Мы пытаемся помечать фишинговые письма простым правилом в Spamassasin как спам. Но, к сожалению, мы не можем получить из этого рабочую проверку.
По сути, мы пытаемся добиться того, чтобы если отправитель почты был не из нашего домена @ example.org, но пишет с подделанный отображаемое имя.
Вот пример:
From: "Firstname Lastname <firstname.lastname@example.org>" <fraud@badcompany.com>
Итак, мы разработали следующее правило SA, которое не сработало.
header __FRAUD_HEADER From =~ /.*@(?!example\.org)/i
body __FRAUD_BODY /".*\@example\.org.*"(?!.*\@example\.org.*$)/i
meta COMPANY_FRAUD (__FRAUD_HEADER && __KFRAUD_BODY)
describe COMPANY_FRAUD Fake Sender - Phishing Attempt
score COMPANY_FRAUD 100
Любые идеи о том, почему это не сработало?
regex101.com сообщает нам, что регулярное выражение правильное. Spamassasin также не жалуется на ошибки.
РЕДАКТИРОВАТЬ: Я думаю, что я ошибался, как они подделали отправителя. Это отрывок, как я думаю, они подделали / замаскировали адрес отправителя
# telnet mail.example.org 25
Trying 10.20.30.40...
Connected to mail.example.org.
Escape character is '^]'.
220 mail.example.org ESMTP
EHLO a.mailserver.com
250-mail.example.org
250-PIPELINING
250-SIZE
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
MAIL FROM:fraud@badcompany.com
250 2.1.0 Ok
RCPT TO: CEO@example.org
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
TO: CEO@example.org
FROM: "Firstname Lastname" firstname.lastname@example.org
SUBJECT: Something
Spam/Phishing message text goes here
.
250 2.0.0 Ok: queued as 123456789
quit
221 2.0.0 Bye
Connection closed by foreign host.
Предлагаемое решение сработало!
Ваши оригинальные правила:
header __FRAUD_HEADER From =~ /.*@(?!example\.org)/i
body __FRAUD_BODY /".*\@example\.org.*"(?!.*\@example\.org.*$)/i
meta COMPANY_FRAUD (__FRAUD_HEADER && __KFRAUD_BODY)
describe COMPANY_FRAUD Fake Sender - Phishing Attempt
score COMPANY_FRAUD 100
Некоторые критические замечания:
__KFRAUD_BODY скорее, чем __FRAUD_BODYКак насчет:
header __DW_NONFRAUD_HEADER From:addr =~ /\bexample\.org$/i
body __DW_FRAUD_BODY /"[^"]{0,99}\@example\.org\b[^"]{0,99}"(?!.{0,99}\@example\.org\b)/i
meta DW_COMPANY_FRAUD (!__DW_NONFRAUD_HEADER && __DW_FRAUD_BODY)
describe DW_COMPANY_FRAUD Fake Sender - Phishing Attempt
score DW_COMPANY_FRAUD 3
Я отменил вашу первую проверку и ограничил ее только адресом в заголовке From (см. Редакцию meta правило). Я также добавил обильную границу слов (\b) маркеры, чтобы не уловить "myexample.org", "example.org.in" или другие странности. Безграничные диапазоны очень дороги, поэтому я сократил их до 0–99 символов и убедился, что вы не заглядываете слишком далеко вперед, не позволяя им сопоставлять двойные кавычки. Я также удалил твой $ поскольку SpamAssassin уничтожает все пробелы (окончания строк могут быть не там, где вы думаете; гораздо лучше использовать \b и аналогичные).
Я считаю оценку 3 очень высокой. Что-нибудь еще, и вы, возможно, захотите рассмотреть возможности внесения в черный список SA.
На самом деле, вы должны убедиться, что вы правильно установили и настроили плагины SpamAssassin для DKIM, SPF, и DMARC (которые представляют собой технологии защиты от спуфинга, которые реализуют большую часть того, что вы пытаетесь сделать). ваш DNSBLs и URI DNSBLs настроен правильно и что вы используете (и тренируетесь!) Байесовский. Сторонние нечеткие поисковые запросы, например Бритва и Пызор также может помочь отловить пропущенный спам.
Я говорю это, потому что это правило трудоемко, дорого и не масштабируется (вам нужно создать по одному для каждого домена), но в основном потому, что оно не выглядит эффективным (целевая «подпись» не является ужасно спамерской, а вы » будут ложные срабатывания).