Re: mail virus fight
Хмутро.
Artem>> А... У меня "патч" чаще отстреливается спамассассином... Я задрал
Artem>> цену правила "мелкософт экзекутабл" до тройки...
SO> У нас на работе стоит MIME-Defang, так что .exe-ники отрезаются, но всё
SO> равно письма идут. Так что я себе настроил вот так правила:
SO> header __SO_FROM_SECURITY From =~ /security/i
SO> header __SO_SUBJ_SECURITY Subject =~ /(((ms|microsoft )?|security) up(grade|date))|((critical|security) (pack|patch))/i
SO> body __SO_BODY_SECURITY /cumulative patch/i
SO> meta SO_SECURITY { __SO_FROM_SECURITY || __SO_SUBJ_SECURITY || __SO_BODY_SECURITY}
SO> body SO_DELI VER /deli ver/
Ну, вот это вот, особенно с учетом его цены, серьезная заявка на победу... (Я
намеренно разорвал слово...)
Кстати, я тут себе для сендмейла сделал:
LOCAL_CONFIG
Ksvenworm1 regex -a@MATCH ^(abort |bug |error |failure |)(advice|announcement|letter|message|notice|report)$
Ksvenworm2 regex -a@MATCH ^(current |last |latest |new |newest )(internet |net |microsoft |)(critical |security |)(pack|patch|update|upgrade)$
LOCAL_RULESETS
HSubject: $>+CheckSubject
SCheckSubject
R$* $: $(svenworm1 $&{currHeader} $)
R@MATCH $#error $: 550 You seem to be mail worm. Try to change subject header.
R$* $: $(svenworm2 $&{currHeader} $)
R@MATCH $#error $: 550 You seem to be mail worm. Try to change subject header.
Правила для From, для менее очевидных сабжектов, в процессе.
Для постфиска, с его pcre map и header_checks, все очевидно...
А еще там To: характерный бывает.
--
Artem Chuprina
RFC2822: <ran@ran.pp.ru>, FIDO: 2:5020/122.256, ICQ: 13038757
Reply to: