[MASOCH-L] Nova forma de burlar anti-spam

Rejaine Monteiro rejaine at bhz.jamef.com.br
Wed Jun 4 11:06:16 -03 2014


Leandro, eu uso o qmail
No caso, posso adicionar esse filtro manualmente, na regra de entrada do 
email (.qmail-default ou algo do tipo)
O único inconveniente, fica por conta da falta de um log, que me permita 
analisar o que está sendo bloqueado, pois vou precisar validar os 
falsos-positivos.. Mas vou pensar em algo (aqui uso o recordio, talvez 
dê para filtrar algum resultado, enfim.. se alguém tiver uma dica)



Em 04-06-2014 10:59, Leandro escreveu:
> Até aonde eu sei, não dá para usar este tipo de filtro no spamassasim. 
> Posso estar errado. Porém eu tenho certeza que esta regra pode ser 
> adicionada manualmente na configuração do seu mailer. Eu não manjo 
> muito de outros mailers, mas o meu caso é o Exim4, que tal 
> configuração pode ser adicionada nas ACLs. Deixa eu ver se consigo te 
> ajudar: qual é o nome do software do seu mailer e versão?
>
> Leandro Carlos Rodrigues
> TI All Chemistry do Brasil
> (11) 3014-7100
>
> Em 04/06/2014 10:54, Rejaine Monteiro escreveu:
>>
>> Entendi, Leandro
>>
>> Vc esta falando dessa regra?
>>
>> /bin/egrep -c '\<meta[^>]+http-equiv *= *"refresh"[^>]+\>'
>>    '$mime_decoded_filename' .
>>
>> Mas vc adiciona ela diretamente em algum arquivo .cf no spamassassin 
>> normalmente? Ou seja, ele entende isso ai normal (a versao que estou 
>> usando é um pouco  antiga.. )
>>
>>
>>
>> Em 04-06-2014 10:50, Leandro escreveu:
>>> Rejaine,
>>>
>>> Aconteceu exatamente igual com a gente. Eu até tentei colocar o nome 
>>> dos arquivos orcamento e planilha como regra. Mas ai começamos a 
>>> receber algo do tipo: ComprovanteID03067.html. Percebi neste momento 
>>> que ficou impossível ficar registrando todos os nomes de arquivos 
>>> que aparecem, então cheguei na conclusão que deveria haver uma regra 
>>> mais ampla.
>>>
>>> Parece que esta ultima solução que escrevi em outra mensagem resolve 
>>> definitivamente o problema porque os fraudadores podem colocar os 
>>> nomes que quiserem nos arquivos que o filtro pega. Acho que a grande 
>>> sacada destes espertinhos foi justamente usar o redirecionamento, 
>>> que está fora dos radares de qualquer mecanismo anti-spam 
>>> convencional. Negar o redirecionamento é uma paulada na cabeça de 
>>> todos eles.
>>>
>>> Leandro Carlos Rodrigues
>>> TI All Chemistry do Brasil
>>> (11) 3014-7100
>>>
>>> Em 04/06/2014 10:39, Rejaine Monteiro escreveu:
>>>>
>>>> TEu estava recebendo uma avalance de e-mails sobre 'segue o 
>>>> orçamento solicitado' ou 'segue planilha de orçamento' em que 
>>>> estava tendo dificuldades de pontuar pelo spamassassin justamente 
>>>> por não conter muita coisa no texto para ser avaliado e ter apenas 
>>>> um arquivo HTML anexado contendo link para o malware..  O jeito que 
>>>> encontrei foi fazer uma regra do tipo abaixo:
>>>>
>>>> header _ORCAMENTO_H /or.?amento|planilha/i
>>>> body _ORCAMENTO_B /or.?amento|planilha/i
>>>> mimeheader _ORCAMENTO_M Content-Disposition =~ /\.html[";]/i
>>>> uri _ORCAMENTO_U  /or.?amento|planilha/i
>>>> meta ORCAMENTO ( _ORCAMENTO_H || _ORCAMENTO_B ) && ( _ORCAMENTO_M 
>>>> || ORCAMENTO_U )
>>>> score ORCAMENTO   5.5
>>>>
>>>> A regar no caso vai pontuar as mensagens que contiverem no assunto 
>>>> OU corpo  a palavra orçamentou OU planilha _E_ também tiverem na 
>>>> URL OU no conteúdo do MIME um arquivo HTML anexado. Como a regra só 
>>>> vai pontuar as que atenderem todas as duas partes do teste, o risco 
>>>> de pontuar algo que seja legítimo é menor (apesar de ainda poder 
>>>> existir, mas pelo menos até então resolveu, em parte, o problema)
>>>>
>>>>
>>>> Em 04-06-2014 10:06, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>> Prezado
>>>>>
>>>>> Agradeço pelo compartilhamento
>>>>>
>>>>> Vou fazer um testes e lhe reporto qualquer anormalidade que eu achar.
>>>>>
>>>>> Muito Obrigado!
>>>>>
>>>>>
>>>>>
>>>>> -----Original Message-----
>>>>> From: masoch-l-bounces at eng.registro.br
>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>> Sent: quarta-feira, 4 de junho de 2014 09:53
>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>
>>>>> Beleza. Eu vi aqui e ele não tem informação sigilosa. Então segue 
>>>>> o link:
>>>>>
>>>>> https://dl.dropboxusercontent.com/u/44768624/MailAnalisis.zip
>>>>>
>>>>> Se for usar o JAR direto digite use o seguinte comando:
>>>>>
>>>>>      java -jar MailAnalisis.jar <diretório das mensagems HAM> 
>>>>> <diretório
>>>>>      das mensagens SPAM> /etc/spamassassin/custom.cf
>>>>>
>>>>> Depois tem que reiniciar o spamassassim. Nunca enviei este 
>>>>> programa para
>>>>> alguém, então me reporte os erros beleza?
>>>>>
>>>>> Eu escrevi este programa a muitos anos sem fazer revisão alguma. 
>>>>> Foi quando
>>>>> comecei a estudar ciência da computação. Então certamente ter 
>>>>> várias coisas
>>>>> estranhas lá. Como ele sempre me gerou arquivos de configuração 
>>>>> eficientes
>>>>> (acimas de 99%), eu nunca tive interesse em voltar a trabalhar nele.
>>>>>
>>>>> Só tem outro detalhe: a escala de pontuação dele está diferente do 
>>>>> padrão.
>>>>> Enquanto o pessoal costuma usar limiares altos no padrão, para 
>>>>> este aqui eu
>>>>> uso 20 para inteiro (se não me engando é 2.0 como decimal).
>>>>>
>>>>> Leandro Carlos Rodrigues
>>>>> TI All Chemistry do Brasil
>>>>> (11) 3014-7100
>>>>>
>>>>> Em 04/06/2014 09:36, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>> Leandro
>>>>>>
>>>>>> Por padrão, não gostei muito também a eficiência.
>>>>>>
>>>>>> A medida que estou fazendo o treinamento e bayes em base de dados
>>>>>> (hoje, tenho vários MXs e SpamFilters) está ajudando bastante na
>>>>>> eficiência. Em questão de dias, com autolearn ativado e treinamento
>>>>>> dos próprios usuários melhorou consideravelmente a filtragem.
>>>>>>
>>>>>> Se você puder compartilhar o programa, agradeço.
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> -----Original Message-----
>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>> Sent: quarta-feira, 4 de junho de 2014 09:21
>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>
>>>>>> Alan,
>>>>>>
>>>>>> Eu também faço algo semelhante. Tive que criar um programa em Java
>>>>>> para analisar todos os conteúdos dos e-mails e gerar um conjunto de
>>>>>> tokens no arquivo custom.cf para meu caso particular usando o 
>>>>>> histórico.
>>>>>>
>>>>>> Depois de muito tempo usando a configuração padrão do spamassasin,
>>>>>> fiquei muito decepcionado com a eficiência dele. Eu vou dar uma
>>>>>> analisada neste programa e se não houver informação sigilosa eu te
>>>>>> envio ele. Só não sei se você vai entender porque eu não documentei
>>>>>> mas eu te dou um suporte se for o caso.
>>>>>>
>>>>>> Leandro Carlos Rodrigues
>>>>>> TI All Chemistry do Brasil
>>>>>> (11) 3014-7100
>>>>>>
>>>>>> Em 04/06/2014 09:13, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>>> Leandro
>>>>>>>
>>>>>>> Eu estou testando o ripmime para jogar mensagens anexadas e 
>>>>>>> conteudo
>>>>>>> mime em uma pasta e usar o sa-learn nesta pasta temporaria.
>>>>>>>
>>>>>>> Agora, resta se ele pega os tokens corretamente e faz o treinamento
>>>>>>> com base nas caracteristicas da mensagem + anexos.
>>>>>>>
>>>>>>> Não sei se vai funcionar, estou fazendo alguns testes aqui. E 
>>>>>>> nem sei
>>>>>>> se é o caminho mais adequado. Se tiver alguém que tenha 
>>>>>>> conhecimento
>>>>>>> maior em spamassasin, poderia dar uma luz.
>>>>>>>
>>>>>>> -----Original Message-----
>>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>>> Sent: quarta-feira, 4 de junho de 2014 09:03
>>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>>
>>>>>>> Alan,
>>>>>>>
>>>>>>> Ideia genial fazer análise do conteúdo. Seria possível detectar as
>>>>>>> tags que fazem o redirecionamento. Agora só falta fazer um regex 
>>>>>>> que
>>>>>>> seja capaz de fazer isto e implementar ele num script.
>>>>>>>
>>>>>>> Alguém da lista manja de conteúdo HTML para gerar deste regex 
>>>>>>> para a
>>>>>>> comunidade?
>>>>>>>
>>>>>>> Leandro Carlos Rodrigues
>>>>>>> TI All Chemistry do Brasil
>>>>>>> (11) 3014-7100
>>>>>>>
>>>>>>> Em 04/06/2014 08:54, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>>>> Prezado
>>>>>>>>
>>>>>>>> Um site que eu sei que manda anexo HTML e o infoemail do Bradesco.
>>>>>>>>
>>>>>>>> Estava analisando como fazer o mesmo filtro/analise de conteudo no
>>>>> anexo.
>>>>>>>>
>>>>>>>>
>>>>>>>> -----Original Message-----
>>>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>>>> Sent: quarta-feira, 4 de junho de 2014 08:51
>>>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>>>> Subject: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>>>
>>>>>>>> Pessoal,
>>>>>>>>
>>>>>>>> Estamos recebendo uma quantidade massiva de mensagens fraudulentas
>>>>>>>> com anexos em HTML cujo conteúdo redireciona para o site do
>>>>>>>> criminoso. O texto da mensagem geralmente é muito convincente e
>>>>>>>> acaba enganando até os
>>>>>>> usuários
>>>>>>>> mais espertos.
>>>>>>>>
>>>>>>>> Estamos com muita dificuldade de criar um filtro eficiente que
>>>>>>>> elimine
>>>>>>> este
>>>>>>>> tipo de mensagem. A única forma que encontramos foi barrar 
>>>>>>>> todas as
>>>>>>>> mensagens que tenham anexos HTML. Como nunca fizemos isto antes,
>>>>>>>> gostaria
>>>>>>> de
>>>>>>>> saber se algum de vocês conhecem casos legítimos de envio de 
>>>>>>>> anexos
>>>>>>>> de
>>>>>>> HTML
>>>>>>>> e se são frequentes para eu implementar o filtro sem medo.
>>>>>>>>
>>>>>>>> Obrigado.
>>>>>>>>
>>>>>>>> -- 
>>>>>>>> Leandro Carlos Rodrigues
>>>>>>>> TI All Chemistry do Brasil
>>>>>>>> (11) 3014-7100
>>>>>>>>
>>>>>>>> __
>>>>>>>> masoch-l list
>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>
>>>>>>>> __
>>>>>>>> masoch-l list
>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>> __
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>
>>>>>>> __
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l




More information about the masoch-l mailing list