Local.cf Spamassassin

Question

실제로 나는 local.cf spamassassin에 하나의 규칙을 쓰려고 노력하고 있습니다.
내가 필요한 것은 모든 비아그라 이메일을 차단하는 것입니다.

이 이메일에서 알 수 있듯이 그들은 비아그라, 비아그라, 비아그라 (c) 때때로 주제 필드, 때로는 이름 필드에있는 메시지의 본문입니다.

이 모든 이메일을 정확하게 중지하기위한 규칙이 무엇인지 말씀해 주시겠습니까?

Answer 1

글쎄, 당신은 이런 종류의 간단한 규칙을 시도 할 수 있습니다.

header   VIAGRA_SUBJECT Subject =~ /viagra/i
header   VIAGRA_FROM    From =~ /viagra/i
meta     VIAGRA_HEADER VIAGRA_FROM && VIAGRA_SUBJECT
score    VIAGRA_HEADER 10.0
describe VIAGRA_HEADER Block Mails with Viagra in subject

body     VIAGRA_BODY /viagra/i
score    VIAGRA_BODY 10.0
describe VIAGRA_BODY Block Mails with Viagra in body

Answer 2

추가 할 두 가지가 더 있습니다.

body LOCAL_OBFU_VIAGRA /(?:\b[vu]|\B(?:\\\/|\xCE\xBD))[\W_]{0,3}(?:[il1:\|\*\xCC-\xCF\xEC-\xEF\xA6]|\xC4[\xA8-\xB0]|\xC4\xBA|\xC4\xBC|\xC4\xBE|\xC5\x80|\xC5\x82|\xC7[\x8F-\x90]|\xD0[\x86-\x87]|\xD1[\x96-\x97]|\xCE\x8A|\xCE\x90|\xCE\x99|\xCE\xAA|\xCE\xAF|\xCE\xB9|\xCF\x8A)[\W_]{0,3}(?:[a4\*\@\xC0-\xC5\xAA\xE0-\xE5]|\/\\|\xC4[\x80-\x85]|\xC7[\x8D-\x8E]|\xC7[\xBA-\xBB]|\xCE\x86|\xCE\x91|\xCE\x94|\xCE\x9B|\xCE\xAC|\xCE\xB1|\xD0\x90|\xD0\xB0)[\W_]{0,3}(?:[g6]|\xC4[\x9C-\xA3]])[\W_]{0,3}(?:[r\xAE]|\xC5[\x94-\x99]|\xD1\x93)[\W_]{0,3}(?:[a4]\b|(?:[\*\@\xC0-\xC5\xAA\xE0-\xE5]|\/\\|\xC4[\x80-\x85]|\xC7[\x8D-\x8E]|\xC7[\xBA-\xBB]|\xCE\x86|\xCE\x91|\xCE\x94|\xCE\x9B|\xCE\xAC|\xCE\xB1|\xD0\x90|\xD0\xB0)\B)/i
score LOCAL_OBFU_VIAGRA 1.8
describe LOCAL_OBFU_VIAGRA Obfuscated 'VIAGRA' in body

위의 규칙은 메시지 본문에서 난독 화 된 "비아그라"를 차단합니다. 다음 규칙은 같은 종류의 일을하지만 특수 문자가 있습니다.

describe MANGLED_VIAGRA mangled viagra
body     MANGLED_VIAGRA /(?!viagra)v{1,3}(?:[_\W]{0,5}|[viagra])[iÌÍÎÏìíîï\|1l\!](?:[_\W]{0,5}|[viagra])[aÀÁÂÃÄÅàáâãäå4\@](?:[_\W]{0,5}|[viagra])g(?:[_\W]{0,5}|[viagra])r(?:[_\W]{0,5}|[viagra])[aÀÁÂÃÄÅàáâãäå4\@]/i
score    MANGLED_VIAGRA 2.5