[MASOCH-L] Nova forma de burlar anti-spam
Rejaine Monteiro
rejaine at bhz.jamef.com.br
Wed Jun 4 10:54:20 BRT 2014
Entendi, Leandro
Vc esta falando dessa regra?
/bin/egrep -c '\<meta[^>]+http-equiv *= *"refresh"[^>]+\>'
'$mime_decoded_filename'
Mas vc adiciona ela diretamente em algum arquivo .cf no spamassassin
normalmente? Ou seja, ele entende isso ai normal (a versao que estou
usando é um pouco antiga.. )
Em 04-06-2014 10:50, Leandro escreveu:
> Rejaine,
>
> Aconteceu exatamente igual com a gente. Eu até tentei colocar o nome
> dos arquivos orcamento e planilha como regra. Mas ai começamos a
> receber algo do tipo: ComprovanteID03067.html. Percebi neste momento
> que ficou impossível ficar registrando todos os nomes de arquivos que
> aparecem, então cheguei na conclusão que deveria haver uma regra mais
> ampla.
>
> Parece que esta ultima solução que escrevi em outra mensagem resolve
> definitivamente o problema porque os fraudadores podem colocar os
> nomes que quiserem nos arquivos que o filtro pega. Acho que a grande
> sacada destes espertinhos foi justamente usar o redirecionamento, que
> está fora dos radares de qualquer mecanismo anti-spam convencional.
> Negar o redirecionamento é uma paulada na cabeça de todos eles.
>
> Leandro Carlos Rodrigues
> TI All Chemistry do Brasil
> (11) 3014-7100
>
> Em 04/06/2014 10:39, Rejaine Monteiro escreveu:
>>
>> TEu estava recebendo uma avalance de e-mails sobre 'segue o orçamento
>> solicitado' ou 'segue planilha de orçamento' em que estava tendo
>> dificuldades de pontuar pelo spamassassin justamente por não conter
>> muita coisa no texto para ser avaliado e ter apenas um arquivo HTML
>> anexado contendo link para o malware.. O jeito que encontrei foi
>> fazer uma regra do tipo abaixo:
>>
>> header _ORCAMENTO_H /or.?amento|planilha/i
>> body _ORCAMENTO_B /or.?amento|planilha/i
>> mimeheader _ORCAMENTO_M Content-Disposition =~ /\.html[";]/i
>> uri _ORCAMENTO_U /or.?amento|planilha/i
>> meta ORCAMENTO ( _ORCAMENTO_H || _ORCAMENTO_B ) && ( _ORCAMENTO_M ||
>> ORCAMENTO_U )
>> score ORCAMENTO 5.5
>>
>> A regar no caso vai pontuar as mensagens que contiverem no assunto OU
>> corpo a palavra orçamentou OU planilha _E_ também tiverem na URL OU
>> no conteúdo do MIME um arquivo HTML anexado. Como a regra só vai
>> pontuar as que atenderem todas as duas partes do teste, o risco de
>> pontuar algo que seja legítimo é menor (apesar de ainda poder
>> existir, mas pelo menos até então resolveu, em parte, o problema)
>>
>>
>> Em 04-06-2014 10:06, Alan C. Besen - TPA Telecomunicações escreveu:
>>> Prezado
>>>
>>> Agradeço pelo compartilhamento
>>>
>>> Vou fazer um testes e lhe reporto qualquer anormalidade que eu achar.
>>>
>>> Muito Obrigado!
>>>
>>>
>>>
>>> -----Original Message-----
>>> From: masoch-l-bounces at eng.registro.br
>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>> Sent: quarta-feira, 4 de junho de 2014 09:53
>>> To: Mail Aid and Succor, On-line Comfort and Help
>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>
>>> Beleza. Eu vi aqui e ele não tem informação sigilosa. Então segue o
>>> link:
>>>
>>> https://dl.dropboxusercontent.com/u/44768624/MailAnalisis.zip
>>>
>>> Se for usar o JAR direto digite use o seguinte comando:
>>>
>>> java -jar MailAnalisis.jar <diretório das mensagems HAM>
>>> <diretório
>>> das mensagens SPAM> /etc/spamassassin/custom.cf
>>>
>>> Depois tem que reiniciar o spamassassim. Nunca enviei este programa
>>> para
>>> alguém, então me reporte os erros beleza?
>>>
>>> Eu escrevi este programa a muitos anos sem fazer revisão alguma. Foi
>>> quando
>>> comecei a estudar ciência da computação. Então certamente ter várias
>>> coisas
>>> estranhas lá. Como ele sempre me gerou arquivos de configuração
>>> eficientes
>>> (acimas de 99%), eu nunca tive interesse em voltar a trabalhar nele.
>>>
>>> Só tem outro detalhe: a escala de pontuação dele está diferente do
>>> padrão.
>>> Enquanto o pessoal costuma usar limiares altos no padrão, para este
>>> aqui eu
>>> uso 20 para inteiro (se não me engando é 2.0 como decimal).
>>>
>>> Leandro Carlos Rodrigues
>>> TI All Chemistry do Brasil
>>> (11) 3014-7100
>>>
>>> Em 04/06/2014 09:36, Alan C. Besen - TPA Telecomunicações escreveu:
>>>> Leandro
>>>>
>>>> Por padrão, não gostei muito também a eficiência.
>>>>
>>>> A medida que estou fazendo o treinamento e bayes em base de dados
>>>> (hoje, tenho vários MXs e SpamFilters) está ajudando bastante na
>>>> eficiência. Em questão de dias, com autolearn ativado e treinamento
>>>> dos próprios usuários melhorou consideravelmente a filtragem.
>>>>
>>>> Se você puder compartilhar o programa, agradeço.
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> -----Original Message-----
>>>> From: masoch-l-bounces at eng.registro.br
>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>> Sent: quarta-feira, 4 de junho de 2014 09:21
>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>
>>>> Alan,
>>>>
>>>> Eu também faço algo semelhante. Tive que criar um programa em Java
>>>> para analisar todos os conteúdos dos e-mails e gerar um conjunto de
>>>> tokens no arquivo custom.cf para meu caso particular usando o
>>>> histórico.
>>>>
>>>> Depois de muito tempo usando a configuração padrão do spamassasin,
>>>> fiquei muito decepcionado com a eficiência dele. Eu vou dar uma
>>>> analisada neste programa e se não houver informação sigilosa eu te
>>>> envio ele. Só não sei se você vai entender porque eu não documentei
>>>> mas eu te dou um suporte se for o caso.
>>>>
>>>> Leandro Carlos Rodrigues
>>>> TI All Chemistry do Brasil
>>>> (11) 3014-7100
>>>>
>>>> Em 04/06/2014 09:13, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>> Leandro
>>>>>
>>>>> Eu estou testando o ripmime para jogar mensagens anexadas e conteudo
>>>>> mime em uma pasta e usar o sa-learn nesta pasta temporaria.
>>>>>
>>>>> Agora, resta se ele pega os tokens corretamente e faz o treinamento
>>>>> com base nas caracteristicas da mensagem + anexos.
>>>>>
>>>>> Não sei se vai funcionar, estou fazendo alguns testes aqui. E nem sei
>>>>> se é o caminho mais adequado. Se tiver alguém que tenha conhecimento
>>>>> maior em spamassasin, poderia dar uma luz.
>>>>>
>>>>> -----Original Message-----
>>>>> From: masoch-l-bounces at eng.registro.br
>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>> Sent: quarta-feira, 4 de junho de 2014 09:03
>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>
>>>>> Alan,
>>>>>
>>>>> Ideia genial fazer análise do conteúdo. Seria possível detectar as
>>>>> tags que fazem o redirecionamento. Agora só falta fazer um regex que
>>>>> seja capaz de fazer isto e implementar ele num script.
>>>>>
>>>>> Alguém da lista manja de conteúdo HTML para gerar deste regex para a
>>>>> comunidade?
>>>>>
>>>>> Leandro Carlos Rodrigues
>>>>> TI All Chemistry do Brasil
>>>>> (11) 3014-7100
>>>>>
>>>>> Em 04/06/2014 08:54, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>> Prezado
>>>>>>
>>>>>> Um site que eu sei que manda anexo HTML e o infoemail do Bradesco.
>>>>>>
>>>>>> Estava analisando como fazer o mesmo filtro/analise de conteudo no
>>> anexo.
>>>>>>
>>>>>>
>>>>>> -----Original Message-----
>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>> Sent: quarta-feira, 4 de junho de 2014 08:51
>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>> Subject: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>
>>>>>> Pessoal,
>>>>>>
>>>>>> Estamos recebendo uma quantidade massiva de mensagens fraudulentas
>>>>>> com anexos em HTML cujo conteúdo redireciona para o site do
>>>>>> criminoso. O texto da mensagem geralmente é muito convincente e
>>>>>> acaba enganando até os
>>>>> usuários
>>>>>> mais espertos.
>>>>>>
>>>>>> Estamos com muita dificuldade de criar um filtro eficiente que
>>>>>> elimine
>>>>> este
>>>>>> tipo de mensagem. A única forma que encontramos foi barrar todas as
>>>>>> mensagens que tenham anexos HTML. Como nunca fizemos isto antes,
>>>>>> gostaria
>>>>> de
>>>>>> saber se algum de vocês conhecem casos legítimos de envio de anexos
>>>>>> de
>>>>> HTML
>>>>>> e se são frequentes para eu implementar o filtro sem medo.
>>>>>>
>>>>>> Obrigado.
>>>>>>
>>>>>> --
>>>>>> Leandro Carlos Rodrigues
>>>>>> TI All Chemistry do Brasil
>>>>>> (11) 3014-7100
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list