[MASOCH-L] Nova forma de burlar anti-spam

Rejaine Monteiro rejaine at bhz.jamef.com.br
Wed Jun 4 10:54:20 -03 2014 

Entendi, Leandro

Vc esta falando dessa regra?

/bin/egrep -c '\<meta[^>]+http-equiv *= *"refresh"[^>]+\>'
    '$mime_decoded_filename'

Mas vc adiciona ela diretamente em algum arquivo .cf no spamassassin 
normalmente? Ou seja, ele entende isso ai normal (a versao que estou 
usando é um pouco  antiga.. )



Em 04-06-2014 10:50, Leandro escreveu:
> Rejaine,
>
> Aconteceu exatamente igual com a gente. Eu até tentei colocar o nome 
> dos arquivos orcamento e planilha como regra. Mas ai começamos a 
> receber algo do tipo: ComprovanteID03067.html. Percebi neste momento 
> que ficou impossível ficar registrando todos os nomes de arquivos que 
> aparecem, então cheguei na conclusão que deveria haver uma regra mais 
> ampla.
>
> Parece que esta ultima solução que escrevi em outra mensagem resolve 
> definitivamente o problema porque os fraudadores podem colocar os 
> nomes que quiserem nos arquivos que o filtro pega. Acho que a grande 
> sacada destes espertinhos foi justamente usar o redirecionamento, que 
> está fora dos radares de qualquer mecanismo anti-spam convencional. 
> Negar o redirecionamento é uma paulada na cabeça de todos eles.
>
> Leandro Carlos Rodrigues
> TI All Chemistry do Brasil
> (11) 3014-7100
>
> Em 04/06/2014 10:39, Rejaine Monteiro escreveu:
>>
>> TEu estava recebendo uma avalance de e-mails sobre 'segue o orçamento 
>> solicitado' ou 'segue planilha de orçamento' em que estava tendo 
>> dificuldades de pontuar pelo spamassassin justamente por não conter 
>> muita coisa no texto para ser avaliado e ter apenas um arquivo HTML 
>> anexado contendo link para o malware..  O jeito que encontrei foi 
>> fazer uma regra do tipo abaixo:
>>
>> header _ORCAMENTO_H /or.?amento|planilha/i
>> body _ORCAMENTO_B /or.?amento|planilha/i
>> mimeheader _ORCAMENTO_M Content-Disposition =~ /\.html[";]/i
>> uri _ORCAMENTO_U  /or.?amento|planilha/i
>> meta ORCAMENTO ( _ORCAMENTO_H || _ORCAMENTO_B ) &&  ( _ORCAMENTO_M || 
>> ORCAMENTO_U )
>> score ORCAMENTO   5.5
>>
>> A regar no caso vai pontuar as mensagens que contiverem no assunto OU 
>> corpo  a palavra orçamentou OU planilha _E_ também tiverem na URL OU 
>> no conteúdo do MIME um arquivo HTML anexado. Como a regra só vai 
>> pontuar as que atenderem todas as duas partes do teste, o risco de 
>> pontuar algo que seja legítimo é menor (apesar de ainda poder 
>> existir, mas pelo menos até então resolveu, em parte, o problema)
>>
>>
>> Em 04-06-2014 10:06, Alan C. Besen - TPA Telecomunicações escreveu:
>>> Prezado
>>>
>>> Agradeço pelo compartilhamento
>>>
>>> Vou fazer um testes e lhe reporto qualquer anormalidade que eu achar.
>>>
>>> Muito Obrigado!
>>>
>>>
>>>
>>> -----Original Message-----
>>> From: masoch-l-bounces at eng.registro.br
>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>> Sent: quarta-feira, 4 de junho de 2014 09:53
>>> To: Mail Aid and Succor, On-line Comfort and Help
>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>
>>> Beleza. Eu vi aqui e ele não tem informação sigilosa. Então segue o 
>>> link:
>>>
>>> https://dl.dropboxusercontent.com/u/44768624/MailAnalisis.zip
>>>
>>> Se for usar o JAR direto digite use o seguinte comando:
>>>
>>>      java -jar MailAnalisis.jar <diretório das mensagems HAM> 
>>> <diretório
>>>      das mensagens SPAM> /etc/spamassassin/custom.cf
>>>
>>> Depois tem que reiniciar o spamassassim. Nunca enviei este programa 
>>> para
>>> alguém, então me reporte os erros beleza?
>>>
>>> Eu escrevi este programa a muitos anos sem fazer revisão alguma. Foi 
>>> quando
>>> comecei a estudar ciência da computação. Então certamente ter várias 
>>> coisas
>>> estranhas lá. Como ele sempre me gerou arquivos de configuração 
>>> eficientes
>>> (acimas de 99%), eu nunca tive interesse em voltar a trabalhar nele.
>>>
>>> Só tem outro detalhe: a escala de pontuação dele está diferente do 
>>> padrão.
>>> Enquanto o pessoal costuma usar limiares altos no padrão, para este 
>>> aqui eu
>>> uso 20 para inteiro (se não me engando é 2.0 como decimal).
>>>
>>> Leandro Carlos Rodrigues
>>> TI All Chemistry do Brasil
>>> (11) 3014-7100
>>>
>>> Em 04/06/2014 09:36, Alan C. Besen - TPA Telecomunicações escreveu:
>>>> Leandro
>>>>
>>>> Por padrão, não gostei muito também a eficiência.
>>>>
>>>> A medida que estou fazendo o treinamento e bayes em base de dados
>>>> (hoje, tenho vários MXs e SpamFilters) está ajudando bastante na
>>>> eficiência. Em questão de dias, com autolearn ativado e treinamento
>>>> dos próprios usuários melhorou consideravelmente a filtragem.
>>>>
>>>> Se você puder compartilhar o programa, agradeço.
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> -----Original Message-----
>>>> From: masoch-l-bounces at eng.registro.br
>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>> Sent: quarta-feira, 4 de junho de 2014 09:21
>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>
>>>> Alan,
>>>>
>>>> Eu também faço algo semelhante. Tive que criar um programa em Java
>>>> para analisar todos os conteúdos dos e-mails e gerar um conjunto de
>>>> tokens no arquivo custom.cf para meu caso particular usando o 
>>>> histórico.
>>>>
>>>> Depois de muito tempo usando a configuração padrão do spamassasin,
>>>> fiquei muito decepcionado com a eficiência dele. Eu vou dar uma
>>>> analisada neste programa e se não houver informação sigilosa eu te
>>>> envio ele. Só não sei se você vai entender porque eu não documentei
>>>> mas eu te dou um suporte se for o caso.
>>>>
>>>> Leandro Carlos Rodrigues
>>>> TI All Chemistry do Brasil
>>>> (11) 3014-7100
>>>>
>>>> Em 04/06/2014 09:13, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>> Leandro
>>>>>
>>>>> Eu estou testando o ripmime para jogar mensagens anexadas e conteudo
>>>>> mime em uma pasta e usar o sa-learn nesta pasta temporaria.
>>>>>
>>>>> Agora, resta se ele pega os tokens corretamente e faz o treinamento
>>>>> com base nas caracteristicas da mensagem + anexos.
>>>>>
>>>>> Não sei se vai funcionar, estou fazendo alguns testes aqui. E nem sei
>>>>> se é o caminho mais adequado. Se tiver alguém que tenha conhecimento
>>>>> maior em spamassasin, poderia dar uma luz.
>>>>>
>>>>> -----Original Message-----
>>>>> From: masoch-l-bounces at eng.registro.br
>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>> Sent: quarta-feira, 4 de junho de 2014 09:03
>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>
>>>>> Alan,
>>>>>
>>>>> Ideia genial fazer análise do conteúdo. Seria possível detectar as
>>>>> tags que fazem o redirecionamento. Agora só falta fazer um regex que
>>>>> seja capaz de fazer isto e implementar ele num script.
>>>>>
>>>>> Alguém da lista manja de conteúdo HTML para gerar deste regex para a
>>>>> comunidade?
>>>>>
>>>>> Leandro Carlos Rodrigues
>>>>> TI All Chemistry do Brasil
>>>>> (11) 3014-7100
>>>>>
>>>>> Em 04/06/2014 08:54, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>> Prezado
>>>>>>
>>>>>> Um site que eu sei que manda anexo HTML e o infoemail do Bradesco.
>>>>>>
>>>>>> Estava analisando como fazer o mesmo filtro/analise de conteudo no
>>> anexo.
>>>>>>
>>>>>>
>>>>>> -----Original Message-----
>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>> Sent: quarta-feira, 4 de junho de 2014 08:51
>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>> Subject: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>
>>>>>> Pessoal,
>>>>>>
>>>>>> Estamos recebendo uma quantidade massiva de mensagens fraudulentas
>>>>>> com anexos em HTML cujo conteúdo redireciona para o site do
>>>>>> criminoso. O texto da mensagem geralmente é muito convincente e
>>>>>> acaba enganando até os
>>>>> usuários
>>>>>> mais espertos.
>>>>>>
>>>>>> Estamos com muita dificuldade de criar um filtro eficiente que
>>>>>> elimine
>>>>> este
>>>>>> tipo de mensagem. A única forma que encontramos foi barrar todas as
>>>>>> mensagens que tenham anexos HTML. Como nunca fizemos isto antes,
>>>>>> gostaria
>>>>> de
>>>>>> saber se algum de vocês conhecem casos legítimos de envio de anexos
>>>>>> de
>>>>> HTML
>>>>>> e se são frequentes para eu implementar o filtro sem medo.
>>>>>>
>>>>>> Obrigado.
>>>>>>
>>>>>> -- 
>>>>>> Leandro Carlos Rodrigues
>>>>>> TI All Chemistry do Brasil
>>>>>> (11) 3014-7100
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list