Fejlődnek a magyar spam-ek is :-(
Sun, 2006.08.20 - 06:53 — müzso
Az imént kaptam egy levelet, amin (leszámítva, hogy nem ismerem a feladóként megadott személyt) egy pillanatig még nekem is el kellett gondolkoznom. 
Általában 1mp-en belül felismerem a spamet, de ez már nagyon "ügyes"-re sikeredett. Az egyetlen hibát ott követték el, hogy a "From"-ba az smsweb@freemail.hu címet tették.
Így nézett ki a levél:
Szia,
Ma ismét megtaláltam azt a régi oldalt ahonnan a legújabb filmeket régen leszedtük, csak átköltözött.
Most itt a http://rip.forceweb.hu alatt fut. Ha gondolod nézd meg te is. Majd köv héten beszélünk,
Pusz,
Réka
Persze a webcím rögtön gyanús volt, viszont a szöveg annyira személyes, hogy egy pillanatra belekotortam az emlékeimbe, hogy vajon ismerek-e Cseh Rékát. :->
Ez volt a levél "forrása":
Attól tartok, hogy egy ilyen levelet aligha lehet megbízhatóan kiszűrni a Spamassassinnal ... legalábbis a levél törzse alapján biztosan nem. A feladó cím meg bármikor megváltozhat, tulajdonképpen már eme levélből is kihagyhatták volna ezt az smsweb-es címet.
Általában 1mp-en belül felismerem a spamet, de ez már nagyon "ügyes"-re sikeredett. Az egyetlen hibát ott követték el, hogy a "From"-ba az smsweb@freemail.hu címet tették.Így nézett ki a levél:
Szia,
Ma ismét megtaláltam azt a régi oldalt ahonnan a legújabb filmeket régen leszedtük, csak átköltözött.
Most itt a http://rip.forceweb.hu alatt fut. Ha gondolod nézd meg te is. Majd köv héten beszélünk,
Pusz,
Réka
Persze a webcím rögtön gyanús volt, viszont a szöveg annyira személyes, hogy egy pillanatra belekotortam az emlékeimbe, hogy vajon ismerek-e Cseh Rékát. :->
Ez volt a levél "forrása":
Return-path: <smsweb@vipmail.hu>[codefilter_nl]Envelope-to: azenemailcimem@muzso.hu[codefilter_nl]Delivery-date: Sun, 20 Aug 2006 05:11:36 +0200[codefilter_nl]Received: from fmx11.freemail.hu ([195.228.245.61])[codefilter_nl] by muzso.hu with smtp (Exim 3.36 #1 (Debian))[codefilter_nl] id 1GEdiq-00069l-00[codefilter_nl] for <azenemailcimem@muzso.hu>; Sun, 20 Aug 2006 05:11:36 +0200[codefilter_nl]Received: (qmail 302 invoked by uid 312577); 20 Aug 2006 05:11:33 +0200[codefilter_nl]Delivered-To: egymasikemailem@freemail.hu[codefilter_nl]Received: (qmail 298 invoked from network); 20 Aug 2006 05:11:33 +0200[codefilter_nl]Received: from secondary.intel510.smweb.hu (HELO smweb) (193.202.83.208)[codefilter_nl] by fmx11.freemail.hu with SMTP; 20 Aug 2006 05:11:33 +0200[codefilter_nl]Received: from smweb ([193.202.83.208]) by smweb with Microsoft SMTPSVC(6.0.3790.1830);[codefilter_nl] Sun, 20 Aug 2006 05:09:14 +0200[codefilter_nl]Reply-To: "Cseh Réka" <cseh.reka@vipmail.hu>[codefilter_nl]From: "Cseh Réka" <smsweb@vipmail.hu>[codefilter_nl]To: <egymasikemailem@freemail.hu>[codefilter_nl]Subject: ismet ugyes voltam[codefilter_nl]Date: Sun, 20 Aug 2006 05:09:14 +0200[codefilter_nl]MIME-Version: 1.0[codefilter_nl]Content-Type: text/plain;[codefilter_nl] format=flowed;[codefilter_nl] charset="iso-8859-2";[codefilter_nl] reply-type=original[codefilter_nl]Content-Transfer-Encoding: 8bit[codefilter_nl]X-Priority: 3[codefilter_nl]X-MSMail-Priority: Normal[codefilter_nl]X-Mailer: Microsoft Outlook Express 6.00.2800.1106[codefilter_nl]X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106[codefilter_nl]Message-ID: <SMWEBotUsTPEI7B9811000388e9@smweb>[codefilter_nl]X-OriginalArrivalTime: 20 Aug 2006 03:09:15.0062 (UTC) FILETIME=[047A7560:01C6C406][codefilter_nl]X-Freemail: message scanned[codefilter_nl]X-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on muzso.hu[codefilter_nl]X-Spam-Level: ***[codefilter_nl]X-Spam-Status: No, score=3.9 required=5.0 tests=BAYES_50,FORGED_MUA_OUTLOOK [codefilter_nl] autolearn=no version=3.0.3[codefilter_nl][codefilter_nl][codefilter_nl]Szia,[codefilter_nl][codefilter_nl]Ma ismét megtaláltam azt a régi oldalt ahonnan a legújabb filmeket régen [codefilter_nl]leszedtük, csak átköltözött.[codefilter_nl]Most iit a http://rip.forceweb.hu alatt fut. Ha gondolod nézd meg te is. [codefilter_nl]Majd köv héten beszélünk,[codefilter_nl][codefilter_nl]Pusz,[codefilter_nl]RékaAttól tartok, hogy egy ilyen levelet aligha lehet megbízhatóan kiszűrni a Spamassassinnal ... legalábbis a levél törzse alapján biztosan nem. A feladó cím meg bármikor megváltozhat, tulajdonképpen már eme levélből is kihagyhatták volna ezt az smsweb-es címet.
All of my own contents here (if not noted otherwise) are licensed under the
Creative Commons Attribution-NonCommercial-ShareAlike 4.0 License. My posts reflect my personal opinion and shall not be associated with any of my employers.
Creative Commons Attribution-NonCommercial-ShareAlike 4.0 License. My posts reflect my personal opinion and shall not be associated with any of my employers.
Comments
A 193.202.83.208 szerepel a
http://dsbl.org/listing?193.202.83.208
DSBL?
Elvileg én nem tiltottam le. A HOME-omban a user_prefs-ben a skip_rbl_checks "0"-ra van állítva, a /usr/share/spamassassin/20_dnsbl_tests.cf fájlban benne van az RCVD_IN_DSBL teszt és a rendszerszintű /etc/spamassassin/* fájlokban sem tiltottam le.
A /etc/spamassassin/init.pre fájlban csak ezek vannak:
loadplugin Mail::SpamAssassin::Plugin::URIDNSBLloadplugin Mail::SpamAssassin::Plugin::Hashcash
loadplugin Mail::SpamAssassin::Plugin::SPF
Az a tippem, hogy a Debian spamassassin csomagjában a /usr/share/spamassassin/* fájlokban megadott tesztek mind olyan plugineket használnak, amik alapban be vannak töltve és eme "/etc/spamassassin/init.pre"-beli loadplugin utasítások már csak "extra" modulokat töltenek be.
A /etc/spamassassin/local.cf-ben nincs semmi, csak kommentek.
Szóval nem tudom miért nem került bele abba a levélbe az RCVD_IN_DSBL teszt.
local?
Leggyorsabb tesztelési módszer, ha a levelet kimented fájlba, és a "spamassassin" parancsot kézzel futtatod rajta.
teszt
X-Spam-Flag: YESX-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on muzso.hu
X-Spam-Level: ******
X-Spam-Status: Yes, score=6.7 required=5.0 tests=AWL,BAYES_99,
FORGED_MUA_OUTLOOK autolearn=no version=3.0.3
trusted
trusted_networks 192.168/16 127/8