Spam z faktura

Ostatnie duzo badziewia przychodzi ze spamem ze niby faktura w rar. Oto reguła która podesłał kolega Natan/ Oczywiscie trzeba miec załadowany moduł mimeheader

header ZABOJASPAMU_SPAM_FAKTURA Subject=~/faktur.{1,50}/i
score ZABOJASPAMU_SPAM_FAKTURA 0.006
mimeheader ZABOJASPAMU_SPAM_FAKTURA2 Content-Type =~ /faktur.{1,20}\.(rar|zip)/i
meta ZABOJASPAMU_SPAM_FAKTURA_ALL ZABOJASPAMU_SPAM_FAKTURA && ZABOJASPAMU_SPAM_FAKTURA2
describe ZABOJASPAMU_SPAM_FAKTURA_ALL Fake faktura
score ZABOJASPAMU_SPAM_FAKTURA_ALL 10

header ZABOJASPAMU_SPAM_FAKTURA2_2 Subject=~/Faktu\D*\d*.(MAG|_).*/i
score ZABOJASPAMU_SPAM_FAKTURA2_2 0.5
mimeheader ZABOJASPAMU_SPAM_FAKTURA2_2 Content-Type =~ /faktu.{1,20}\.(rar|zip)/i
meta ZABOJASPAMU_SPAM_FAKTURA2_ALL ZABOJASPAMU_SPAM_FAKTURA2 && ZABOJASPAMU_SPAM_FAKTURA2_2
describe ZABOJASPAMU_SPAM_FAKTURA2_ALL Fake faktura
score ZABOJASPAMU_SPAM_FAKTURA2_ALL 10

8 thoughts on “Spam z faktura

  1. Na Gicie chyba jest błąd w regułach – brakuje spacji:

    scoreZABOJASPAMU_SPAM_FAKTURA 0.006
    mimeheaderZABOJASPAMU_SPAM_FAKTURA2 Content-Type =~ /faktur.{1,20}\.(rar|zip)/i

  2. Hej! Tam zdaje się jest błąd/literówka. Brak spacji po „score” oraz po „mimeheader”. SA wyrzuca błędy typu warn: config: failed to parse line, skipping, in „/etc/spamassassin/local.cf.reguly.ZABOJCASPAMU”: scoreZABOJASPAMU_SPAM_FAKTURA 0.006.

    Pozdrawiam,
    VanPit

  3. Teraz jest wysyp maili bez załącznika, ale za to z linkiem do pobrania spakowanego vbs ze strony https://3monkstea.com (wcześniej 2 przekierowania na adres docelowy)
    Przykłady maili:
    „{Dzień dobry|Drogi Kliencie|Witam|
    Dziękuję bardzo za terminowe regulowanie płatności. Przesyłam fakturę za kolejna dostawę materiału. Dane do faktury: http://on.signaltheory.net/oregon/360.html?email=c23ba@ca07a

    Krystian Robaczkiewicz
    Leganto Sp. z o.o.”

    „Witaj!

    Potwierdzenie zwrotu podatku. Pobierz fakturę http://uspssupplies.hopeventures.com/economia/ntt.php?email=599e6@815b1

    Szczesliwie!

    Gredka-Ligarska Iwona

    TU INTER POLSKA”

    W tytule ciągi zawierające różne odmiany słowa faktura oraz FV FW i przykładowo „za dostawę” „pobranie”.
    Dla klientów mojej sieci wyciąłem ten adres w dns, ale są inni którzy nie korzystają z naszych dns.
    Można to dość skutecznie wyciąć poniższą prostą regułką, bo parametr „email” nie jest standardowym adresem email (nie ma kropki), więc nie wytniemy jakiegoś prawdziwego adresu (no chyba że link aktywacyjny zawierający jakiś ciąg). Stąd niski SCORE 🙂

    body FAKE_INVOICE_LINK /(http[s]?|ftp)\:\/\/[0-9a-z.-]+\/[0-9a-z.-]+\/[0-9a-z]+\.(php|htm[l])\?email\=[0-9a-z]+@[a-z0-9]+/i
    describe FAKE_INVOICE_LINK Fake invoice link
    score FAKE_INVOICE_LINK 1

  4. Witam
    Trochę pogrzebałem u siebie w MX`ach:
    Dużo spamu z fake-fakturą przychodzi z takich adresów:
    185.254.120.x
    185.254.121.x

    whois:
    Media Land LLC
    Sankt-Peterburg
    Rosja

    1. Problem polega na tym, ze nieraz domena jest aktywna chwile i znika. nadaja z roznych przyapdkowcyh IP. Wycwanili sie.
      A reguły ze strony nie dzialaja

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *