X-Source-Args wiec drugie. Moze adres nadawcy ?

  4. Ciezko raczej:
    Mar 3 10:42:36 prime amavis[32400]: (32400-09) Passed CLEAN {RelayedInbound}, [5.9.203.115]:57092 [5.9.203.115] -> , Queue-ID: 9744830381D, Message-ID: , mail_id: xlPVv0lKKDfC, Hits: -1.106, size: 2246, queued_as: 1049D30381E, 430 ms
    Mar 2 11:50:54 prime amavis[14128]: (14128-17) Passed CLEAN {RelayedInbound}, [204.197.242.113]:59622 [204.197.242.113] -> , Queue-ID: A96F4303808, Message-ID: , mail_id: 3KZp7NcV8HiG, Hits: -1.104, size: 2633, queued_as: AAC7E30380C, 866 ms
    Mar 4 10:40:36 prime amavis[17922]: (17922-17) Passed CLEAN {RelayedInbound}, [216.158.67.157]:56427 [216.158.67.157] -> , Queue-ID: B68583013C7, Message-ID: , mail_id: Uu_A5Xglgeob, Hits: 0.344, size: 2811, queued_as: 034C3303642, 1101 ms
    Mar 2 12:37:06 prime amavis[18554]: (18554-20) Passed CLEAN {RelayedInbound}, [92.43.216.251]:61993 [92.43.216.127] -> , Queue-ID: F141330380A, Message-ID: , mail_id: O_S5-JOcEyHW, Hits: -1.898, size: 2273, queued_as: B26D830380C, 623 ms

    Na 100 maili dziennie nie powtarza się nigdy ani adres IP ani adres mailowy..
    A treści tych wiadomości znajduje tylko na niepodam.pl

  5. Widzę, że wycięło adresy mailowe z loga..
    Tu jeszcze przykładowe domeny:
    carreralighting.net
    pelfusion.com
    server1.mpolitico.com
    tierhomoeopathie-mathys.ch
    wright-living.com

  6. Jeszcze co do wcześniejszego pytania o support – owszem przychodzą z adresów support także ale niestety to adres używany często przez realne wsparcia techniczne, więc wycinanie ich odpada 🙁

    1. Taaaa. Tez były takie obiekcje ale okazały się niepotrzebne. Cóż tylko mogę podpowiedzieć https://zabojcaspamu.pl/duza-ilosc-spamu-z-loginem-support/ i nic innego nie da się wymyślić. Możesz dodać do tej reguły jak się boisz ze wytnie następny warunek ( DCC_CHECK || RAZOR2_CHECK || PYZOR_CHECK) .Niestety coraz więcej jest spamu który przechodzi testy. I podejrzewam, że będzie tego dużo

  7. Witam,
    Mam problem … przy takim zapisie jak przedstawiono, jeśli którykolwiek z elementów jest rozpoznany (From, Return-Path) to daje mi po 1 punkcie za każdy wykryty element i dopisuje je do X-Spam-Status. Gdy spełnię warunek wystąpienia wszystkich elementów, to wtedy dodatkowo dodaje ustaloną liczbę punktów.
    Wiem że można ustawić dla poszczególnych zdarzeń score = 0, ale chodzi mi o to dopisywanie X-Spam-Status.

  8. Czy ktos mógłby powiedzieć mi jak włączyć ta regułę na nazwa.pl?
    Tylko tak krok po kroku, dla kompletnego laika.
    W nazwie kazali wpisać mi IP spamera ale oni codziennie zmieniają IP 🙁

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *