Nhận spamassassin để thả email chứa REGEX cụ thể trong tên tệp đính kèm

Question

người mới hỏi câu hỏi đầu tiên :)

Tôi đang chạy máy chủ thư (Ubuntu/Postfix/Dovecot) với SpamAssassin. Phần lớn thư rác đã biết được gắn cờ (RBL và UCE rõ ràng) ngoại trừ malspam cụ thể này trong các tệp zip đính kèm như "order_info_654321.zip", "paymet_document_123456.zip", v.v., khi nó không phù hợp với bất kỳ quy tắc SA nào khác . Tôi muốn mua một quy tắc để loại bỏ những người phạm tội phù hợp thành lãng quên.

Sau khi loay hoay với regex101.com, tôi đã đưa ra một biểu thức phù hợp với những mô hình độc quyền:

/\w+[_][0-9]{6}.zip$/img

Câu hỏi là ... Làm thế nào để định dạng tất cả, làm cho nó để làm việc, và ở đâu cầm lấy nó? Cho đến nay, tôi đã chỉnh sửa /etc/spamassassin/local.cf, đã thêm phần này vào cuối và khởi động lại:

mimeheader TROJAN_ATTACHED Content-Type =~ /\w+[_][0-9]{6}.zip$/img 
describe ZIP_ATTACHED email contains a zip trojan attachment 
score TROJAN_ATTACHED 99. 

Nhưng nó dường như không làm điều kỳ diệu. Tôi có thể tìm cái này ở đâu khác?

Cảm ơn tất cả các bạn, Keijo.-

Answer 1

Đầu tiên, SA không thả e-mail theo mặc định, nhưng nó có thể ghi bàn cho họ quá cao về nội dung thư rác mà họ không hiển thị lên đến hộp thư của bất kỳ ai . Thứ hai, các "thành phần" tôi bắt đầu với không chính xác, cộng với sai lầm với khả năng SA hoạt động ở tất cả.

Điều này thực sự đã làm các trick khi được bổ sung vào /etc/spamassassin/local.cf:

full TROJAN_ZIPUNDS /\w*[_][\d]{1,6}\.zip/img 
score TROJAN_ZIPUNDS 99 
describe TROJAN_ZIPUNDS RM zip attached trojan underscore 

Mặc dù những kẻ gửi thư rác thay đổi từ zip để rar, để dấu gạch dưới để dấu gạch ngang, tên tập tin khác nhau, và như vậy, việc tạo ra quy tắc để chống lại họ trở nên đơn giản sau khi thành công với cái đầu tiên. Đây là những gì tôi đã thêm quá:

full TROJAN_RARDASH /\w*[-][\d]{1,6}\.rar/img 
score TROJAN_RARDASH 99 
describe TROJAN_RARDASH RM rar attached trojan dash 

Ngoài ra, như được mô tả đầu tiên, tôi cần thiết để ngăn chặn đặc biệt tên file zip nào đó mà sớm morphed để rar và dấu gạch ngang, vì vậy, kỹ xảo regex và phụ thêm như một bộ ba quy tắc để SpamAssassin của địa phương .cf (và khởi động lại) hiện đang nắm giữ, cho đến khi làn sóng thư rác tiếp theo :-)

Cuối cùng, đây là một cách giải quyết rất rất cùn, vì vậy bất cứ ai có chuyên môn về đề tài này là chào đón nhiều hơn để kêu vang trong.

Answer 2

Bạn đang sử dụng tiêu đề mime sai để kiểm tra tên tệp. Sử dụng tùy chọn này thay thế:

mimeheader TROJAN_ATTACHED Content-Disposition =~ /\w+[_][0-9]{6}.zip/img 

Đồng thời đảm bảo bạn đã tải plugin MimeHeader.

loadplugin Mail::SpamAssassin::Plugin::MIMEHeader 

Answer 3

Bạn có regex sai. Bạn không cần $ char ở cuối vì chuỗi tên tệp không nhất thiết phải ở cuối tiêu đề Content-Type. Thay vào đó, bạn có thể sử dụng một ranh giới từ \b neo. Trong các quy tắc của tôi, tôi có những điều sau đây, và nó hoàn toàn hoạt động:

mimeheader MIME_FAIL Content-Type =~ /\.(ade|adp|bat|chm|cmd|com|cpl|exe|hta|ins|isp|jse|lib|lnk|mde|msc|msp|mst|pif|scr|sct|shb|sys|vb|vbe|vbs|vxd|wsc|wsf|wsh|reg)\b/i 
describe MIME_FAIL Blacklisted file extension detected 
score  MIME_FAIL 5