Ostatnio dość popularne stało się rozsyłanie programów wykonywalnych, Czy to przez .js czy vbs. Przyłapałem następne rozszerzenia więc trzeba stworzyć regułe. Samo blokowanie plików vbs okazuje się niewystarczające.
Sam mail ma następujące właściowości
- temat zaczyna sie od RE
- w temacie jest nazwa użytkownika
- załącznik jest zipem
- nazwa zipa to <user>_<cyfry>.zip
Oto reguła (bez sprawdzania dokładnie nazwy zipa). Aby załadowac moduł MIMEHeader odsyłam do tego wpisu
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader mimeheader __ZABOJCASPAMU_VBS_CRYPT_1 Content-Type =~ /[a-z.]+_\d+\.zip/ header __ZABOJCASPAMU_VBS_CRYPT_RE Subject=~/^RE: / meta ZABOJCASPAMU_VBS_CRYPT __ZABOJCASPAMU_VBS_CRYPT_1 && LOCALPART_IN_SUBJECT && __ZABOJCASPAMU_VBS_CRYPT_RE describe ZABOJCASPAMU_VBS_CRYPT VBS(lub inny) w login_cyfry.zip z VBSem score ZABOJCASPAMU_VBS_CRYPT 10 endif