Coś moda ostatnio na spoofingowanie po niemiecku. Po DHLu kolejny raz się uaktywniają rachunki z telekom.de lub czasem t-online.de. Standardowo zawiera w sobie linko który prowadzi do zipa w którym jest exe. Temat maila to „Ihre Telekom Festnetz-Rechnung Juni 2015” ale pewnie będzie zmienny w czasie.
A oto reguły które pomagają ubić tego rodzaju spam. Pierwsza analizuje temat, sprawdza czy nadawca w tekście Telekom i czy adres nadawcy zawiera telekom. Oto reguła.
header __ZABOJCASPAMU_RECHNUNG_201506111_1 Subject=~/Ihre Telekom Festnetz\-Rechnung/ header __ZABOJCASPAMU_RECHNUNG_201506111_2 From=~/Telekom/ header __ZABOJCASPAMU_RECHNUNG_201506111_3 From:addr=~/telekom\./ meta ZABOJCASPAMU_RECHNUNG_201506111 __ZABOJCASPAMU_RECHNUNG_201506111_1 && __ZABOJCASPAMU_RECHNUNG_201506111_2 && ! __ZABOJCASPAMU_RECHNUNG_201506111_3 describe ZABOJCASPAMU_RECHNUNG_201506111 Spam z Ihre Telekom Festnetz-Rechnung score ZABOJCASPAMU_RECHNUNG_201506111 10
Druga reguła inaczej podchodzi do sprawy. Aby ją użyć należy pluginu Uridetail. Należy wstawić lub odkomentować linię (będzie w /etc/spamassassin/local.cf lub /etc/spamassassin/v320.pre lub inny numer). Ta reguła sprawdza czy nie jest adres URL podmieniany(inny wyświetlany inny rzeczywisty)
loadplugin Mail::SpamAssassin::Plugin::URIDetail
Powyższa linia powinna być odkomentowana.
Oto reguła:
header __ZABOJCASPAMU_RECHNUNG_201506112_1 From=~/Telekom/ uri_detail __ZABOJCASPAMU_RECHNUNG_201506112_2 text=~/www\.(t-online|telekom)\.de/ cleaned!~/(t-online|telekom)\.de/ meta ZABOJCASPAMU_RECHNUNG_201506112 __ZABOJCASPAMU_RECHNUNG_201506112_1 && __ZABOJCASPAMU_RECHNUNG_201506112_2 describe ZABOJCASPAMU_RECHNUNG_201506112 Fake Telekom po niemiecku score ZABOJCASPAMU_RECHNUNG_201506112 10
A czemu takie nazwy reguł? A takie trochę z binda:)
Miłego ubijania spamu