Jak widać z wpisów walczących z tym badziewiem cały czas cos sie zmienia. Tu się zmienia temat a tutaj a tu się zmienia pole From. Logiczne, że cały czas to sie może zmieniać. Można czuwać i reagować na zmiany tylko zawsze pierwsze maile przejdą. A jeśli pójdzie duża seria to przepuści się ją. Trzeba to inaczej rozwiązać.
Poniższa reguła sprawdza następujące rzeczy
- czy w polu From jest PGE
- czy temat zawiera 10 cyfrową liczbę
- czy brak jest adresu z którego powinny iść faktury z PGE
- czy X-Mailer to Outlook lub Live
To ostatnie tez dzisiaj było bez Live ale lepiej sprawdzać więcej aby dobra faktura nie wpadła. A oto reguła
header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_1 From=~/PGE/
header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_2 Subject=~/\d{10}/
header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_3 X-Mailer=~/(Microsoft Windows Live Mail|Microsoft Outlook Express 6\.00)/
header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_4 From:addr=~/pge-efaktura\@bluemedia.pl/
meta ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3 __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_1 && __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_2 && __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_3 && ! __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_4
describe ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3 faktura niby za energie elektryczna
score ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3 10
Ja poszedłem w innym kierunku. Wg moich obserwacji linki w mailu wskazują na dwa serwery, które się powtarzają:
tsk72.ru oraz
globol.ru.
Wstawiłem więc coś takiego:
rawbody TSK72_RU /tsk72\.ru/i
describe TSK72_RU swinstwo z tsk72.ru
score TSK72_RU 999
rawbody GLOBOL_RU /globol\.ru/i
describe GLOBOL_RU swinstwo z globol.ru
score GLOBOL_RU 999
(Samo body nie wystarczy. Wiadomość tekstowa nie zawiera linków ale nextpart w htmlu. Dlatego wstawiłem właśnie rawbody.)
Gdyby ktoś zauważył inne serwery, na które wskazują np linki obrazków, to proszę o podzielenie się.
Przed chwilą dostałem faktura z PGE. 🙁
Tym razem linki wskazują na serwer carrollsbootcountry.com.
No to dodajemy:
rawbody CARROLLSBOOT_COM /carrollsbootcountry\.com/i
describe CARROLLSBOOT_COM wirus z carrollsbootcountry.com
score CARROLLSBOOT_COM 999
takich serwerow bedzie duzo. Pni moga zmieniać. A inne reguły jak sie zachowały?
Kicha!
Stało się tak jak pisaliście. 🙂
Inne reguły też zawodziły. Tam zmienia się prawie wszystko: adres nadawcy, serwery wysyłki, evenlope from, linki serwerów.
Stałe pozostaje jedynie:
– dziesięciocyfrowy numer w tytule (mieliście taką regułę w którejś z reguł),
– niektóre zapisy w treści wiadomości.
No to lecimy:
header FAKTURA_PGE_A_1 Subject=~/\d{10}/
describe FAKTURA_PGE_A_1 pole Temat zawiera 10 cyfrowy numer
rawbody FAKTURA_PGE_A_2 /KOPIA\ z\ dnia/
describe FAKTURA_PGE_A_2 tresc wiadomosci zawiera ‚KOPIA z dnia’
meta FAKTURA_PGE_A (FAKTURA_PGE_A_1 && FAKTURA_PGE_A_2)
describe FAKTURA_PGE_A 10 cyfrowy numer w temacie i ‚KOPIA z dnia’ w tresci
score FAKTURA_PGE_A 99
Ta kopia ‚KOPIA z dnia” jest chyba najbardziej charakterystyczna i będzie powodowała najmniej fałszywych alertów. (liczę na to że ich nie będzie wcale.)
Dziwne ja nie zauwazlem jeszcze takich maili. ale skuteczne wiec beda kombinowac.
Ale ta reguła jest ryzykowna. W systemach elektronicznych wymiany zamowien, faktur (typu EDI) temat z 10 cyfrowym tematem moze nic byc nicyzm idziwnym. tematy typu ORDER i 10 cyfr sa normalne. a w temacie slowo KOPIA. Powinno generalnie dzialac ale może wyrzucac dobre maile w firmach handlowych. Mowie ze moze nie musi