Po zamknięciu Thomasa przez jakiś czas był “w miarę” spokój z fałszywymi mailami – przychodziły raz na kilka dni, wycinało się je w spamassassin i problem z głowy.

Ostatnimi dniami ktoś mocno uparł się na wysyłanie wiadomości z fakturą w .rar – codziennie mamy kilka takich przypadków:

Dzien dobry

W zalaczniku znajduje sie faktura.
Details attached
pozdrawiam
Kubista Bartosz
GLAXOSMITHKLINE PHARMACEUTICALS
Dzień dobry!

W zalaczniku przesylam Fakture VAT.
Details attached
Dziekujemy za skorzystanie z naszych uslug i zapraszamy ponownie. 
Pozdrawiam
Kroliczek Pawel
GRUPA MLEKOVITA

Wszystkie mają jeden wspólny mianownik – załącznik jest pod nazwą Fakturaxxxxx.rar , gdzie xxxxx to losowy ciąg numerów.
Jak to wyciąć? Jeśli używasz spamassasina należy mieć uruchomiony plugin MIMEHeader i można dodać taką regułę:

ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
        mimeheader FAKTURA_RAR Content-Type =~ /Faktura\D*\d+\.rar/i
        describe   FAKTURA_RAR Faktura z rar
        score	   FAKTURA_RAR 8
endif

Oczywiście score trzeba dopasować do wdrożonej konfiguracji – u mnie na większości serwerów wiadomości powyżej 5 punktów są kierowane do folderu spam, więc przy 8 mam pewność że trafi tam gdzie powinna.

Oceń wpis