[MASOCH-L] Nova forma de burlar anti-spam

Leandro leandro at allchemistry.com.br
Wed Jun 4 10:59:53 -03 2014


Até aonde eu sei, não dá para usar este tipo de filtro no spamassasim. 
Posso estar errado. Porém eu tenho certeza que esta regra pode ser 
adicionada manualmente na configuração do seu mailer. Eu não manjo muito 
de outros mailers, mas o meu caso é o Exim4, que tal configuração pode 
ser adicionada nas ACLs. Deixa eu ver se consigo te ajudar: qual é o 
nome do software do seu mailer e versão?

Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7100

Em 04/06/2014 10:54, Rejaine Monteiro escreveu:
>
> Entendi, Leandro
>
> Vc esta falando dessa regra?
>
> /bin/egrep -c '\<meta[^>]+http-equiv *= *"refresh"[^>]+\>'
>    '$mime_decoded_filename'
>
> Mas vc adiciona ela diretamente em algum arquivo .cf no spamassassin 
> normalmente? Ou seja, ele entende isso ai normal (a versao que estou 
> usando é um pouco  antiga.. )
>
>
>
> Em 04-06-2014 10:50, Leandro escreveu:
>> Rejaine,
>>
>> Aconteceu exatamente igual com a gente. Eu até tentei colocar o nome 
>> dos arquivos orcamento e planilha como regra. Mas ai começamos a 
>> receber algo do tipo: ComprovanteID03067.html. Percebi neste momento 
>> que ficou impossível ficar registrando todos os nomes de arquivos que 
>> aparecem, então cheguei na conclusão que deveria haver uma regra mais 
>> ampla.
>>
>> Parece que esta ultima solução que escrevi em outra mensagem resolve 
>> definitivamente o problema porque os fraudadores podem colocar os 
>> nomes que quiserem nos arquivos que o filtro pega. Acho que a grande 
>> sacada destes espertinhos foi justamente usar o redirecionamento, que 
>> está fora dos radares de qualquer mecanismo anti-spam convencional. 
>> Negar o redirecionamento é uma paulada na cabeça de todos eles.
>>
>> Leandro Carlos Rodrigues
>> TI All Chemistry do Brasil
>> (11) 3014-7100
>>
>> Em 04/06/2014 10:39, Rejaine Monteiro escreveu:
>>>
>>> TEu estava recebendo uma avalance de e-mails sobre 'segue o 
>>> orçamento solicitado' ou 'segue planilha de orçamento' em que estava 
>>> tendo dificuldades de pontuar pelo spamassassin justamente por não 
>>> conter muita coisa no texto para ser avaliado e ter apenas um 
>>> arquivo HTML anexado contendo link para o malware..  O jeito que 
>>> encontrei foi fazer uma regra do tipo abaixo:
>>>
>>> header _ORCAMENTO_H /or.?amento|planilha/i
>>> body _ORCAMENTO_B /or.?amento|planilha/i
>>> mimeheader _ORCAMENTO_M Content-Disposition =~ /\.html[";]/i
>>> uri _ORCAMENTO_U  /or.?amento|planilha/i
>>> meta ORCAMENTO ( _ORCAMENTO_H || _ORCAMENTO_B ) &&  ( _ORCAMENTO_M 
>>> || ORCAMENTO_U )
>>> score ORCAMENTO   5.5
>>>
>>> A regar no caso vai pontuar as mensagens que contiverem no assunto 
>>> OU corpo  a palavra orçamentou OU planilha _E_ também tiverem na URL 
>>> OU no conteúdo do MIME um arquivo HTML anexado. Como a regra só vai 
>>> pontuar as que atenderem todas as duas partes do teste, o risco de 
>>> pontuar algo que seja legítimo é menor (apesar de ainda poder 
>>> existir, mas pelo menos até então resolveu, em parte, o problema)
>>>
>>>
>>> Em 04-06-2014 10:06, Alan C. Besen - TPA Telecomunicações escreveu:
>>>> Prezado
>>>>
>>>> Agradeço pelo compartilhamento
>>>>
>>>> Vou fazer um testes e lhe reporto qualquer anormalidade que eu achar.
>>>>
>>>> Muito Obrigado!
>>>>
>>>>
>>>>
>>>> -----Original Message-----
>>>> From: masoch-l-bounces at eng.registro.br
>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>> Sent: quarta-feira, 4 de junho de 2014 09:53
>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>
>>>> Beleza. Eu vi aqui e ele não tem informação sigilosa. Então segue o 
>>>> link:
>>>>
>>>> https://dl.dropboxusercontent.com/u/44768624/MailAnalisis.zip
>>>>
>>>> Se for usar o JAR direto digite use o seguinte comando:
>>>>
>>>>      java -jar MailAnalisis.jar <diretório das mensagems HAM> 
>>>> <diretório
>>>>      das mensagens SPAM> /etc/spamassassin/custom.cf
>>>>
>>>> Depois tem que reiniciar o spamassassim. Nunca enviei este programa 
>>>> para
>>>> alguém, então me reporte os erros beleza?
>>>>
>>>> Eu escrevi este programa a muitos anos sem fazer revisão alguma. 
>>>> Foi quando
>>>> comecei a estudar ciência da computação. Então certamente ter 
>>>> várias coisas
>>>> estranhas lá. Como ele sempre me gerou arquivos de configuração 
>>>> eficientes
>>>> (acimas de 99%), eu nunca tive interesse em voltar a trabalhar nele.
>>>>
>>>> Só tem outro detalhe: a escala de pontuação dele está diferente do 
>>>> padrão.
>>>> Enquanto o pessoal costuma usar limiares altos no padrão, para este 
>>>> aqui eu
>>>> uso 20 para inteiro (se não me engando é 2.0 como decimal).
>>>>
>>>> Leandro Carlos Rodrigues
>>>> TI All Chemistry do Brasil
>>>> (11) 3014-7100
>>>>
>>>> Em 04/06/2014 09:36, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>> Leandro
>>>>>
>>>>> Por padrão, não gostei muito também a eficiência.
>>>>>
>>>>> A medida que estou fazendo o treinamento e bayes em base de dados
>>>>> (hoje, tenho vários MXs e SpamFilters) está ajudando bastante na
>>>>> eficiência. Em questão de dias, com autolearn ativado e treinamento
>>>>> dos próprios usuários melhorou consideravelmente a filtragem.
>>>>>
>>>>> Se você puder compartilhar o programa, agradeço.
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> -----Original Message-----
>>>>> From: masoch-l-bounces at eng.registro.br
>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>> Sent: quarta-feira, 4 de junho de 2014 09:21
>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>
>>>>> Alan,
>>>>>
>>>>> Eu também faço algo semelhante. Tive que criar um programa em Java
>>>>> para analisar todos os conteúdos dos e-mails e gerar um conjunto de
>>>>> tokens no arquivo custom.cf para meu caso particular usando o 
>>>>> histórico.
>>>>>
>>>>> Depois de muito tempo usando a configuração padrão do spamassasin,
>>>>> fiquei muito decepcionado com a eficiência dele. Eu vou dar uma
>>>>> analisada neste programa e se não houver informação sigilosa eu te
>>>>> envio ele. Só não sei se você vai entender porque eu não documentei
>>>>> mas eu te dou um suporte se for o caso.
>>>>>
>>>>> Leandro Carlos Rodrigues
>>>>> TI All Chemistry do Brasil
>>>>> (11) 3014-7100
>>>>>
>>>>> Em 04/06/2014 09:13, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>> Leandro
>>>>>>
>>>>>> Eu estou testando o ripmime para jogar mensagens anexadas e conteudo
>>>>>> mime em uma pasta e usar o sa-learn nesta pasta temporaria.
>>>>>>
>>>>>> Agora, resta se ele pega os tokens corretamente e faz o treinamento
>>>>>> com base nas caracteristicas da mensagem + anexos.
>>>>>>
>>>>>> Não sei se vai funcionar, estou fazendo alguns testes aqui. E nem 
>>>>>> sei
>>>>>> se é o caminho mais adequado. Se tiver alguém que tenha conhecimento
>>>>>> maior em spamassasin, poderia dar uma luz.
>>>>>>
>>>>>> -----Original Message-----
>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>> Sent: quarta-feira, 4 de junho de 2014 09:03
>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>
>>>>>> Alan,
>>>>>>
>>>>>> Ideia genial fazer análise do conteúdo. Seria possível detectar as
>>>>>> tags que fazem o redirecionamento. Agora só falta fazer um regex que
>>>>>> seja capaz de fazer isto e implementar ele num script.
>>>>>>
>>>>>> Alguém da lista manja de conteúdo HTML para gerar deste regex para a
>>>>>> comunidade?
>>>>>>
>>>>>> Leandro Carlos Rodrigues
>>>>>> TI All Chemistry do Brasil
>>>>>> (11) 3014-7100
>>>>>>
>>>>>> Em 04/06/2014 08:54, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>>> Prezado
>>>>>>>
>>>>>>> Um site que eu sei que manda anexo HTML e o infoemail do Bradesco.
>>>>>>>
>>>>>>> Estava analisando como fazer o mesmo filtro/analise de conteudo no
>>>> anexo.
>>>>>>>
>>>>>>>
>>>>>>> -----Original Message-----
>>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>>> Sent: quarta-feira, 4 de junho de 2014 08:51
>>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>>> Subject: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>>
>>>>>>> Pessoal,
>>>>>>>
>>>>>>> Estamos recebendo uma quantidade massiva de mensagens fraudulentas
>>>>>>> com anexos em HTML cujo conteúdo redireciona para o site do
>>>>>>> criminoso. O texto da mensagem geralmente é muito convincente e
>>>>>>> acaba enganando até os
>>>>>> usuários
>>>>>>> mais espertos.
>>>>>>>
>>>>>>> Estamos com muita dificuldade de criar um filtro eficiente que
>>>>>>> elimine
>>>>>> este
>>>>>>> tipo de mensagem. A única forma que encontramos foi barrar todas as
>>>>>>> mensagens que tenham anexos HTML. Como nunca fizemos isto antes,
>>>>>>> gostaria
>>>>>> de
>>>>>>> saber se algum de vocês conhecem casos legítimos de envio de anexos
>>>>>>> de
>>>>>> HTML
>>>>>>> e se são frequentes para eu implementar o filtro sem medo.
>>>>>>>
>>>>>>> Obrigado.
>>>>>>>
>>>>>>> -- 
>>>>>>> Leandro Carlos Rodrigues
>>>>>>> TI All Chemistry do Brasil
>>>>>>> (11) 3014-7100
>>>>>>>
>>>>>>> __
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>
>>>>>>> __
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l




More information about the masoch-l mailing list