Ostatnie duzo badziewia przychodzi ze spamem ze niby faktura w rar. Oto reguła która podesłał kolega Natan/ Oczywiscie trzeba miec załadowany moduł mimeheader
header ZABOJASPAMU_SPAM_FAKTURA Subject=~/faktur.{1,50}/i
score ZABOJASPAMU_SPAM_FAKTURA 0.006
mimeheader ZABOJASPAMU_SPAM_FAKTURA2 Content-Type =~ /faktur.{1,20}\.(rar|zip)/i
meta ZABOJASPAMU_SPAM_FAKTURA_ALL ZABOJASPAMU_SPAM_FAKTURA && ZABOJASPAMU_SPAM_FAKTURA2
describe ZABOJASPAMU_SPAM_FAKTURA_ALL Fake faktura
score ZABOJASPAMU_SPAM_FAKTURA_ALL 10
header ZABOJASPAMU_SPAM_FAKTURA2_2 Subject=~/Faktu\D*\d*.(MAG|_).*/i
score ZABOJASPAMU_SPAM_FAKTURA2_2 0.5
mimeheader ZABOJASPAMU_SPAM_FAKTURA2_2 Content-Type =~ /faktu.{1,20}\.(rar|zip)/i
meta ZABOJASPAMU_SPAM_FAKTURA2_ALL ZABOJASPAMU_SPAM_FAKTURA2 && ZABOJASPAMU_SPAM_FAKTURA2_2
describe ZABOJASPAMU_SPAM_FAKTURA2_ALL Fake faktura
score ZABOJASPAMU_SPAM_FAKTURA2_ALL 10
Na Gicie chyba jest błąd w regułach – brakuje spacji:
scoreZABOJASPAMU_SPAM_FAKTURA 0.006
mimeheaderZABOJASPAMU_SPAM_FAKTURA2 Content-Type =~ /faktur.{1,20}\.(rar|zip)/i
Zrobiłem pull request na Githubie z poprawką na dwie brakujące spacje 🙂
Hej! Tam zdaje się jest błąd/literówka. Brak spacji po „score” oraz po „mimeheader”. SA wyrzuca błędy typu warn: config: failed to parse line, skipping, in „/etc/spamassassin/local.cf.reguly.ZABOJCASPAMU”: scoreZABOJASPAMU_SPAM_FAKTURA 0.006.
Pozdrawiam,
VanPit
No i wreszcie działa
Dzieki za info o błedzie. Milo , że ktos to czyta:)
Teraz jest wysyp maili bez załącznika, ale za to z linkiem do pobrania spakowanego vbs ze strony https://3monkstea.com (wcześniej 2 przekierowania na adres docelowy)
Przykłady maili:
„{Dzień dobry|Drogi Kliencie|Witam|
Dziękuję bardzo za terminowe regulowanie płatności. Przesyłam fakturę za kolejna dostawę materiału. Dane do faktury: http://on.signaltheory.net/oregon/360.html?email=c23ba@ca07a
Krystian Robaczkiewicz
Leganto Sp. z o.o.”
„Witaj!
Potwierdzenie zwrotu podatku. Pobierz fakturę http://uspssupplies.hopeventures.com/economia/ntt.php?email=599e6@815b1
Szczesliwie!
Gredka-Ligarska Iwona
TU INTER POLSKA”
W tytule ciągi zawierające różne odmiany słowa faktura oraz FV FW i przykładowo „za dostawę” „pobranie”.
Dla klientów mojej sieci wyciąłem ten adres w dns, ale są inni którzy nie korzystają z naszych dns.
Można to dość skutecznie wyciąć poniższą prostą regułką, bo parametr „email” nie jest standardowym adresem email (nie ma kropki), więc nie wytniemy jakiegoś prawdziwego adresu (no chyba że link aktywacyjny zawierający jakiś ciąg). Stąd niski SCORE 🙂
body FAKE_INVOICE_LINK /(http[s]?|ftp)\:\/\/[0-9a-z.-]+\/[0-9a-z.-]+\/[0-9a-z]+\.(php|htm[l])\?email\=[0-9a-z]+@[a-z0-9]+/i
describe FAKE_INVOICE_LINK Fake invoice link
score FAKE_INVOICE_LINK 1
http://uspssupplies.hopeventures.com/economia/ntt.php?email=599e6@815b1.pl też się załapie i zostanie zablokowane ? Match w sumie jest w tym ciągu. Czy tylko cały ciąg jako match się łapie?
Witam
Trochę pogrzebałem u siebie w MX`ach:
Dużo spamu z fake-fakturą przychodzi z takich adresów:
185.254.120.x
185.254.121.x
whois:
Media Land LLC
Sankt-Peterburg
Rosja
Problem polega na tym, ze nieraz domena jest aktywna chwile i znika. nadaja z roznych przyapdkowcyh IP. Wycwanili sie.
A reguły ze strony nie dzialaja