Dziś zauważyłem mała liczbę maili: „Nieodebrana Wiadomosc MMS – Play”. Jak widać temat jest bez polskich liter. Pierwsza przesłanka, że coś jest nie tak.Co ciekawe w mailu telefon należy do firmy do której jest adresowany. Widać ze stopki maila ściągane jest imię i nazwisko i telefon. Natomiast mail już jest inny i w dobrej domenie ale login już nie pasuje do osoby.
Co ciekawe odpowiedz idzie na adres @play.pl. Domena na który jest przekierowana to mms-play24.pl i została zarejestrowana wczoraj. Na razie widać strona w przygotowaniu… Chyba to są testowe maile..Stopka z symbolem Play. Podejrzewam , że jeśli strona ruszy wiele osób może się nabrać (o ile ruszy). MessageD kończy się na adres IP 192.168..x.x czyli lokalny nie pojawiający się w internecie.
Maile reagują na regułę którą dotyczyła spamu z 2009(!). Oto reguła(wyjątkowo prefix EXPERIMENTAL i nie znajdzie się ona w liście reguł gdyż jest nieprzebadana dokładnie). Na razie to hipoteza ze wszystkie maile będą się łapać.
header EXPERIMENTAL_HDRS_MISSP ALL =~ /\n(?:Subject|From|To):\S/ism describe EXPERIMENTAL_HDRS_MISSP Misspaced headers score EXPERIMENTAL_HDRS_MISSP 2.0
Oto zrzut maila:
Wraz z rozwojem sytuacji(jeśli taki nastąpi) strona będzie aktulizowana
[AKTUALIZACJA 2015-03-06]
Na stronie jest informacja, że jest ona obsługiwana przez home.pl. Prawdopodobnie akcja sie nei udała i zakończyła się nim rozpoczeła:) To juz druga próba taka w ostatnim czasie
[Aktualizacja 2015-03-06]
Strona już przekierowuje na dobra stronę PLAYa. Kolejny nieudany atak co oczywiście pozytywne
Trochę offtop – ale pozwolę sobie zapytać. Czy jest jakiś patent na przeskanowanie zapisanej i dostarczonej wiadomości przez SA. Chodzi o scenariusz gdy otrzymujemy spam, piszemy regułki i chcąc sprawdzić fajnie było by odpalić skanowanie na tej konkretnej wiadomości celem testu. Czy da się tam z palca?
Dzięki
https://spamassassin.apache.org/full/3.4.x/doc/spamassassin-run.html opcja –test-mode