2

实际上,我正在尝试在 local.cf spamassassin 中编写一条规则。
我需要的是阻止所有伟哥电子邮件。

正如您在这些电子邮件中所知道的,他们有时会在主题字段中写入 Viagra,VIAGRA,VIAGRA(c),有时在名称字段中,有时它是邮件的正文。

你能告诉我阻止所有这些电子邮件的确切规则是什么吗?

4

2 回答 2

3

好吧,你可以试试这些简单的规则:

header   VIAGRA_SUBJECT Subject =~ /viagra/i
header   VIAGRA_FROM    From =~ /viagra/i
meta     VIAGRA_HEADER VIAGRA_FROM && VIAGRA_SUBJECT
score    VIAGRA_HEADER 10.0
describe VIAGRA_HEADER Block Mails with Viagra in subject

body     VIAGRA_BODY /viagra/i
score    VIAGRA_BODY 10.0
describe VIAGRA_BODY Block Mails with Viagra in body
于 2010-02-11T17:47:52.453 回答
3

我还有两个要补充:

body LOCAL_OBFU_VIAGRA /(?:\b[vu]|\B(?:\\\/|\xCE\xBD))[\W_]{0,3}(?:[il1:\|\*\xCC-\xCF\xEC-\xEF\xA6]|\xC4[\xA8-\xB0]|\xC4\xBA|\xC4\xBC|\xC4\xBE|\xC5\x80|\xC5\x82|\xC7[\x8F-\x90]|\xD0[\x86-\x87]|\xD1[\x96-\x97]|\xCE\x8A|\xCE\x90|\xCE\x99|\xCE\xAA|\xCE\xAF|\xCE\xB9|\xCF\x8A)[\W_]{0,3}(?:[a4\*\@\xC0-\xC5\xAA\xE0-\xE5]|\/\\|\xC4[\x80-\x85]|\xC7[\x8D-\x8E]|\xC7[\xBA-\xBB]|\xCE\x86|\xCE\x91|\xCE\x94|\xCE\x9B|\xCE\xAC|\xCE\xB1|\xD0\x90|\xD0\xB0)[\W_]{0,3}(?:[g6]|\xC4[\x9C-\xA3]])[\W_]{0,3}(?:[r\xAE]|\xC5[\x94-\x99]|\xD1\x93)[\W_]{0,3}(?:[a4]\b|(?:[\*\@\xC0-\xC5\xAA\xE0-\xE5]|\/\\|\xC4[\x80-\x85]|\xC7[\x8D-\x8E]|\xC7[\xBA-\xBB]|\xCE\x86|\xCE\x91|\xCE\x94|\xCE\x9B|\xCE\xAC|\xCE\xB1|\xD0\x90|\xD0\xB0)\B)/i
score LOCAL_OBFU_VIAGRA 1.8
describe LOCAL_OBFU_VIAGRA Obfuscated 'VIAGRA' in body

上述规则将阻止邮件正文中混淆的“伟哥”。以下规则做同样的事情,但拼写了特殊字符:

describe MANGLED_VIAGRA mangled viagra
body     MANGLED_VIAGRA /(?!viagra)v{1,3}(?:[_\W]{0,5}|[viagra])[iÌÍÎÏìíîï\|1l\!](?:[_\W]{0,5}|[viagra])[aÀÁÂÃÄÅàáâãäå4\@](?:[_\W]{0,5}|[viagra])g(?:[_\W]{0,5}|[viagra])r(?:[_\W]{0,5}|[viagra])[aÀÁÂÃÄÅàáâãäå4\@]/i
score    MANGLED_VIAGRA 2.5
于 2013-04-17T20:56:41.897 回答