В продолжение темы спама, вот модификация правил из предыдущей статьи, которая по-прежнему актуальна и эффективна:
header __SPAMMY_YAHOO_SENDER From:addr =~ /[A-Z][a-z]*[A-Z][a-z]*[0-9][0-9]\@yahoo\.co\.uk/
header __SUBJECT_SEMINAR Subject =~ /seminar|Moratoriy/
header __SUBJECT_STARTS_WITH_DOT Subject:raw =~ /^\s*=\?Windows-1251\?Q\?\._?=/
meta SPAMMY_YAHOO_SENDER_AND_SUBJECT __SPAMMY_YAHOO_SENDER && (__SUBJECT_SEMINAR|| __SUBJECT_STARTS_WITH_DOT)
describe SPAMMY_YAHOO_SENDER_AND_SUBJECT Spammy sender FirstLastNN@yahoo.co.uk and suspicious subject
score SPAMMY_YAHOO_SENDER_AND_SUBJECT 2.5
Здесь должно быть 6 строк, начинающихся словами header, header, header, meta, describe и score. Любые другие переносы строк надо удалить!
Что здесь происходит: мы отслеживаем письма, у которых адрес отправителя имеет вид FirstLastNN@yahoo.co.uk (где First и Last - произвольные имя и фамилия, а NN - двузначное число), а тема письма - либо слова seminar или Moratoriy, либо начинаются на точку. Сомневаюсь, чтобы кому-то кроме спаммеров пришло в голову делать такую тему письма, так что такие письма наверняка спам.
P.S. 23.04.2008. Теперь такой же спам присылают также с адресов вида *@earthlink.net. Ввиду этого я модифицировал правила таким образом:
header __SPAMMY_YAHOO_SENDER From:addr =~ /[A-Z][a-z]*[A-Z][a-z]*[0-9][0-9]\@yahoo\.co\.uk/
header __SPAMMY_EARTHLINK_SENDER From:addr =~ /\@earthlink\.net/
header __SUBJECT_SEMINAR Subject =~ /seminar|Moratoriy/
header __SUBJECT_STARTS_WITH_DOT Subject:raw =~ /^\s*=\?Windows-1251\?Q\?\._?=/
meta SPAMMY_SENDER_AND_SUBJECT (__SPAMMY_YAHOO_SENDER || __SPAMMY_EARTHLINK_SENDER) && (__SUBJECT_SEMINAR|| __SUBJECT_STARTS_WITH_DOT)
describe SPAMMY_SENDER_AND_SUBJECT Spammy sender and suspicious subject
score SPAMMY_SENDER_AND_SUBJECT 2.5
No comments:
Post a Comment