[MASOCH-L] Nova forma de burlar anti-spam
Otavio Augusto
otavioti at gmail.com
Wed Jun 4 21:06:07 BRT 2014
Rejaine este tipo de regra com o qmail é bom usando este projeto:
http://qmail-spp.sourceforge.net/
Ajuda muito na hora de personalizar regras.
Em 4 de junho de 2014 11:06, Rejaine Monteiro
<rejaine at bhz.jamef.com.br> escreveu:
>
> Leandro, eu uso o qmail
> No caso, posso adicionar esse filtro manualmente, na regra de entrada do
> email (.qmail-default ou algo do tipo)
> O único inconveniente, fica por conta da falta de um log, que me permita
> analisar o que está sendo bloqueado, pois vou precisar validar os
> falsos-positivos.. Mas vou pensar em algo (aqui uso o recordio, talvez dê
> para filtrar algum resultado, enfim.. se alguém tiver uma dica)
>
>
>
> Em 04-06-2014 10:59, Leandro escreveu:
>>
>> Até aonde eu sei, não dá para usar este tipo de filtro no spamassasim.
>> Posso estar errado. Porém eu tenho certeza que esta regra pode ser
>> adicionada manualmente na configuração do seu mailer. Eu não manjo muito de
>> outros mailers, mas o meu caso é o Exim4, que tal configuração pode ser
>> adicionada nas ACLs. Deixa eu ver se consigo te ajudar: qual é o nome do
>> software do seu mailer e versão?
>>
>> Leandro Carlos Rodrigues
>> TI All Chemistry do Brasil
>> (11) 3014-7100
>>
>> Em 04/06/2014 10:54, Rejaine Monteiro escreveu:
>>>
>>>
>>> Entendi, Leandro
>>>
>>> Vc esta falando dessa regra?
>>>
>>> /bin/egrep -c '\<meta[^>]+http-equiv *= *"refresh"[^>]+\>'
>>> '$mime_decoded_filename' .
>>>
>>>
>>> Mas vc adiciona ela diretamente em algum arquivo .cf no spamassassin
>>> normalmente? Ou seja, ele entende isso ai normal (a versao que estou usando
>>> é um pouco antiga.. )
>>>
>>>
>>>
>>> Em 04-06-2014 10:50, Leandro escreveu:
>>>>
>>>> Rejaine,
>>>>
>>>> Aconteceu exatamente igual com a gente. Eu até tentei colocar o nome dos
>>>> arquivos orcamento e planilha como regra. Mas ai começamos a receber algo do
>>>> tipo: ComprovanteID03067.html. Percebi neste momento que ficou impossível
>>>> ficar registrando todos os nomes de arquivos que aparecem, então cheguei na
>>>> conclusão que deveria haver uma regra mais ampla.
>>>>
>>>> Parece que esta ultima solução que escrevi em outra mensagem resolve
>>>> definitivamente o problema porque os fraudadores podem colocar os nomes que
>>>> quiserem nos arquivos que o filtro pega. Acho que a grande sacada destes
>>>> espertinhos foi justamente usar o redirecionamento, que está fora dos
>>>> radares de qualquer mecanismo anti-spam convencional. Negar o
>>>> redirecionamento é uma paulada na cabeça de todos eles.
>>>>
>>>> Leandro Carlos Rodrigues
>>>> TI All Chemistry do Brasil
>>>> (11) 3014-7100
>>>>
>>>> Em 04/06/2014 10:39, Rejaine Monteiro escreveu:
>>>>>
>>>>>
>>>>> TEu estava recebendo uma avalance de e-mails sobre 'segue o orçamento
>>>>> solicitado' ou 'segue planilha de orçamento' em que estava tendo
>>>>> dificuldades de pontuar pelo spamassassin justamente por não conter muita
>>>>> coisa no texto para ser avaliado e ter apenas um arquivo HTML anexado
>>>>> contendo link para o malware.. O jeito que encontrei foi fazer uma regra do
>>>>> tipo abaixo:
>>>>>
>>>>> header _ORCAMENTO_H /or.?amento|planilha/i
>>>>> body _ORCAMENTO_B /or.?amento|planilha/i
>>>>> mimeheader _ORCAMENTO_M Content-Disposition =~ /\.html[";]/i
>>>>> uri _ORCAMENTO_U /or.?amento|planilha/i
>>>>> meta ORCAMENTO ( _ORCAMENTO_H || _ORCAMENTO_B ) && ( _ORCAMENTO_M ||
>>>>> ORCAMENTO_U )
>>>>> score ORCAMENTO 5.5
>>>>>
>>>>> A regar no caso vai pontuar as mensagens que contiverem no assunto OU
>>>>> corpo a palavra orçamentou OU planilha _E_ também tiverem na URL OU no
>>>>> conteúdo do MIME um arquivo HTML anexado. Como a regra só vai pontuar as que
>>>>> atenderem todas as duas partes do teste, o risco de pontuar algo que seja
>>>>> legítimo é menor (apesar de ainda poder existir, mas pelo menos até então
>>>>> resolveu, em parte, o problema)
>>>>>
>>>>>
>>>>> Em 04-06-2014 10:06, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>>
>>>>>> Prezado
>>>>>>
>>>>>> Agradeço pelo compartilhamento
>>>>>>
>>>>>> Vou fazer um testes e lhe reporto qualquer anormalidade que eu achar.
>>>>>>
>>>>>> Muito Obrigado!
>>>>>>
>>>>>>
>>>>>>
>>>>>> -----Original Message-----
>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>> Sent: quarta-feira, 4 de junho de 2014 09:53
>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>
>>>>>> Beleza. Eu vi aqui e ele não tem informação sigilosa. Então segue o
>>>>>> link:
>>>>>>
>>>>>> https://dl.dropboxusercontent.com/u/44768624/MailAnalisis.zip
>>>>>>
>>>>>> Se for usar o JAR direto digite use o seguinte comando:
>>>>>>
>>>>>> java -jar MailAnalisis.jar <diretório das mensagems HAM>
>>>>>> <diretório
>>>>>> das mensagens SPAM> /etc/spamassassin/custom.cf
>>>>>>
>>>>>> Depois tem que reiniciar o spamassassim. Nunca enviei este programa
>>>>>> para
>>>>>> alguém, então me reporte os erros beleza?
>>>>>>
>>>>>> Eu escrevi este programa a muitos anos sem fazer revisão alguma. Foi
>>>>>> quando
>>>>>> comecei a estudar ciência da computação. Então certamente ter várias
>>>>>> coisas
>>>>>> estranhas lá. Como ele sempre me gerou arquivos de configuração
>>>>>> eficientes
>>>>>> (acimas de 99%), eu nunca tive interesse em voltar a trabalhar nele.
>>>>>>
>>>>>> Só tem outro detalhe: a escala de pontuação dele está diferente do
>>>>>> padrão.
>>>>>> Enquanto o pessoal costuma usar limiares altos no padrão, para este
>>>>>> aqui eu
>>>>>> uso 20 para inteiro (se não me engando é 2.0 como decimal).
>>>>>>
>>>>>> Leandro Carlos Rodrigues
>>>>>> TI All Chemistry do Brasil
>>>>>> (11) 3014-7100
>>>>>>
>>>>>> Em 04/06/2014 09:36, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>>>
>>>>>>> Leandro
>>>>>>>
>>>>>>> Por padrão, não gostei muito também a eficiência.
>>>>>>>
>>>>>>> A medida que estou fazendo o treinamento e bayes em base de dados
>>>>>>> (hoje, tenho vários MXs e SpamFilters) está ajudando bastante na
>>>>>>> eficiência. Em questão de dias, com autolearn ativado e treinamento
>>>>>>> dos próprios usuários melhorou consideravelmente a filtragem.
>>>>>>>
>>>>>>> Se você puder compartilhar o programa, agradeço.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> -----Original Message-----
>>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>>> Sent: quarta-feira, 4 de junho de 2014 09:21
>>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>>
>>>>>>> Alan,
>>>>>>>
>>>>>>> Eu também faço algo semelhante. Tive que criar um programa em Java
>>>>>>> para analisar todos os conteúdos dos e-mails e gerar um conjunto de
>>>>>>> tokens no arquivo custom.cf para meu caso particular usando o
>>>>>>> histórico.
>>>>>>>
>>>>>>> Depois de muito tempo usando a configuração padrão do spamassasin,
>>>>>>> fiquei muito decepcionado com a eficiência dele. Eu vou dar uma
>>>>>>> analisada neste programa e se não houver informação sigilosa eu te
>>>>>>> envio ele. Só não sei se você vai entender porque eu não documentei
>>>>>>> mas eu te dou um suporte se for o caso.
>>>>>>>
>>>>>>> Leandro Carlos Rodrigues
>>>>>>> TI All Chemistry do Brasil
>>>>>>> (11) 3014-7100
>>>>>>>
>>>>>>> Em 04/06/2014 09:13, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>>>>
>>>>>>>> Leandro
>>>>>>>>
>>>>>>>> Eu estou testando o ripmime para jogar mensagens anexadas e conteudo
>>>>>>>> mime em uma pasta e usar o sa-learn nesta pasta temporaria.
>>>>>>>>
>>>>>>>> Agora, resta se ele pega os tokens corretamente e faz o treinamento
>>>>>>>> com base nas caracteristicas da mensagem + anexos.
>>>>>>>>
>>>>>>>> Não sei se vai funcionar, estou fazendo alguns testes aqui. E nem
>>>>>>>> sei
>>>>>>>> se é o caminho mais adequado. Se tiver alguém que tenha conhecimento
>>>>>>>> maior em spamassasin, poderia dar uma luz.
>>>>>>>>
>>>>>>>> -----Original Message-----
>>>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>>>> Sent: quarta-feira, 4 de junho de 2014 09:03
>>>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>>>
>>>>>>>> Alan,
>>>>>>>>
>>>>>>>> Ideia genial fazer análise do conteúdo. Seria possível detectar as
>>>>>>>> tags que fazem o redirecionamento. Agora só falta fazer um regex que
>>>>>>>> seja capaz de fazer isto e implementar ele num script.
>>>>>>>>
>>>>>>>> Alguém da lista manja de conteúdo HTML para gerar deste regex para a
>>>>>>>> comunidade?
>>>>>>>>
>>>>>>>> Leandro Carlos Rodrigues
>>>>>>>> TI All Chemistry do Brasil
>>>>>>>> (11) 3014-7100
>>>>>>>>
>>>>>>>> Em 04/06/2014 08:54, Alan C. Besen - TPA Telecomunicações escreveu:
>>>>>>>>>
>>>>>>>>> Prezado
>>>>>>>>>
>>>>>>>>> Um site que eu sei que manda anexo HTML e o infoemail do Bradesco.
>>>>>>>>>
>>>>>>>>> Estava analisando como fazer o mesmo filtro/analise de conteudo no
>>>>>>
>>>>>> anexo.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> -----Original Message-----
>>>>>>>>> From: masoch-l-bounces at eng.registro.br
>>>>>>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>>>>>>> Sent: quarta-feira, 4 de junho de 2014 08:51
>>>>>>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>>>>>>> Subject: [MASOCH-L] Nova forma de burlar anti-spam
>>>>>>>>>
>>>>>>>>> Pessoal,
>>>>>>>>>
>>>>>>>>> Estamos recebendo uma quantidade massiva de mensagens fraudulentas
>>>>>>>>> com anexos em HTML cujo conteúdo redireciona para o site do
>>>>>>>>> criminoso. O texto da mensagem geralmente é muito convincente e
>>>>>>>>> acaba enganando até os
>>>>>>>>
>>>>>>>> usuários
>>>>>>>>>
>>>>>>>>> mais espertos.
>>>>>>>>>
>>>>>>>>> Estamos com muita dificuldade de criar um filtro eficiente que
>>>>>>>>> elimine
>>>>>>>>
>>>>>>>> este
>>>>>>>>>
>>>>>>>>> tipo de mensagem. A única forma que encontramos foi barrar todas as
>>>>>>>>> mensagens que tenham anexos HTML. Como nunca fizemos isto antes,
>>>>>>>>> gostaria
>>>>>>>>
>>>>>>>> de
>>>>>>>>>
>>>>>>>>> saber se algum de vocês conhecem casos legítimos de envio de anexos
>>>>>>>>> de
>>>>>>>>
>>>>>>>> HTML
>>>>>>>>>
>>>>>>>>> e se são frequentes para eu implementar o filtro sem medo.
>>>>>>>>>
>>>>>>>>> Obrigado.
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> Leandro Carlos Rodrigues
>>>>>>>>> TI All Chemistry do Brasil
>>>>>>>>> (11) 3014-7100
>>>>>>>>>
>>>>>>>>> __
>>>>>>>>> masoch-l list
>>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>>
>>>>>>>>> __
>>>>>>>>> masoch-l list
>>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>
>>>>>>>> __
>>>>>>>> masoch-l list
>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>
>>>>>>>> __
>>>>>>>> masoch-l list
>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>
>>>>>>> __
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>
>>>>>>> __
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
--
Otavio Augusto
---------------------
Consultor de TI
Citius Tecnologia
31 37761866
31 88651242
http://www.citiustecnologia.com.br
More information about the masoch-l
mailing list