Rozpoznawać fałszywe maile można w różne sposoby. Może to być po DKIM, SPF ale można próbować po fałszywych adresach w samym polu From. Spamassassin rozpoznaje dwie części tego adresu:
From – czyli wszystko co jest w tym polu
From:addr sama część z adresem
Pole from wygląda np tak
From: "Super cos tam" <jakisadres@przyklad.xyz>
Użytkownikowi się wyświetla w polu „super cos tam”. Nic ciekawego. Ale można nieżle kombinować z tymi polami. trywialny przykład:
From: "jakissobiemail@gmail.com" <jakisadres@przyklad.xyz>
teraz użytkownik zobaczy, że mail jest od jakissobiemail@gmail.com naprawdę nadawcą jest jakisadres@przyklad.xyz. To już może zmylić. jeśli użyjemy znajomego adresu mail. Coś takiego można produkowac na zasadzie
From: "powiadomienia@dhl.com" <jakisadres@przyklad.xyz>
I ilu ludzi pomyśli, ze dostało coś z DHLu? No dobra ale co z regułami? oczywiscie da się stworzyć regułę na to. W sprawie DHLu była podobna już o nr 6.
header __EXAMPLE_DHL_1 From=~/dhl\.com/ header __EXAMPLE_DHL_2 From:addr=~/dhl\.com/ meta EXAMPLE_DHL _EXAMPLE_DHL_1 && ! __EXAMPLE_DHL_2 score EXAMPLE_DHL 10
czyli w nagłówku wyświetlania jest dhl a w adresie nie ma. Z DHLem zadziała. A z czym jeszcze? Paczkomaty – jeśli jest słowo paczkomaty w wyświelaniu a w adresie zwrotnym nie ma paczkomaty.pl. Przykład który nie ma odniesienie do rzeczywistości.
header __EXAMPLE_PACZKIMAT_1 From=~/paczkomat/ header __EXAMPLE_PACZKOMAT_2 From:addr=~/paczkomaty\.pl/ meta __EXAMPLE_PACZKOMAT _EXAMPLE_PACZKOMAT_1 && ! __EXAMPLE_PACZKOMAT_2 score __EXAMPLE_PACZKOMAT 10
czysto teoretyczny przykład. Jak następuje wysyp spamu z fałszywi przeysyłkami, fakturami bardzo duża szansa, że ta metoda pomoże z tym walczyć.
jako pdosumowanie:
- sprawdzamy adres nadawcy
- sprawdzamy co się wyświetla
- patrzymy czy jest jakaś zależność.
Niedługo następne możliwości sprawdzania maili w kierunku fake/spoof.