新手问第一个问题:)
我正在使用SpamAssassin运行邮件服务器(Ubuntu / Postfix / Dovecot)。大多数已知的垃圾邮件被标记(RBL,显而易见的UCE),除了这个特定的malspam附加的zip文件,如“order_info_654321.zip”,“paymet_document_123456.zip”等,当它不适合任何其他SA规则。我想购买一条规则,将匹配的罪犯丢弃。
在摆弄regex101.com之后,我想出了一个与这些模式完全匹配的表达式:
/\w+[_][0-9]{6}.zip$/img
问题是......如何格式化它,让它工作,以及放在哪里?到目前为止,我编辑了/etc/spamassassin/local.cf,将其添加到底部,然后重新启动:
mimeheader TROJAN_ATTACHED Content-Type =~ /\w+[_][0-9]{6}.zip$/img
describe ZIP_ATTACHED email contains a zip trojan attachment
score TROJAN_ATTACHED 99.
但它似乎没有做魔术。我还能在哪里寻找这个?
谢谢大家, Keijo .-
答案 0 :(得分:2)
首先,SA默认不丢弃电子邮件,但它可以在垃圾邮件内容上得分如此之高,以至于它们不会显示给任何人的收件箱。第二,"成分"我开始时是不正确的,加上SA功能完全混乱。
这实际上是在添加到/etc/spamassassin/local.cf中时的诀窍:
full TROJAN_ZIPUNDS /\w*[_][\d]{1,6}\.zip/img
score TROJAN_ZIPUNDS 99
describe TROJAN_ZIPUNDS RM zip attached trojan underscore
即使这些垃圾邮件发送者从zip更改为rar,下划线更改为破折号,不同的文件名等,但在成功完成第一个后,创建规则来对抗它们变得很简单。这也是我添加的内容:
full TROJAN_RARDASH /\w*[-][\d]{1,6}\.rar/img
score TROJAN_RARDASH 99
describe TROJAN_RARDASH RM rar attached trojan dash
另外,如上所述,我需要专门阻止某些zip文件名很快变形为rar和破折号,因此,变形正则表达式并作为规则三元组附加到spamassassin的local.cf(并重新启动)目前正在举行,直到下一个垃圾邮件: - )
最后,这是一个非常非常直率的解决方法,所以任何拥有该主题专业知识的人都欢迎加入。
答案 1 :(得分:2)
你有一个错误的正则表达式。最后您不需要$字符,因为文件名字符串不一定在Content-Type标题的末尾。相反,您可以使用单词边界\b锚点。在我的规则中,我有以下内容,它完美有效:
mimeheader MIME_FAIL Content-Type =~ /\.(ade|adp|bat|chm|cmd|com|cpl|exe|hta|ins|isp|jse|lib|lnk|mde|msc|msp|mst|pif|scr|sct|shb|sys|vb|vbe|vbs|vxd|wsc|wsf|wsh|reg)\b/i
describe MIME_FAIL Blacklisted file extension detected
score MIME_FAIL 5
答案 2 :(得分:0)
您使用错误的mime标头来检查文件名。请改用:
mimeheader TROJAN_ATTACHED Content-Disposition =~ /\w+[_][0-9]{6}.zip/img
还要确保已加载MimeHeader插件。
loadplugin Mail::SpamAssassin::Plugin::MIMEHeader