[Aktualizacja 8 czerwca -poniedziałek 9:10] Dodanie reguły ZABOJCASPAMU_FAKE_DHL2 działającą na niemiecki spam.
[Aktualizacja 8 czerwca -poneidizalek 9:36] Dodanie reguły ZABOJCASPAMU_FAKE_DHL6
[Aktualizacja 9 czerwca] Reguła ZABOJCASPAMU_FAKE_DHL5 prawdopodobnie posiadała bład który mogł skutkować zaliczeniem dobrego maila z DHLu jako spam
Dziś od rana trwa ciągły wysyp wirusów z cyklu „przesyłka DHL”. Niestety może on być dużo bardziej skuteczny niż poprzednie ataki. O ile sama treść pozostaje niezmienna to temat jest w języku polskim (poprzednio niemiecki)”Sprawdź stan przesylki DHL” lub „Monitorowanie trasy przesylki DHL”(pewnie wkrótce inne). Co znamienne nie zawierają one polskich liter.Pokazane reguły działają również na przesyłki DHL po niemiecku.
Co równie gorsze czas ataku jest dobrze dobrany. Dużo ludzi ma wolne i często admini nie mogą zareagować w porę. Niestety, należy się spodziewać w poniedziałek dużej ilości pracy z zawirusowanymi komputerami.
Po trzecie i co chyba najgorsze maile te omijają filtry antyspamowe. Część maili przechodzi. Dobry rozwiązaniem będzie przesłanie informacji do użytkowników o nieotwieranie tego rodzaju przesyłek.
Dodana reguła 8 czerwca. Okazało się, ze sprytni ludzie zaczeli wysyłać maile gdzie są dwa adresy:jeden widoczny dla człowieka a drugi prawdziwy. i Niestety ten widoczny dla człowieka zawiera tekst dhl.com, trzeba było uszczegółowić tą regułę. Została ona dodana aby działała na ‚niemiecki DHL’
header __ZABOJCASPAMU_FAKE_DHL2_1 Subject=~/(Sendung|Versand) \d{9,12}/
header __ZABOJCASPAMU_FAKE_DHL2_2 From:addr=~/dhl\./
meta ZABOJCASPAMU_FAKE_DHL2 __ZABOJCASPAMU_FAKE_DHL2_1 && ! __ZABOJCASPAMU_FAKE_DHL2_2
describe ZABOJCASPAMU_FAKE_DHL2 Falszywa wiadomosc o wysylce DHL (v2)
score ZABOJCASPAMU_FAKE_DHL2 10
Oczywiście pomoże odpowiednia reguła w SA( w tym poście są 3 reguły) Przesyłki z DHL z wirusem zawierają text DHL w polu From (np:”DHL Express”) ale nie zawierają adresu z fraza ‚dhl.’ .Prawidłowe przesyłki DHL są wysyłane z adresu z domena dhl. lub dhl24. (kropka na koncu i reszta domeny)Oto reguła:
header __ZABOJCASPAMU_FAKE_DHL3_1 From=~/DHL/ header __ZABOJCASPAMU_FAKE_DHL3_2 From:addr=~/(dhl\.|dhl24\.)/i meta ZABOJCASPAMU_FAKE_DHL3 __ZABOJCASPAMU_FAKE_DHL3_1 && !__ZABOJCASPAMU_FAKE_DHL3_2 describe ZABOJCASPAMU_FAKE_DHL3 Falszywa wiadomosc o wysylce DHL (v3) score ZABOJCASPAMU_FAKE_DHL3 10
Ponieważ nie posiadam dużej ilości próbek prawidłowych przesyłek z DHL prosiłbym o informację czy nie wycina ta reguła prawidłowych przesyłek.
Zauważone tematy maila- jak widać w każdym jest słowo przesylka (z literą l zamiast ł). dziwne bo inne polskie litery sa OK.
– Obecny stan przesylki DHL
– Monitorowanie trasy przesylki DHL
– Status przesylki DHL
– Monitorowanie dostawy przesylki DHL
– Śledzenie za przesylka DHL
– Monitorowanie trasy przesylki DHL
-Sprawdź stan przesylki DHL
Ta własność pozwała stworzyć następną regułę. W prawdziwych mailach od DHL byłoby słowo ‚przesyłka’. Reguła słabo testowana więc ma prefix EXPERIMENTAL.
header EXPERIMENTAL_FAKE_DHL4 Subject=~/przesylk. DHL/ describe EXPERIMENTAL_FAKE_DHL4 Falszywa wiadomosc o wysylce DHL (v4) score EXPERIMENTAL_FAKE_DHL4 10
Jak inaczej podejść do maili z DHL? Otóż dhl.com ma zaimplementowane DKIM. każdy mail jest podpisany, że od nich. Można sie pokusić o regułę sprawdzającą czy ten podpis jest i czy odpowiedni. Oczywiście jesli coś udaje maile z DHLu nie będzie miał ich podpisu(ale może mieć inny np z gmaila jak stąd pójdzie). UWAGA: aby ta reguła działała serwer musi mieć włączone w SA sprawdzanie DKIM.
header __EXPERIMENTAL_FAKE_DHL5_1 From=~/DHL/ header __EXPERIMENTAL_FAKE_DHL5_2 exists:DKIM-Signature header __EXPERIMENTAL_FAKE_DHL5_3 ALL=~/d=dhl\.com\; / header __EXPERIMENTAL_FAKE_DHL5_4 Authentication-Results=~/ dkim=pass/ meta EXPERIMENTAL_FAKE_DHL5 __EXPERIMENTAL_FAKE_DHL5_1 && (!__EXPERIMENTAL_FAKE_DHL5_2 || ! __EXPERIMENTAL_FAKE_DHL5_3 || ! __EXPERI MENTAL_FAKE_DHL5_4) describe EXPERIMENTAL_FAKE_DHL5 falszywa wiadomosc o Wysylce DHL (v5 sprawdzanie DKIM) score EXPERIMENTAL_FAKE_DHL5 0.1
Reguła ma niską punktację bo nie jest do końca pewna
I reguła stworzona ponieważ zaczely się pojawiać maile które miały w wyświetlanym adresie ciąg DHL.com a w adresie nadawcy prawdziwym już nie. Mogły się łapać na inne reguły ale lepiej jednak dodać parę razy za to samo niż aby takie coś miało przejść
header __ZABOJCASPAMU_FAKE_DHL6_1 From=~/(dhl|DHL)\./ header __ZABOJCASPAMU_FAKE_DHL6_2 From:addr=~/dhl\./i meta ZABOJCASPAMU_FAKE_DHL6 __ZABOJCASPAMU_FAKE_DHL6_1 && ! __ZABOJCASPAMU_FAKE_DHL6_2 describe ZABOJCASPAMU_FAKE_DHL6 falszywa wiadomosc o Wysylce DHL (v6 dhl. sie wyswietla a nie ma w adresie) score ZABOJCASPAMU_FAKE_DHL6 10
Poprzednia reguła też nadal jest czasami aktualna (ale tylko część przesyłek pozwala ubić). Reguły powyższe przynajmniej na chwilę obecną są bardziej uniwersalne i ubijają wszystko.
Prawdę mówiąc nie wiem czy nie lepiej w tym przypadku złapać do spamu kilku maili niż aby przeszedł jeden z wirusem.
Post był tworzony na bieżąco wraz z postępującą analizą maili. Mam nadzieje, że to zamknie problem ‚przesyłek DHL’.
Jeden z plików z przypadkowego maila zostal wysłany do i wyniki można zobaczyć na tej strobie VirusTotal. Niestety mało programów antywirusowych rozpoznaje to jako zagrożenie.
Dzięki za regułki, pięknie ubijają dzisiejszy wysyp tego syfu. ; )
Ależ proszę:) Sam musialem walczyć z tym badziewiem więc innym też się może przydać
Plik reguł na stronie datowany jest na 26 maja. Czy mogę prosić o aktualizację? thx
Zaktualizowane
Reguły do tego pliku są dodawane ciut poźniej aby byly pewne. Najpierw reguły sa sprawdzane na serwerach, potem leżą tutaj i na końcu trafiają do tego pliku. Chodzi o to aby wtopy nie było:) ale jutro wrzucę je do pliku.
Wczoraj trafiła mi się fałszywa wiadomość od DHL która posiadała DKIM, nie została w żaden sposób oznaczona:
Return-Path:
X-Original-To: *
Delivered-To: *
Received: from mo4-p03-ob.smtp.rzone.de (mo4-p03-ob.smtp.rzone.de [81.169.146.222])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by * (Postfix) with ESMTPS id A9C17208C8
for ; Mon, 8 Jun 2015 18:17:19 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; t=1433780239; l=528850;
s=domk; d=ptm-fashion.de;
h=Content-Type:Mime-Version:To:From:Subject:Date;
bh=HgHa4S53D8G4rPMkmtg5dtmxbo8aQMH2OcAgMToeKV8=;
b=rcfaSCsJ7dsqfRxiFa1a3poDAOslNL8W/E5OJyB0tmxXt7DUkRtVc58F/PNxmhtSDJx
c56FdcIfNImp88YBLzvj+JtgTiFbfpUYsHxCQdvrb+f4du0buWUa0mM7oNzF0+6pNZZw6
nBIskm952DJzkvRfj+/N94Ooi/R+K9PmgqE=
X-RZG-CLASS-ID: mo03
X-RZG-AUTH: :JWICemC4b/KjC1oyO385/tPteqDU/GzvYq8mOaNJSLVF0Pi6Fa22LdoHfz4=
Date: Mon, 8 Jun 2015 18:17:17 +0200 (CEST)
Message-ID:
Received: from localhost (chello084114013053.14.vie.surfer.at [84.114.13.53])
by smtp.strato.de (RZmta 37.6 DYNA|AUTH)
with ESMTPA id Y03181r58GHHNE6
for ;
Mon, 8 Jun 2015 18:17:17 +0200 (CEST)
Subject: Śledzenie za przesylka DHL, 3088637379
From: „DHL Support”
To: *
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary=”sgt+Q1j0kf7vsdEQ”
X-Virus-Scanned: clamav-milter 0.97.8 at *
X-Virus-Status: Clean
–sgt+Q1j0kf7vsdEQ
Content-Type: text/html; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: base64
PEhUTUw+PGhlYWQ+DQo8TUVUQSBjb250ZW50PSJ0ZXh0L2h0bWw7IGNoYXJzZXQ9dXRmLTgi
IGh0dHAtZXF1aXY9Q29udGVudC1UeXBlPg0KPHN0eWxlIFRZUEU9InRleHQvY3NzIj48IS0t
DQpwIHsNCglmb250LXNpemU6IDE2cHg7DQoJZm9udC1mYW1pbHk6IEFyaWFsOw0KCUZPTlQt
V0VJR0hUOiBib2xkOw0KfQ0KaDEgew0KICAgIGNvbG9yOiAjYzAwOw0KICAgIGZvbnQtc2l6
ZTogMjBweDsNCiAgICBmb250LXdlaWdodDogbm9ybWFsOw0KICAgIGZvbnQtZmFtaWx5OiBB…………
A na pewno masz moje reguły i zrestartowałes amavis lub spamassassina. Powinno wychwycic kilka reguł: jest DKIM ale nie od dhl (d=ptm-fashion.de). temat jest ‚przesylka DHL’ czyli tez powinno wpasc i we From zapewne nie ma dhl. Inne maile wylapuje ci?
Powyższe reguły się sprawdzają, wyłapują fałszywe emaile od DHL nie oznaczając prawdziwych, amavis i spamassassin były restartowane.
Widocznie z jakiegoś powodu ta wiadomość nie została „wzięta do kontroli”, miałem jakiś czas temu kilka takich przypadków.
Moze domena jest w whiteliscie?
Na whiteliście postfixa oraz spamassassina jej nie ma.
Chyba najszybciej dojdę do tego dlaczego ta wiadomość nie została sprawdzona porównując ją z innymi niesprawdzonymi wiadomościami gdy się takie trafią.
Problem polega na tym, że nie sprawdza mi wiadomości większej niż 512kb.
Jun 12 10:03:46 pozyton1 spamc[24795]: skipped message, greater than max message size (512000 bytes)
Jun 12 10:03:46 pozyton1 spamass-milter[1492]: Could not extract score from
Jakie wartości macie u siebie ustawione ?
Niektóre przesyłki mają faktycznie więcej niz 512 kb ale jest ich część. Powieksz limit do 600 kb bo takich nie widziałem. Niestety bedzie więcej obciążać system zapewne. A widziałem reklamówki z firm drukarskich na kilkanaście MB:)
Tylko w jaki sposób, dodanie do konfiga SA
-s 600000
SA_MAX_MAIL_SIZE 600000
nic nie zmienia
A sprawdziles ile maja kb te maile? inne sa wychwytywane? Inne w sensie te z DHLu i reszta? uzywasz amavisa aby przekazywal do spamassassina bo on ma wlasny limit? Moze spamassassina w trybie debug?
Tak, zauważyłem tą jedną od DHL która miała powyżej 512 kb. Wszystkie wiadomości poniżej 512 kb są wychwytywane natomiast te powyżej nie są również blokowane przez blacklistę SA.
Clamav ma swój własny limit – 25 MB.
no to chyba nie zostaje nic innego jak debug mode i czytanie logow. Moze jesli masz Debiana/Ubuntu wywoluje sie z innymi parametrami defaultowo? Te dystrybucje maja nieraz swoje pliki konfiguracyjne
Używasz spamass-miltera, sprawdzałeś taką opcję:
Aby dodać opcję do spamc, dodaj:
do spamass-milter command line po –:
spamass-milter -i 127.0.0.1 — -s 65536
tam są dwa myślniki a wielkość dobierz taką jaką uważasz.
A może o to chodzi, reguła nie zadziała, jeśli w SpamAssasinie będziesz miał:
dbg: diag: […] module not installed: Mail::DKIM
czyli brak odpowiedniego modułu perla dla plugina DKIM SA.
instalacja:
perl -MCPAN -e „install Mail::DKIM”
restart SA/amavisa
i sprawdzić czy załadowany jest: loadplugin Mail::SpamAssassin::Plugin::DKIM
fakt, Sluszna uwaga. W regule z DKIM wymagane jest aby mieć weryfikacje DKIM. Inne reguły nie wymagaja tego.
Ano, ze względu na warunki w tej regule brak DKIM zakłóca jej działanie 😉 miałem na 1 maszynie brak dkim i dobry mail zaznaczony został jako SPAM 😉 mimo, że wszystko było poprawnie.
tak czy siak dla autora wielkie GZ za wkład dla społeczności.
Hmmm, wydaje mi się, że 5’te reguły znaczą prawidłowy mail od DHL jako spam. Coś jest nie tak w składni. 5_1,2,3,4 są prawdziwe/zgadzają się a mail dostaje 10 pkt.
Prawdopodobnie masz racje faktycznie. Jak dołączałem regułe miała ona niską punktację właśnie aby ją potestować. Lepiej dać jej punktacje niska. Tam brakowało przy trzecim OR negacji. Muszę ja potestować bo akurat od paru dni nie dostaje dobrych maile z DHLu. Dalem jej punktacje 0.01 i tak było na początku. W ogóle nie wiem czy jest sens sprawdzać Warunek 4 o istnieniu dkim=pass.
I dzięki za info:)
Jeśli jest to czemu nie, można sprawdzać 😉 po prostu tak tylko zwróciłem uwagę, bo mały babol powodował, że all było krojone 😉 zobaczymy jak teraz będzie, dam znać bo mam więcej maili klientów którzy korzystają z usług DHL’a 😉
Zmniejsz punktacje aby bydla nie robiło:) i daj znac. Wg mnie powinno smigac
Punktację zmieniłem już dawno i wydaje mi się, że all jest ok, przyszło 7 maili z trackingu DHL’a – Preawizacja DHL . Wydają się ok, zwykle powiadomienie o wysłanej przesyłce. Babol był w meta i składni 😉 GJ. 😉
No to fajnie, że działa. Pisałem te reguły on line i krotko testowałem. Własnie te maile z „Preawizacja” czesto przychodziły na serwery a teraz akurat widac nie przeszly. Fajnie, ze działa
Bardzo proszę o łopatologiczną informację gdzie mam wpisać te reguły 🙂
To sa reguły dla serwerów poczty doklłdnie dla programu SpamAssassin. Koncowy użytkownik nie może ich nigdzie wpisać
Potwierdzam poprawne działanie, maile z Preawizacja DHL oraz inne prawidłowe nie są punktowane.