Rozpoznawanie fałszywych maili po adresie

Rozpoznawać fałszywe maile można w różne sposoby. Może to być po DKIM, SPF ale można próbować po fałszywych adresach w samym polu From. Spamassassin rozpoznaje dwie części tego adresu:

From – czyli wszystko co jest w tym polu
From:addr sama część z adresem

Pole from wygląda np tak

From: "Super cos tam" <jakisadres@przyklad.xyz>

Użytkownikowi się wyświetla w polu „super cos tam”. Nic ciekawego. Ale można nieżle kombinować z tymi polami. trywialny przykład:

From: "jakissobiemail@gmail.com" <jakisadres@przyklad.xyz>

teraz użytkownik zobaczy, że mail jest od jakissobiemail@gmail.com  naprawdę nadawcą jest jakisadres@przyklad.xyz. To już może zmylić. jeśli użyjemy znajomego adresu mail. Coś takiego można produkowac na zasadzie

From: "powiadomienia@dhl.com" <jakisadres@przyklad.xyz>

I ilu ludzi pomyśli, ze dostało coś z DHLu? No dobra ale co z regułami? oczywiscie da się stworzyć regułę na to. W sprawie DHLu była podobna już o nr 6. 

header __EXAMPLE_DHL_1 From=~/dhl\.com/
header __EXAMPLE_DHL_2 From:addr=~/dhl\.com/
meta    EXAMPLE_DHL  _EXAMPLE_DHL_1 && ! __EXAMPLE_DHL_2
score   EXAMPLE_DHL 10

czyli w nagłówku wyświetlania jest dhl a w adresie nie ma. Z DHLem zadziała. A z czym jeszcze? Paczkomaty – jeśli jest słowo paczkomaty w wyświelaniu a w adresie zwrotnym nie ma paczkomaty.pl. Przykład który nie ma odniesienie do rzeczywistości.

header __EXAMPLE_PACZKIMAT_1 From=~/paczkomat/
header __EXAMPLE_PACZKOMAT_2 From:addr=~/paczkomaty\.pl/
meta    __EXAMPLE_PACZKOMAT  _EXAMPLE_PACZKOMAT_1 && ! __EXAMPLE_PACZKOMAT_2
score   __EXAMPLE_PACZKOMAT 10

czysto teoretyczny przykład. Jak następuje wysyp spamu z fałszywi przeysyłkami, fakturami bardzo duża szansa, że ta metoda pomoże z tym walczyć.

jako pdosumowanie:

  • sprawdzamy adres nadawcy
  • sprawdzamy co się wyświetla
  • patrzymy czy jest jakaś zależność.

Niedługo następne możliwości sprawdzania maili w kierunku fake/spoof.

 

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *