Dzis głośno o tym ataku to nie może zabraknąc wpisu o tym ataku tutaj. Dzięki za podesłanie próbki przez czytelnika.
Z opisu i probki wynika , ze tematy sie nie zmieniają jak i nazwy zalączników. Ale lepiej napisać ogólną regułę (chociaz i tak zapewne sie cyferki zmienią). Oto reguła.
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader header __ZABOJCASPAMU_POLISA_NN_S Subject=~/^Polisa nr \d+/ mimeheader __ZABOJCASPAMU_POLISA_NN_C Content-Type=~ /Polisa nr \d+ PDF\.zip/ meta ZABOJCASPAMU_POLISA_NN __ZABOJCASPAMU_POLISA_NN_S && __ZABOJCASPAMU_POLISA_NN_C describe ZABOJCASPAMU_POLISA_NN falszywe polisy z NN score ZABOJCASPAMU_POLISA_NN 10 endif
wlasciwie po co na to jakokolwiek interwencja spamassassina ?
ja mam reg w procmailu, ktora to rozwiazuje i
:0 HB
*^Content-Disposition.*filename=”.*\.(vbs|wsf|eml|shs|exe|nws|chm|pif|vbe|hta|scr|reg|bat|js|jse|ext|vs|(pdf|mp3|avi|mkv|PDF|MP3|AVI|MKV|doc|DOC|XLS|xls).*)”
a tu jakias reakcja u mnie do spamu, ale tu lubia do dev/null