8

新手问第一个问题:)

我正在使用 SpamAssassin 运行邮件服务器(Ubuntu/Postfix/Dovecot)。大多数已知的垃圾邮件都被标记(RBL 和明显的 UCE),除了附加的 zip 文件(如“order_info_654321.zip”、“paymet_document_123456.zip”等)中的这种特殊垃圾邮件,当它不符合任何其他 SA 规则时. 我想制定一条规则,让匹配的罪犯被遗忘。

在摆弄regex101.com之后,我想出了一个完全匹配这些模式的表达式:

/\w+[_][0-9]{6}.zip$/img

问题是......如何格式化它,让它工作,以及放在哪里?到目前为止,我编辑了/etc/spamassassin/local.cf,将其添加到底部,然后重新启动:

mimeheader TROJAN_ATTACHED Content-Type =~ /\w+[_][0-9]{6}.zip$/img
describe ZIP_ATTACHED email contains a zip trojan attachment
score TROJAN_ATTACHED 99.

但它似乎没有魔法。我还能在哪里寻找这个?

谢谢大家,Keijo.-

4

3 回答 3

2

你有一个错误的正则表达式。最后不需要字符,因为文件名字符串不一定在标题$的末尾。Content-Type相反,您可以使用单词边界\b锚。在我的规则中,我有以下内容,并且非常有效:

mimeheader MIME_FAIL   Content-Type =~ /\.(ade|adp|bat|chm|cmd|com|cpl|exe|hta|ins|isp|jse|lib|lnk|mde|msc|msp|mst|pif|scr|sct|shb|sys|vb|vbe|vbs|vxd|wsc|wsf|wsh|reg)\b/i
describe   MIME_FAIL   Blacklisted file extension detected
score      MIME_FAIL   5
于 2017-01-11T18:59:13.093 回答
2

首先,SA 在默认情况下不会丢弃电子邮件,但它可以在垃圾邮件内容上对它们进行如此高的评分,以至于它们不会出现在任何人的收件箱中。其次,我开始使用的“成分”不正确,而且完全破坏了 SA 的功能。

当添加到时,这实际上起到了作用/etc/spamassassin/local.cf

full TROJAN_ZIPUNDS /\w*[_][\d]{1,6}\.zip/img
score TROJAN_ZIPUNDS 99
describe TROJAN_ZIPUNDS RM zip attached trojan underscore

尽管这些垃圾邮件发送者从 zip 更改为 rar,将下划线更改为破折号,不同的文件名等等,但在第一个成功之后创建规则来对付它们变得很简单。这也是我添加的内容:

full TROJAN_RARDASH /\w*[-][\d]{1,6}\.rar/img
score TROJAN_RARDASH 99
describe TROJAN_RARDASH RM rar attached trojan dash

此外,如前所述,我需要专门阻止某些很快变成 rar 和破折号的 zip 文件名,因此,变形正则表达式并作为规则三元组附加到 spamassassin 的 local.cf (并重新启动)当前一直保持,直到下一个垃圾邮件海浪 :-)

最后,这是一个非常直接的解决方法,因此非常欢迎任何具有该主题专业知识的人加入。

于 2016-03-29T22:59:08.850 回答
0

您使用了错误的 mime 标头来检查文件名。改用这个:

 mimeheader TROJAN_ATTACHED Content-Disposition =~ /\w+[_][0-9]{6}.zip/img

还要确保您已加载 MimeHeader 插件。

loadplugin Mail::SpamAssassin::Plugin::MIMEHeader
于 2016-05-19T17:53:29.730 回答