0
Regex avanzado para spamassasin

Solved 3 Respuestas 44 Views

Estoy viendo que pasan muchos emails de SPAM con un link a una pagina con un php que te redirige a una publicidad, tengo instalado spamassasin, pero no logra filtrarlos al 100%, asi que quiero agregar una regla mas

el contenido que veo es por ejemplo en el body:

>>> http://imscapital.com/tvqjgwf.php?jd1055

(en este momento el link funciona, y termina redirigiendo a http://171-healthandbeauty.com-v1r.net/latamzjmu/womenshealth/ )

El regex deberia filtrar :

* http * php *

ya que tanto el dominio como el link y el texto final varian constantemente

Gracias

3 Respuestas

2
Mejor respuesta
uri             TEST                   /^http:\/\/.*\/.*\.php.*/i
describe        TEST                  TEST
score           TEST                   0.1

correle un spamassassin --lint por las dudas.
respondido por edux (12,430 puntos) Jul 23, 2015
seleccionada por Nairda Jul 29, 2015
8Comentarios
comentado por Nairda (1,160 puntos) Jul 24, 2015
no me sirve porque no empieza con http, sino con >>>http ;)
comentado por luigibalzani (10,210 puntos) Jul 24, 2015
pero entonces deberia ser mas facil, si pones

body algo /^>>>http.*\.php\?.*/

deberia machear y solo a esos mails
con sed funciona....

Saludos
comentado por Nairda (1,160 puntos) Jul 24, 2015
son spammers, la estructura la cambian continuamente, por ahora
body     HTTP_PHP    /.*http.*php.*/
parece funcionar, ahora a esperar a los spammers...
comentado por edux (12,430 puntos) Jul 24, 2015
Podes sacarle el ^ que indica comienzo de linea y va a matchear cualquier cosa con http que termine en php. o bien agregarle  /^>>>http:\/\/.*\/.*\.php.*/i
comentado por edux (12,430 puntos) Jul 24, 2015
Proba la regex aca, es online y super practico.
comentado por edux (12,430 puntos) Jul 24, 2015
Proba la regex aca, es online y super practico. https://regex101.com/
comentado por Nairda (1,160 puntos) Jul 29, 2015
El SPAM muto un par de veces, y la linea sigue matcheando como corresponde! Exito!!!
comentado por edux (12,430 puntos) Jul 29, 2015
Marcame como respuesta seleccionada! quiero mis puntos!!! jajajaja.
1

Voy a hablar de memoria porque hace un tiempo que no tengo spamassassin. Lo basico para una regla con regex es:

body nombre /cadena/
score nombre 1
describe nombre  comentario

En tu caso seria:

body algun_nombre /.*http.*php.*/
score algun_nombre 50
describe algun_nombre Regla para mails molestos

El score debe ser bien alto para que te asegures que lo va a marcar como spam. Debes tener mucho cuidado y ajustar un poco mas la regla porque te va a machear todos los mails que tengan un link en el contenido.

Usas listas negras en el servidor de mail?

Saludos
respondido por luigibalzani (10,210 puntos) Jul 23, 2015
0
Si son siempre desde el mismo servidor es mucho más barato en CPU el bloqueo de esa IP, si el tema esta relacionado con un rango de IPs, podes bloquear todo el país.

 

Ese tipo de reglas, si los aplicas no te van a bloquear un mail válido que tenga en su contenido "Nairda, te paso el link con la solución a tu problema http://www.dominio.com/index.php" Este lo bloquea?
respondido por Gamba47 (4,080 puntos) Jul 24, 2015
1Comentarios
comentado por Nairda (1,160 puntos) Jul 24, 2015
Si, tengo IPSET para bloqueo de paises, fail2ban para bloqueo momentaneo de IPs , etc

Esta claro que encontrar esa linea no va a marcarlo como SPAM, pero si sumar un par de puntos
...