Blokowanie sprytnego spamu

[jasne 0]

Hej

Dostaje na serwer coraz sprytniejsze spamy... serwer Centos 6.0 Exim oraz SpamAssassin mam zainstalowany.

Poradzicie coś ?

Maile typu ( z różnych serwerów):

Jutro zarobisz milion

Niesamowite!

Zdumiewajace odkrycie matematykow daje ludziom mozliwosc zarabiania milionow, nie robiac praktycznie NIC!
Sztuczna inteligencja zawiera na gieldzie same korzystne transakcje, wykluczajac jakiekolwiek ryzyko strat.

Pozbawiony emocji, sklonnosci do hazardu i agresji program zawsze "trafia w dziesiatke" w 100 przypadkach na 100!

Mam jednak powazne obawy, ze wkrotce ten program "szczescia" zostanie zabroniony.
W przeciwnym razie swiatowy system finansowy znajdzie sie w zagrozeniu.

Jednak masz jeszcze szanse wzbogacenia sie - kliknij w odnosnik!

[bybunny 540]

Jedna domena czy więcej?

[jasne 0]

różne domeny, polskie i zachodnie. Praktycznie domeny się nie powtarzają...

[bybunny 540]

różne domeny, polskie i zachodnie. Praktycznie domeny się nie powtarzają...

Chodziło mi o twoją pocztę czy problem dotyczy jednej domeny?

[jasne 0]

u mnie odbiorcami są różne domeny , różne skrzynki

[Gość patrys]

To za pewne przejęte WP/Joomle, spróbuj po nagłówkach:

 

header   rule1      X-PHP-Originating-Script =~ /eval\(\)'d code/
describe rule1      X-PHP-Originating-Script
score rule1 10

Dodatkowo trzeba dopisać kilka reguł na treść, ta momentami jest ta sama + można dodać kilka punktów za tytuł:

 

header rule2    Subject=~/^Jutro /
describe rule2     Jutro
score    rule2     2

ps. pisane na kolanie

 

[Vasthi 74]

http://zabojcaspamu.pl/

[jasne 0]

@patrys , tematy maili i nagłówki są różne także to akurat nie pomoże dużo

[Gość patrys]

Ale z doświadczenia wiem, że sporo zwrotów się powtarza w tych spamach i można napisać regułki które zawierają mały "spamowy słownik".

 

Tak nawet spojrzałem w swój folder spam i jednak łapie pierwszy filtr coś:

Subject: ***SPAM*** Dam ci dobrze platna prace
X-PHP-Originating-Script: 1002:themes.php(1973) : eval()'d code
Date: Tue, 2 Aug 2016 01:18:48 +0200
From: Barbara Wozniak <barbara_wozniak@sostieni.cospe.org>

[mlodycompany 29]

Dokładnie dostaje taki sam spam. Każda wiadomość jest wysyłana od innego nadawcy, z innej domeny, z innego serwera. Dziennie dostaje ok. 20 wiadomości

[jasne 0]

czegoś oprócz SpamAssassin używasz jeszcze ? SpamBlocker itp?

[Gość patrys]

Generalnie ten spam dobrze łapie się na Bayesa, ale można mu jeszcze pomóc szukając w treści odnośnika ( w każdej wiadomości ma taką samą budowę ):

 

uri SPAM_2 /\.php\?\w{1}=\d{3}&\w+=\w+&\w+=\w+&\w+=\w+/i
describe SPAM_2 SPAM – URL1
score SPAM_2 10

Tu dwa słowa o tym: https://netfs.pl/blog/pozbyc-sie-spamu-jutro-mozesz-zaczynac-prace/

 

[jasne 0]

gdzie te reguły się wstawia ?

[Gość patrys]

W konfiguracji SpamAssassina czyli standardowo jest to plik: local.cf, choć lepiej nie wstawiać bezpośrednio, a zrobić include.

 

Plik local.cf znajduje się najczęsciej w /etc/spamassassin lub /etc/mail/spamassassin

[jasne 0]

ok czy będzie to bezpieczna konfiguracja jeśli używam DirectAdmina ?

[Gość patrys]

Tak, DirectAdmin nie ingeruje w główną konfiguracje Spamassassina.

[jasne 0]

Patrys, dzięki wielkie