[MASOCH-L] Nova forma de burlar anti-spam
Leandro
leandro at allchemistry.com.br
Wed Jun 4 10:50:46 -03 2014
Rejaine,
Aconteceu exatamente igual com a gente. Eu até tentei colocar o nome dos
arquivos orcamento e planilha como regra. Mas ai começamos a receber
algo do tipo: ComprovanteID03067.html. Percebi neste momento que ficou
impossível ficar registrando todos os nomes de arquivos que aparecem,
então cheguei na conclusão que deveria haver uma regra mais ampla.
Parece que esta ultima solução que escrevi em outra mensagem resolve
definitivamente o problema porque os fraudadores podem colocar os nomes
que quiserem nos arquivos que o filtro pega. Acho que a grande sacada
destes espertinhos foi justamente usar o redirecionamento, que está fora
dos radares de qualquer mecanismo anti-spam convencional. Negar o
redirecionamento é uma paulada na cabeça de todos eles.
Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7100
Em 04/06/2014 10:39, Rejaine Monteiro escreveu:
>
> TEu estava recebendo uma avalance de e-mails sobre 'segue o orçamento
> solicitado' ou 'segue planilha de orçamento' em que estava tendo
> dificuldades de pontuar pelo spamassassin justamente por não conter
> muita coisa no texto para ser avaliado e ter apenas um arquivo HTML
> anexado contendo link para o malware.. O jeito que encontrei foi
> fazer uma regra do tipo abaixo:
>
> header _ORCAMENTO_H /or.?amento|planilha/i
> body _ORCAMENTO_B /or.?amento|planilha/i
> mimeheader _ORCAMENTO_M Content-Disposition =~ /\.html[";]/i
> uri _ORCAMENTO_U /or.?amento|planilha/i
> meta ORCAMENTO ( _ORCAMENTO_H || _ORCAMENTO_B ) && ( _ORCAMENTO_M ||
> ORCAMENTO_U )
> score ORCAMENTO 5.5
>
> A regar no caso vai pontuar as mensagens que contiverem no assunto OU
> corpo a palavra orçamentou OU planilha _E_ também tiverem na URL OU
> no conteúdo do MIME um arquivo HTML anexado. Como a regra só vai
> pontuar as que atenderem todas as duas partes do teste, o risco de
> pontuar algo que seja legítimo é menor (apesar de ainda poder existir,
> mas pelo menos até então resolveu, em parte, o problema)
>
>
> Em 04-06-2014 10:06, Alan C. Besen - TPA Telecomunicações escreveu:
>> Prezado
>>
>> Agradeço pelo compartilhamento
>>
>> Vou fazer um testes e lhe reporto qualquer anormalidade que eu achar.
>>
>> Muito Obrigado!
>>
>>
>>
>> -----Original Message-----
>> From: masoch-l-bounces at eng.registro.br
>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>> Sent: quarta-feira, 4 de junho de 2014 09:53
>> To: Mail Aid and Succor, On-line Comfort and Help
>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>
>> Beleza. Eu vi aqui e ele não tem informação sigilosa. Então segue o
>> link:
>>
>> https://dl.dropboxusercontent.com/u/44768624/MailAnalisis.zip
>>
>> Se for usar o JAR direto digite use o seguinte comando:
>>
>> java -jar MailAnalisis.jar <diretório das mensagems HAM> <diretório
>> das mensagens SPAM> /etc/spamassassin/custom.cf
>>
>> Depois tem que reiniciar o spamassassim. Nunca enviei este programa para
>> alguém, então me reporte os erros beleza?
>>
>> Eu escrevi este programa a muitos anos sem fazer revisão alguma. Foi
>> quando
>> comecei a estudar ciência da computação. Então certamente ter várias
>> coisas
>> estranhas lá. Como ele sempre me gerou arquivos de configuração
>> eficientes
>> (acimas de 99%), eu nunca tive interesse em voltar a trabalhar nele.
>>
>> Só tem outro detalhe: a escala de pontuação dele está diferente do
>> padrão.
>> Enquanto o pessoal costuma usar limiares altos no padrão, para este
>> aqui eu
>> uso 20 para inteiro (se não me engando é 2.0 como decimal).
>>
>> Leandro Carlos Rodrigues
>> TI All Chemistry do Brasil
>> (11) 3014-7100
>>
>> Em 04/06/2014 09:36, Alan C. Besen - TPA Telecomunicações escreveu:
>>> Leandro
>>>
>>> Por padrão, não gostei muito também a eficiência.
>>>
>>> A medida que estou fazendo o treinamento e bayes em base de dados
>>> (hoje, tenho vários MXs e SpamFilters) está ajudando bastante na
>>> eficiência. Em questão de dias, com autolearn ativado e treinamento
>>> dos próprios usuários melhorou consideravelmente a filtragem.
>>>
>>> Se você puder compartilhar o programa, agradeço.
>>>
>>>
>>>
>>>
>>>
>>> -----Original Message-----
>>> From: masoch-l-bounces at eng.registro.br
>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>> Sent: quarta-feira, 4 de junho de 2014 09:21
>>> To: Mail Aid and Succor, On-line Comfort and Help
>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>
>>> Alan,
>>>
>>> Eu também faço algo semelhante. Tive que criar um programa em Java
>>> para analisar todos os conteúdos dos e-mails e gerar um conjunto de
>>> tokens no arquivo custom.cf para meu caso particular usando o
>>> histórico.
>>>
>>> Depois de muito tempo usando a configuração padrão do spamassasin,
>>> fiquei muito decepcionado com a eficiência dele. Eu vou dar uma
>>> analisada neste programa e se não houver informação sigilosa eu te
>>> envio ele. Só não sei se você vai entender porque eu não documentei
>>> mas eu te dou um suporte se for o caso.
>>>
>>> Leandro Carlos Rodrigues
>>> TI All Chemistry do Brasil
>>> (11) 3014-7100
>>>
>>> Em 04/06/2014 09:13, Alan C. Besen - TPA Telecomunicações escreveu:
>>>> Leandro
>>>>
>>>> Eu estou testando o ripmime para jogar mensagens anexadas e conteudo
>>>> mime em uma pasta e usar o sa-learn nesta pasta temporaria.
>>>>
>>>> Agora, resta se ele pega os tokens corretamente e faz o treinamento
>>>> com base nas caracteristicas da mensagem + anexos.
>>>>
>>>> Não sei se vai funcionar, estou fazendo alguns testes aqui. E nem sei
>>>> se é o caminho mais adequado. Se tiver alguém que tenha conhecimento
>>>> maior em spamassasin, poderia dar uma luz.
>>>>
>>>> -----Original Message-----
>>>> From: masoch-l-bounces at eng.registro.br
>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>> Sent: quarta-feira, 4 de junho de 2014 09:03
>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>
>>>> Alan,
>>>>
>>>> Ideia genial fazer análise do conteúdo. Seria possível detectar as
>>>> tags que fazem o redirecionamento. Agora só falta fazer um regex que
>>>> seja capaz de fazer isto e implementar ele num script.
>>>>
>>>> Alguém da lista manja de conteúdo HTML para gerar deste regex para a
>>>> comunidade?
>>>>
>>>> Leandro Carlos Rodrigues
>>>> TI All Chemistry do Brasil
>>>> (11) 3014-7100
>>>>
>>>> Em 04/06/2014 08:54, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>> Prezado
>>>>>
>>>>> Um site que eu sei que manda anexo HTML e o infoemail do Bradesco.
>>>>>
>>>>> Estava analisando como fazer o mesmo filtro/analise de conteudo no
>> anexo.
>>>>>
>>>>>
>>>>> -----Original Message-----
>>>>> From: masoch-l-bounces at eng.registro.br
>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>> Sent: quarta-feira, 4 de junho de 2014 08:51
>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>> Subject: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>
>>>>> Pessoal,
>>>>>
>>>>> Estamos recebendo uma quantidade massiva de mensagens fraudulentas
>>>>> com anexos em HTML cujo conteúdo redireciona para o site do
>>>>> criminoso. O texto da mensagem geralmente é muito convincente e
>>>>> acaba enganando até os
>>>> usuários
>>>>> mais espertos.
>>>>>
>>>>> Estamos com muita dificuldade de criar um filtro eficiente que
>>>>> elimine
>>>> este
>>>>> tipo de mensagem. A única forma que encontramos foi barrar todas as
>>>>> mensagens que tenham anexos HTML. Como nunca fizemos isto antes,
>>>>> gostaria
>>>> de
>>>>> saber se algum de vocês conhecem casos legítimos de envio de anexos
>>>>> de
>>>> HTML
>>>>> e se são frequentes para eu implementar o filtro sem medo.
>>>>>
>>>>> Obrigado.
>>>>>
>>>>> --
>>>>> Leandro Carlos Rodrigues
>>>>> TI All Chemistry do Brasil
>>>>> (11) 3014-7100
>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list