Grzybica, podlewanie, klimatyzator i inne badziewia

Prawdziwy wysp tego spamu. Każy na pewno go dostał.  najlepszy sposób to jednak RBLe. Dość dobrze go tną. Nalezy włączyć je w spamassassinie. Trochę było o RBLach na stronie

Ale RBL to jedno a reguły to co innego. Jakie są cechy tego spamu

  • przypadkowy ciąg znaków w polu From. Rozpoznanie przypadkowego ciągu znaków opisane było tutaj.
  • domena nadawcy to com
  • w polu Received są specyficzne zależności

Kilka słów o ostatnim punkcie. Są dwa mozliwe przypadki. Pierwszy ze pole received ma postać

Received: from <slowo>.domena1.com (<slowo>.domena2.com

Mozna wychwycić to dzięki temu, ze <slowo> jest takie samo a domeny sie zmieniaja. Nie wiem czemu tak jest ale jest.
Drugi przypadek to pole Received ma postać (widac uknown przed IP)

Received: from <slowo>.domena1.com (uknown

Co ciekawe po kilku(nastu) minutach jak sprawdzi sie adres IP revDNS to wpis juz jest. Czyzby tak szybko zmieniali domeny, że DNS się nie propagują?

Niestety czasem spam nie łapie się na regułę o przypadkowym ciągu w polu From. Nie ma z rzędu samych spółgłosek lub samogłosek. Wg mnie łapię się na powyższe reguły ok      70 % przypadkow. Można zawsze sprobować zmniejszyć wymagania co do ilości z rzędu spółglosek.

Można też zamiast szukania przypadkowego ciągu znaków dać regułę o dlugim loginie w polu From. W przypadku gdy pole Received ma dwie domeny to powinno byc bezpieczne. Dodałem również taka regułę mniej  punktowaną ponieważ może coś dobrego się załapać ale raczej nie powinno. Każdy może sam podnieść punktacje.

Ostatnia reguła która jest very soft. Sprawdzamy tylko warunki dla domen oraz link w specyficznej postaci do usubuscribe Domena w received from i ta po nawiasie 3 literowa, pierwsza częsc taka sama a głowne domeny różne:

Received: from slowo.domena1.com (slowo.domena2.com

Ta regula ma punktacje 1 bo nie sprawdziłem jakie może to miec konsekwencje czyli ile będzie dobrych mail punktowanych. Ale jak ktoś będzie bardzo zirytowany niech podniesie punktacje.

Co do sytuacji z uknown. Trudno uznac za spam regule która ma 3 czlonowa domene w Received i com na koncu i uknown kolo IP. Mogło by się łapać troche dobrych maili jako spam. Ale na szczęscie mozna po linku sluzącego do wypisania sie sprawdzić. ma specyficzna budowe i to jest reguła o nazwie

Mam nadzieje, ze juz nikomu to nie przejdzie przez filty

Oto reguły:

 header   ZABOJCASPAMU_RECEIVED_COM  Received =~ /\.com /
 describe ZABOJCASPAMU_RECEIVED_COM  Domain in received com
 score    ZABOJCASPAMU_RECEIVED_COM  0.01

 meta     ZABOJCASPAMU_NATARCZYWYSPAM_1 (ZABOJCASPAMU_RANDOM_STRING || HK_RANDOM_ENVFROM) && ZABOJCASPAMU_FROM_UNKNOWN && ZABOJCASPAMU_RECEIVED_COM
 describe ZABOJCASPAMU_NATARCZYWYSPAM_1 Spam grzybica, detektor, klimatyzator ...(rodzaj 1 z unknown)
 score    ZABOJCASPAMU_NATARCZYWYSPAM_1 10

 uri      __URI_LINK_USUB_NATARCZYWY /ub\.php\?[a-z0-9]{3}=/
 meta     ZABOJCASPAMU_NATARCZYWYSPAM_1_2 __URI_LINK_USUB_NATARCZYWY && ZABOJCASPAMU_FROM_UNKNOWN && ZABOJCASPAMU_RECEIVED_COM
 describe ZABOJCASPAMU_NATARCZYWYSPAM_1_2 Spam grzybica, detektor, klimatyzator ...(rodzaj 1 unkown z linkiem)
 score    ZABOJCASPAMU_NATARCZYWYSPAM_1_2 3

 header  __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 Received =~ /from ([^.]+)\.[a-z]+\.com \(\1\.[a-z]+\.com/
 header  __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 Received =~ /from [^.]+\.([a-z]+)\.com \([^.]+\.\1\.com/
 meta    ZABOJCASPAMU_NATARCZYWYSPAM_2_1   __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 && !  __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 && (ZABOJCASPAMU_RANDOM_STRING || HK_RANDOM_ENVFROM)
 describe ZABOJCASPAMU_NATARCZYWYSPAM_2_1 Spam grzybica, detektor, klimatyzator ... (rodzaj 2)
 score    ZABOJCASPAMU_NATARCZYWYSPAM_2_1 10

 meta    ZABOJCASPAMU_NATARCZYWYSPAM_2_S   __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 && ! __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 && ZABOJCASPAMU_LONG_LOGIN_IN_FROM
 describe ZABOJCASPAMU_NATARCZYWYSPAM_2_S Spam grzybica, detektor, klimatyzator ... (rodzaj 2 Soft)
 score    ZABOJCASPAMU_NATARCZYWYSPAM_2_S 1.8

 meta    ZABOJCASPAMU_NATARCZYWYSPAM_2_VSOFT   __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 && ! __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 && __URI_LINK_USUB_NATARCZYWY
 describe ZABOJCASPAMU_NATARCZYWYSPAM_2_VSOFT Spam grzybica, detektor, klimatyzator ... (rodzaj 2 Very Soft)
 score    ZABOJCASPAMU_NATARCZYWYSPAM_2_VSOFT 1

Dzięki czytelnikom za zmotywowanie mnie do stworzenia reguł:) Uzywam RBLi i nie wiedziałem,że to duży problem i spam przechodzi

5 thoughts on “Grzybica, podlewanie, klimatyzator i inne badziewia

  1. Ostatnio od kilku dni uaktywnili się kolejni. Idzie spam z domen z końcówką .tk. Np. e.zaproszenie.tk, f.zaproszenie.tk, http://www.twoja-kolej.tk, pol.twoja-kolej.tk. Teksty są po polsku w których piszą pierdoły o bezdomnych, aktywowaniu kont itd. Spam, że szok i to po kilka emaili z różnych domen i IP.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *