Get spamassassin upuścić e-maile zawierające konkretne REGEX w załączonych nazwach

Question

początkujących prosząc pierwsze pytanie :)

Używam serwera poczty (Ubuntu/Postfix/Dovecot) z SpamAssassin. Większość znanych spamu jest oznaczona flagą (RBL i oczywistym UCE) z wyjątkiem tego konkretnego pliku malspam w załączonych plikach zip, takich jak "order_info_654321.zip", "paymet_document_123456.zip", i tak dalej, gdy nie pasuje on do żadnych innych reguł SA . Chciałbym wprowadzić zasadę, która odrzuca pasujących przestępców do zapomnienia.

Po błahy z regex101.com, mam wymyślić wyraz, który pasuje te wzorce Wyłącznie:

/\w+[_][0-9]{6}.zip$/img

pytanie brzmi ... Jak to wszystko formatować, zmusić go do pracy, i gdzie to ująć? Do tej pory, ja edytowany /etc/spamassassin/local.cf, dodaje to do dołu i ponownie:

mimeheader TROJAN_ATTACHED Content-Type =~ /\w+[_][0-9]{6}.zip$/img 
describe ZIP_ATTACHED email contains a zip trojan attachment 
score TROJAN_ATTACHED 99. 

Ale to nie wydaje się robić magię. Gdzie indziej mogę tego szukać?

Dziękuję wszystkim, Keijo.-

Answer 1

Najpierw, SA nie spada maile domyślnie, ale można go zdobyć ich, że nie pojawi się na czyjąś skrzynkę tak wysokiej zawartości spamu . Po drugie, "składniki", z którymi zacząłem, były niepoprawne, a dodatkowo miały one zdolność SA do funkcjonowania.

To faktycznie wystarczyły po dodaniu do /etc/spamassassin/local.cf:

full TROJAN_ZIPUNDS /\w*[_][\d]{1,6}\.zip/img 
score TROJAN_ZIPUNDS 99 
describe TROJAN_ZIPUNDS RM zip attached trojan underscore 

Chociaż te spamerzy zmienione z zamkiem do rar, do podkreślenia do kreski, różne nazwy plików, i tak dalej, tworząc zasady przeciwdziałania im stała prosta po sukcesie z pierwszym. Oto co dodałem też:

full TROJAN_RARDASH /\w*[-][\d]{1,6}\.rar/img 
score TROJAN_RARDASH 99 
describe TROJAN_RARDASH RM rar attached trojan dash 

Również jako pierwszy opisano, musiałem specjalnie blokować niektóre nazwy pliku zip, który wkrótce przekształcił się rar i kresek, więc morfingu regex i dołączanie jako triada reguły do ​​spamassassin na lokalny .cf (i wznowienie) jest obecnie gospodarstwa, do następnej fali spamu :-)

Wreszcie, jest to bardzo tępy obejście, więc każdy z wiedzy na ten temat jest bardziej niż mile widziane, aby dostroić się.

Answer 2

Używasz niewłaściwego nagłówka mime, aby sprawdzić nazwę pliku. Użyj zamiast tego:

mimeheader TROJAN_ATTACHED Content-Disposition =~ /\w+[_][0-9]{6}.zip/img 

Upewnij się również, że masz załadowaną wtyczkę MimeHeader.

loadplugin Mail::SpamAssassin::Plugin::MIMEHeader 

Answer 3

Masz złe zdanie. Na końcu nie potrzebujesz znaku $, ponieważ ciągi nazw plików niekoniecznie znajdują się na końcu nagłówka Content-Type. Zamiast tego możesz użyć kotwicy ze słowem granica \b. W moich regułach mam następujące i działa to doskonale:

mimeheader MIME_FAIL Content-Type =~ /\.(ade|adp|bat|chm|cmd|com|cpl|exe|hta|ins|isp|jse|lib|lnk|mde|msc|msp|mst|pif|scr|sct|shb|sys|vb|vbe|vbs|vxd|wsc|wsf|wsh|reg)\b/i 
describe MIME_FAIL Blacklisted file extension detected 
score  MIME_FAIL 5