पहला सवाल :) पूछ</p> <p>मैं SpamAssassin के साथ एक मेल सर्वर (Ubuntu/पोस्टफिक्स/Dovecot) चल रहा हूँ संलग्न फ़ाइल नाम में एक विशिष्ट REGEX युक्त ईमेल ड्रॉप करने

Question

नौसिखिया SpamAssassin प्राप्त करें। जाना जाता स्पैम के अधिकांश (RBLs, और स्पष्ट UCE) "order_info_654321.zip", "paymet_document_123456.zip" की तरह संलग्न ज़िप फ़ाइलों में इस विशेष malspam के अलावा ध्वजांकित है, और इतने पर, जब यह किसी अन्य एसए नियमों से मेल नहीं खाती । मैं एक ऐसा नियम खरीदना चाहता हूं जो मिलान करने वाले अपराधियों को विस्मरण में छोड़ देता है।

regex101.com के साथ नगण्य के बाद, मैं एक अभिव्यक्ति है कि इन पैटर्न विशेष रूप से मेल खाता है के साथ आ गया है:

/\w+[_][0-9]{6}.zip$/img

प्रश्न है ... यह सब कैसे फ़ॉर्मेट करने के लिए, यह काम करने के लिए मिलता है, और जहां इदर रखना? अब तक, मैं /etc/spamassassin/local.cf संपादित, नीचे करने के लिए यह जोड़ा, और पुन: प्रारंभ:

mimeheader TROJAN_ATTACHED Content-Type =~ /\w+[_][0-9]{6}.zip$/img 
describe ZIP_ATTACHED email contains a zip trojan attachment 
score TROJAN_ATTACHED 99. 

लेकिन यह जादू करने के लिए प्रतीत नहीं होता। मैं इसके लिए और कहां देख सकता हूं?

आप सभी धन्यवाद, Keijo.-

Answer 1

सबसे पहले, एसए ई मेल डिफ़ॉल्ट रूप से छोड़ नहीं करता है, लेकिन यह उन्हें स्पैम सामग्री पर इतनी अधिक है कि वे किसी को भी के इनबॉक्स में दिखाई नहीं स्कोर कर सकते हैं । दूसरा, मैंने जिन "अवयवों" के साथ शुरुआत की थी, वे गलत थे, साथ ही साथ कार्य करने की एसए क्षमता के साथ गड़बड़ हुई।

full TROJAN_ZIPUNDS /\w*[_][\d]{1,6}\.zip/img 
score TROJAN_ZIPUNDS 99 
describe TROJAN_ZIPUNDS RM zip attached trojan underscore 

हालांकि इन स्पैमर्स जिप से बदल rar के लिए, डैश के लिए, अलग-अलग फ़ाइल नाम, और इतने पर अंडरस्कोर, नियम बनाने की मुकाबला करने के लिए उन्हें सरल बने: जब /etc/spamassassin/local.cf में जोड़ा

यह वास्तव में चाल किया पहले के साथ सफल होने के बाद। यहां बताया गया है मैं भी जोड़ा है: पहले वर्णित के रूप में

full TROJAN_RARDASH /\w*[-][\d]{1,6}\.rar/img 
score TROJAN_RARDASH 99 
describe TROJAN_RARDASH RM rar attached trojan dash 

इसके अलावा, मैं विशेष रूप से कुछ ज़िप फ़ाइल नाम जो जल्द ही rar और डैश को बदला ब्लॉक करने के लिए की जरूरत है, इसलिए, regex morphing और SpamAssassin के स्थानीय करने के लिए एक नियम के त्रय के रूप में जोड़कर .cf (और पुनरारंभ) वर्तमान में, कर रहा है अगले स्पैम लहर जब तक :-)

अंत में, यह एक बहुत ही बहुत कुंद समाधान नहीं है, इसलिए इस विषय पर विशेषज्ञता के साथ किसी को भी झंकार के लिए स्वागत से अधिक है।

Answer 2

आप फ़ाइल नाम की जांच के लिए गलत माइम हेडर का उपयोग कर रहे हैं। इसके बजाए इसका उपयोग करें:

mimeheader TROJAN_ATTACHED Content-Disposition =~ /\w+[_][0-9]{6}.zip/img 

यह भी सुनिश्चित करें कि आपके पास MimeHeader प्लगइन लोड हो।

loadplugin Mail::SpamAssassin::Plugin::MIMEHeader 

Answer 3

आपके पास गलत रेगेक्स है। तुम्हें पता है, अंत में एक $ चार की जरूरत नहीं है क्योंकि फ़ाइल नाम तार जरूरी Content-Type हैडर के अंत में नहीं हैं। इसके बजाय, आप एक शब्द सीमा \b एंकर का उपयोग कर सकते हैं। मेरे नियमों में, मैं निम्नलिखित है, और यह पूरी तरह काम करता है:

mimeheader MIME_FAIL Content-Type =~ /\.(ade|adp|bat|chm|cmd|com|cpl|exe|hta|ins|isp|jse|lib|lnk|mde|msc|msp|mst|pif|scr|sct|shb|sys|vb|vbe|vbs|vxd|wsc|wsf|wsh|reg)\b/i 
describe MIME_FAIL Blacklisted file extension detected 
score  MIME_FAIL 5