Get spamassassin a cadere email contenenti un REGEX specifica nei nomi dei file allegati

Question

newbie chiedendo prima domanda :)

Sono in esecuzione un server di posta (Ubuntu/Postfix/Dovecot) con SpamAssassin. La maggior parte dello spam noto è contrassegnato (RBL e UCE ovvio) ad eccezione di questa particolare malspam in file zip allegati come "order_info_654321.zip", "paymet_document_123456.zip" e così via, quando non si adatta ad altre regole SA . Mi piacerebbe ottenere una regola che faccia cadere nel dimenticatoio i colpevoli corrispondenti.

Dopo armeggiare con regex101.com, mi è venuta in mente un'espressione che corrisponde a questi modelli esclusivamente:

/\w+[_][0-9]{6}.zip$/img

domanda è ... Come formattare tutto, a farlo funzionare, e dove per dirla? Finora, ho modificato /etc/spamassassin/local.cf, aggiunto questo verso il basso, ed ho ricominciato:

mimeheader TROJAN_ATTACHED Content-Type =~ /\w+[_][0-9]{6}.zip$/img 
describe ZIP_ATTACHED email contains a zip trojan attachment 
score TROJAN_ATTACHED 99. 

Ma non sembra fare la magia. Dove altro posso cercare questo?

Grazie a tutti, Keijo.-

Answer 1

Il primo, SA non scende e-mail di default, ma li può segnare così in alto su contenuti di spam che non si presentano alla casella di posta di nessuno . In secondo luogo, gli "ingredienti" con cui ho iniziato non erano corretti, inoltre incasinato con l'abilità di SA di funzionare del tutto.

Questo in realtà ha fatto il trucco, quando aggiunte /etc/spamassassin/local.cf:

full TROJAN_ZIPUNDS /\w*[_][\d]{1,6}\.zip/img 
score TROJAN_ZIPUNDS 99 
describe TROJAN_ZIPUNDS RM zip attached trojan underscore 

Anche se questi spammer alterati da zip per RAR, di sottolineatura a trattini, diversi nomi di file, e così via, creando regole per contrastarle è diventato semplice dopo aver avuto successo con il primo. Ecco quello che ho aggiunto anche:

full TROJAN_RARDASH /\w*[-][\d]{1,6}\.rar/img 
score TROJAN_RARDASH 99 
describe TROJAN_RARDASH RM rar attached trojan dash 

Inoltre, come descritto per primo, avevo bisogno di bloccare specificamente determinati nomi di file zip che ben presto si trasformò a rar e trattini, così, morphing la regex e aggiungendo come regola triade per SpamAssassin di locali .cf (e riavvio) è attualmente la detenzione, fino al prossimo ondata di spam :-)

Infine, si tratta di una soluzione molto molto schietto, quindi chiunque con competenze in materia è più che benvenuti a carillon in.

Answer 2

Stai usando l'intestazione mime sbagliata per verificare il nome del file. Utilizza invece:

mimeheader TROJAN_ATTACHED Content-Disposition =~ /\w+[_][0-9]{6}.zip/img 

Assicurati inoltre di aver caricato il plugin MimeHeader.

loadplugin Mail::SpamAssassin::Plugin::MIMEHeader 

Answer 3

Si ha un'espressione regolare errata. Non è necessario un carattere $ alla fine, poiché le stringhe del nome file non sono necessariamente alla fine dell'intestazione Content-Type. Invece, è possibile utilizzare un limite di parola \b ancora. Nelle mie regole, ho il seguente, e funziona perfettamente:

mimeheader MIME_FAIL Content-Type =~ /\.(ade|adp|bat|chm|cmd|com|cpl|exe|hta|ins|isp|jse|lib|lnk|mde|msc|msp|mst|pif|scr|sct|shb|sys|vb|vbe|vbs|vxd|wsc|wsf|wsh|reg)\b/i 
describe MIME_FAIL Blacklisted file extension detected 
score  MIME_FAIL 5