Получить SpamAssassin отказаться от электронных писем, содержащих определенное Regex в прикрепленных именах файлов

Question

новичка задавать первый вопрос :)

Я бег почтового сервера (Ubuntu/Postfix/Dovecot) с SpamAssassin. Большинство известных спамов помечены (RBL и очевидные UCE), за исключением этого конкретного malspam в прикрепленных zip-файлах, таких как «order_info_654321.zip», «paymet_document_123456.zip» и т. Д., Когда это не соответствует никаким другим правилам SA , Я хотел бы получить правило, которое бросает соответствующих преступников в забвение.

После махинаций с regex101.com, я придумал выражение, которое соответствует этим моделям исключительно:

/\w+[_][0-9]{6}.zip$/img

вопрос ... Как отформатировать все это, получить его на работу, и где сказать? До сих пор я редактировал /etc/spamassassin/local.cf, прибавил ко дну, и перезапущен:

mimeheader TROJAN_ATTACHED Content-Type =~ /\w+[_][0-9]{6}.zip$/img 
describe ZIP_ATTACHED email contains a zip trojan attachment 
score TROJAN_ATTACHED 99. 

Но это, кажется, не делают магию. Где еще я могу это найти?

Спасибо всем, Keijo.-

Answer 1

Сначала, SA не уронить электронную почту по умолчанию, но он может забить их так высоко на содержании спама, что они не показывают до чьих входящих , Во-вторых, «ингредиенты», с которых я начинал, были неправильными, плюс перепутались с возможностью SA вообще функционировать.

Это фактически сделал трюк при добавлении в /etc/spamassassin/local.cf:

full TROJAN_ZIPUNDS /\w*[_][\d]{1,6}\.zip/img 
score TROJAN_ZIPUNDS 99 
describe TROJAN_ZIPUNDS RM zip attached trojan underscore 

Даже если эти спамеры измененные с ЗИП Рар подчеркивания в тире, различные имена файлов, и так далее, создавая правила для борьбы с ними стало просто после достижения первой. Вот что я добавил также:

full TROJAN_RARDASH /\w*[-][\d]{1,6}\.rar/img 
score TROJAN_RARDASH 99 
describe TROJAN_RARDASH RM rar attached trojan dash 

Кроме того, как первый описал, мне нужно было специально блокировать определенные имена зип файлов, которые вскоре превратились в .rar и тире, так, морфинг регулярное выражение и добавление как правило триады SpamAssassin-х местный .cf (и перезагрузка) в настоящее время не держит, пока следующий спам волна :-)

Наконец, это очень и очень тупой обходной путь, так что любой человек с опытом по этому вопросу более чем приветствуется перезвон в.

Answer 2

Вы используете неправильный заголовок mime для проверки имени файла. Используйте это вместо:

mimeheader TROJAN_ATTACHED Content-Disposition =~ /\w+[_][0-9]{6}.zip/img 

Также убедитесь, что у вас установлен плагин MimeHeader.

loadplugin Mail::SpamAssassin::Plugin::MIMEHeader 

Answer 3

У вас неправильное регулярное выражение. Вам не нужен символ $ в конце, потому что строки с именами не обязательно находятся в конце заголовка Content-Type. Вместо этого вы можете использовать границу слова \b anchor. В моих правилах у меня есть следующее, и он отлично работает:

mimeheader MIME_FAIL Content-Type =~ /\.(ade|adp|bat|chm|cmd|com|cpl|exe|hta|ins|isp|jse|lib|lnk|mde|msc|msp|mst|pif|scr|sct|shb|sys|vb|vbe|vbs|vxd|wsc|wsf|wsh|reg)\b/i 
describe MIME_FAIL Blacklisted file extension detected 
score  MIME_FAIL 5