[MASOCH-L] Nova forma de burlar anti-spam

Leandro leandro at allchemistry.com.br
Wed Jun 4 11:12:09 -03 2014


Show de bola. Se eu puder ajudar em algo pode contar comigo. Boa sorte.

Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7100

Em 04/06/2014 11:06, Rejaine Monteiro escreveu:
>
> Leandro, eu uso o qmail
> No caso, posso adicionar esse filtro manualmente, na regra de entrada 
> do email (.qmail-default ou algo do tipo)
> O único inconveniente, fica por conta da falta de um log, que me 
> permita analisar o que está sendo bloqueado, pois vou precisar validar 
> os falsos-positivos.. Mas vou pensar em algo (aqui uso o recordio, 
> talvez dê para filtrar algum resultado, enfim.. se alguém tiver uma dica)
>
>
>
> Em 04-06-2014 10:59, Leandro escreveu:
>> Até aonde eu sei, não dá para usar este tipo de filtro no 
>> spamassasim. Posso estar errado. Porém eu tenho certeza que esta 
>> regra pode ser adicionada manualmente na configuração do seu mailer. 
>> Eu não manjo muito de outros mailers, mas o meu caso é o Exim4, que 
>> tal configuração pode ser adicionada nas ACLs. Deixa eu ver se 
>> consigo te ajudar: qual é o nome do software do seu mailer e versão?
>>
>> Leandro Carlos Rodrigues
>> TI All Chemistry do Brasil
>> (11) 3014-7100
>>
>> Em 04/06/2014 10:54, Rejaine Monteiro escreveu:
>>>
>>> Entendi, Leandro
>>>
>>> Vc esta falando dessa regra?
>>>
>>> /bin/egrep -c '\<meta[^>]+http-equiv *= *"refresh"[^>]+\>'
>>>    '$mime_decoded_filename' .
>>>
>>> Mas vc adiciona ela diretamente em algum arquivo .cf no spamassassin 
>>> normalmente? Ou seja, ele entende isso ai normal (a versao que estou 
>>> usando é um pouco  antiga.. )
>>>
>>>
>>>
>>> Em 04-06-2014 10:50, Leandro escreveu:
>>>> Rejaine,
>>>>
>>>> Aconteceu exatamente igual com a gente. Eu até tentei colocar o 
>>>> nome dos arquivos orcamento e planilha como regra. Mas ai começamos 
>>>> a receber algo do tipo: ComprovanteID03067.html. Percebi neste 
>>>> momento que ficou impossível ficar registrando todos os nomes de 
>>>> arquivos que aparecem, então cheguei na conclusão que deveria haver 
>>>> uma regra mais ampla.
>>>>
>>>> Parece que esta ultima solução que escrevi em outra mensagem 
>>>> resolve definitivamente o problema porque os fraudadores podem 
>>>> colocar os nomes que quiserem nos arquivos que o filtro pega. Acho 
>>>> que a grande sacada destes espertinhos foi justamente usar o 
>>>> redirecionamento, que está fora dos radares de qualquer mecanismo 
>>>> anti-spam convencional. Negar o redirecionamento é uma paulada na 
>>>> cabeça de todos eles.
>>>>
>>>> Leandro Carlos Rodrigues
>>>> TI All Chemistry do Brasil
>>>> (11) 3014-7100
>>>>
>>>> Em 04/06/2014 10:39, Rejaine Monteiro escreveu:
>>>>>
>>>>> TEu estava recebendo uma avalance de e-mails sobre 'segue o 
>>>>> orçamento solicitado' ou 'segue planilha de orçamento' em que 
>>>>> estava tendo dificuldades de pontuar pelo spamassassin justamente 
>>>>> por não conter muita coisa no texto para ser avaliado e ter apenas 
>>>>> um arquivo HTML anexado contendo link para o malware..  O jeito 
>>>>> que encontrei foi fazer uma regra do tipo abaixo:
>>>>>
>>>>> header _ORCAMENTO_H /or.?amento|planilha/i
>>>>> body _ORCAMENTO_B /or.?amento|planilha/i
>>>>> mimeheader _ORCAMENTO_M Content-Disposition =~ /\.html[";]/i
>>>>> uri _ORCAMENTO_U  /or.?amento|planilha/i
>>>>> meta ORCAMENTO ( _ORCAMENTO_H || _ORCAMENTO_B ) && ( _ORCAMENTO_M 
>>>>> || ORCAMENTO_U )
>>>>> score ORCAMENTO   5.5
>>>>>
>>>>> A regar no caso vai pontuar as mensagens que contiverem no assunto 
>>>>> OU corpo  a palavra orçamentou OU planilha _E_ também tiverem na 
>>>>> URL OU no conteúdo do MIME um arquivo HTML anexado. Como a regra 
>>>>> só vai pontuar as que atenderem todas as duas partes do teste, o 
>>>>> risco de pontuar algo que seja legítimo é menor (apesar de ainda 
>>>>> poder existir, mas pelo menos até então resolveu, em parte, o 
>>>>> problema)
>>>>>
>>>>>
>>>>> Em 04-06-2014 10:06, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>> Prezado
>>>>>>
>>>>>> Agradeço pelo compartilhamento
>>>>>>
>>>>>> Vou fazer um testes e lhe reporto qualquer anormalidade que eu 
>>>>>> achar.
>>>>>>
>>>>>> Muito Obrigado!
>>>>>>
>>>>>>
>>>>>>
>>>>>> -----Original Message-----
>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>> Sent: quarta-feira, 4 de junho de 2014 09:53
>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>
>>>>>> Beleza. Eu vi aqui e ele não tem informação sigilosa. Então segue 
>>>>>> o link:
>>>>>>
>>>>>> https://dl.dropboxusercontent.com/u/44768624/MailAnalisis.zip
>>>>>>
>>>>>> Se for usar o JAR direto digite use o seguinte comando:
>>>>>>
>>>>>>      java -jar MailAnalisis.jar <diretório das mensagems HAM> 
>>>>>> <diretório
>>>>>>      das mensagens SPAM> /etc/spamassassin/custom.cf
>>>>>>
>>>>>> Depois tem que reiniciar o spamassassim. Nunca enviei este 
>>>>>> programa para
>>>>>> alguém, então me reporte os erros beleza?
>>>>>>
>>>>>> Eu escrevi este programa a muitos anos sem fazer revisão alguma. 
>>>>>> Foi quando
>>>>>> comecei a estudar ciência da computação. Então certamente ter 
>>>>>> várias coisas
>>>>>> estranhas lá. Como ele sempre me gerou arquivos de configuração 
>>>>>> eficientes
>>>>>> (acimas de 99%), eu nunca tive interesse em voltar a trabalhar nele.
>>>>>>
>>>>>> Só tem outro detalhe: a escala de pontuação dele está diferente 
>>>>>> do padrão.
>>>>>> Enquanto o pessoal costuma usar limiares altos no padrão, para 
>>>>>> este aqui eu
>>>>>> uso 20 para inteiro (se não me engando é 2.0 como decimal).
>>>>>>
>>>>>> Leandro Carlos Rodrigues
>>>>>> TI All Chemistry do Brasil
>>>>>> (11) 3014-7100
>>>>>>
>>>>>> Em 04/06/2014 09:36, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>>> Leandro
>>>>>>>
>>>>>>> Por padrão, não gostei muito também a eficiência.
>>>>>>>
>>>>>>> A medida que estou fazendo o treinamento e bayes em base de dados
>>>>>>> (hoje, tenho vários MXs e SpamFilters) está ajudando bastante na
>>>>>>> eficiência. Em questão de dias, com autolearn ativado e treinamento
>>>>>>> dos próprios usuários melhorou consideravelmente a filtragem.
>>>>>>>
>>>>>>> Se você puder compartilhar o programa, agradeço.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> -----Original Message-----
>>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>>> Sent: quarta-feira, 4 de junho de 2014 09:21
>>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>>
>>>>>>> Alan,
>>>>>>>
>>>>>>> Eu também faço algo semelhante. Tive que criar um programa em Java
>>>>>>> para analisar todos os conteúdos dos e-mails e gerar um conjunto de
>>>>>>> tokens no arquivo custom.cf para meu caso particular usando o 
>>>>>>> histórico.
>>>>>>>
>>>>>>> Depois de muito tempo usando a configuração padrão do spamassasin,
>>>>>>> fiquei muito decepcionado com a eficiência dele. Eu vou dar uma
>>>>>>> analisada neste programa e se não houver informação sigilosa eu te
>>>>>>> envio ele. Só não sei se você vai entender porque eu não documentei
>>>>>>> mas eu te dou um suporte se for o caso.
>>>>>>>
>>>>>>> Leandro Carlos Rodrigues
>>>>>>> TI All Chemistry do Brasil
>>>>>>> (11) 3014-7100
>>>>>>>
>>>>>>> Em 04/06/2014 09:13, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>>>> Leandro
>>>>>>>>
>>>>>>>> Eu estou testando o ripmime para jogar mensagens anexadas e 
>>>>>>>> conteudo
>>>>>>>> mime em uma pasta e usar o sa-learn nesta pasta temporaria.
>>>>>>>>
>>>>>>>> Agora, resta se ele pega os tokens corretamente e faz o 
>>>>>>>> treinamento
>>>>>>>> com base nas caracteristicas da mensagem + anexos.
>>>>>>>>
>>>>>>>> Não sei se vai funcionar, estou fazendo alguns testes aqui. E 
>>>>>>>> nem sei
>>>>>>>> se é o caminho mais adequado. Se tiver alguém que tenha 
>>>>>>>> conhecimento
>>>>>>>> maior em spamassasin, poderia dar uma luz.
>>>>>>>>
>>>>>>>> -----Original Message-----
>>>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>>>> Sent: quarta-feira, 4 de junho de 2014 09:03
>>>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>>>
>>>>>>>> Alan,
>>>>>>>>
>>>>>>>> Ideia genial fazer análise do conteúdo. Seria possível detectar as
>>>>>>>> tags que fazem o redirecionamento. Agora só falta fazer um 
>>>>>>>> regex que
>>>>>>>> seja capaz de fazer isto e implementar ele num script.
>>>>>>>>
>>>>>>>> Alguém da lista manja de conteúdo HTML para gerar deste regex 
>>>>>>>> para a
>>>>>>>> comunidade?
>>>>>>>>
>>>>>>>> Leandro Carlos Rodrigues
>>>>>>>> TI All Chemistry do Brasil
>>>>>>>> (11) 3014-7100
>>>>>>>>
>>>>>>>> Em 04/06/2014 08:54, Alan C. Besen - TPA Telecomunicações 
>>>>>>>> escreveu:
>>>>>>>>> Prezado
>>>>>>>>>
>>>>>>>>> Um site que eu sei que manda anexo HTML e o infoemail do 
>>>>>>>>> Bradesco.
>>>>>>>>>
>>>>>>>>> Estava analisando como fazer o mesmo filtro/analise de 
>>>>>>>>> conteudo no
>>>>>> anexo.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> -----Original Message-----
>>>>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>>>>> Sent: quarta-feira, 4 de junho de 2014 08:51
>>>>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>>>>> Subject: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>>>>
>>>>>>>>> Pessoal,
>>>>>>>>>
>>>>>>>>> Estamos recebendo uma quantidade massiva de mensagens 
>>>>>>>>> fraudulentas
>>>>>>>>> com anexos em HTML cujo conteúdo redireciona para o site do
>>>>>>>>> criminoso. O texto da mensagem geralmente é muito convincente e
>>>>>>>>> acaba enganando até os
>>>>>>>> usuários
>>>>>>>>> mais espertos.
>>>>>>>>>
>>>>>>>>> Estamos com muita dificuldade de criar um filtro eficiente que
>>>>>>>>> elimine
>>>>>>>> este
>>>>>>>>> tipo de mensagem. A única forma que encontramos foi barrar 
>>>>>>>>> todas as
>>>>>>>>> mensagens que tenham anexos HTML. Como nunca fizemos isto antes,
>>>>>>>>> gostaria
>>>>>>>> de
>>>>>>>>> saber se algum de vocês conhecem casos legítimos de envio de 
>>>>>>>>> anexos
>>>>>>>>> de
>>>>>>>> HTML
>>>>>>>>> e se são frequentes para eu implementar o filtro sem medo.
>>>>>>>>>
>>>>>>>>> Obrigado.
>>>>>>>>>
>>>>>>>>> -- 
>>>>>>>>> Leandro Carlos Rodrigues
>>>>>>>>> TI All Chemistry do Brasil
>>>>>>>>> (11) 3014-7100
>>>>>>>>>
>>>>>>>>> __
>>>>>>>>> masoch-l list
>>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>>
>>>>>>>>> __
>>>>>>>>> masoch-l list
>>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>> __
>>>>>>>> masoch-l list
>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>
>>>>>>>> __
>>>>>>>> masoch-l list
>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>> __
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>
>>>>>>> __
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l




More information about the masoch-l mailing list