Discussioni sul sistema operativo Linux
 

ennesimo giro di spam da libero e custom rule su spamassassin

writethem 26 Gen 2015 09:48
Come immagino vi siate accorti, siamo all'ennesimo giro di spam
proveniente da libero.it.

Ho notato che molte email sono di questo tipo:

Oggetto: Fwd: 1/25/2015 4:12:07 AM


quindi pensavo di fare una regola custom per spamassassin di questo tipo:

header CUSTOM_OGGETTO01 Subject =~ /?\/??\/2015 ?:??:?? AM/i
score CUSTOM_OGGETTO01 20.0

però cercando e ricercando in realtà non trovo che sia possibile
utilizzare caratteri jolly. Ci sto impazzendo ma non vedo granchè,
qualcuno sa come usare caratteri jolly?

Grazie,
Skull 26 Gen 2015 11:24
On 26/01/15 09:48, writethem wrote:
> Come immagino vi siate accorti, siamo all'ennesimo giro di spam
> proveniente da libero.it.
>
> Ho notato che molte email sono di questo tipo:
>
> Oggetto: Fwd: 1/25/2015 4:12:07 AM
>
>
> quindi pensavo di fare una regola custom per spamassassin di questo tipo:
>
> header CUSTOM_OGGETTO01 Subject =~ /?\/??\/2015 ?:??:?? AM/i
> score CUSTOM_OGGETTO01 20.0
>
> però cercando e ricercando in realtà non trovo che sia possibile
> utilizzare caratteri jolly. Ci sto impazzendo ma non vedo granchè,
> qualcuno sa come usare caratteri jolly?

Sono regular expression.
Vedi qualsiasi documentazione per pcre


header CUSTOM_OGGETTO01 Subject =~ /\d\d?\/\d\d?\/2015 \d\d?:\d\d:\d\d AM/i

O una roba così...

Per inciso, *NON* arrivano da libero.it. Lo hanno solo come mittente.
writethem 26 Gen 2015 13:22
> Per inciso, *NON* arrivano da libero.it. Lo hanno solo come mittente.
>


Uh, urka.. hai ragione...

Jan 26 11:45:24 ** postfix/smtpd[9990]: 593B16639C3:
client=link.gtb.ne.jp[221.115.158.69]
Jan 26 11:45:24 ** postfix/cleanup[9966]: 593B16639C3:
message-id=<FEA8A473939A59CC2AF9BF41107698FC@soho-liga.com>
Jan 26 11:45:24 ** postfix/qmgr[25844]: 593B16639C3:
from=<tizio.caio@libero.it>, size=2474, nrcpt=1 (queue active)
Jan 26 11:45:26 ** postfix/pipe[9970]: 593B16639C3:
to=<destinatario@casellagestitadalserver.xx>, relay=dovecot-spamass,
delay=3.3, delays=1.9/0/0/1.4, dsn=2.0.0, status=sent (delivered via
dovecot-spamass service)
Jan 26 11:45:26 ** postfix/qmgr[25844]: 593B16639C3: removed

Però a questo punto non capisco perchè il mio mailserver non le abbia
scartate, pur avendo:

smtpd_recipient_restrictions =
check_recipient_access pcre:/etc/postfix/out-blacklist
check_sender_access pcre:/etc/postfix/in-blacklist
permit_sasl_authenticated
permit_mynetworks
reject_unauth_destination
reject_non_fqdn_sender
reject_unknown_sender_domain
reject_unknown_recipient_domain
reject_invalid_hostname
reject_unauth_pipelining
reject_rbl_client xbl.spamhaus.org=127.0.0.[4;5]
reject_rhsbl_client dbl.spamhaus.org=127.0.1.2
reject_rhsbl_helo dbl.spamhaus.org=127.0.1.2
reject_rhsbl_sender dbl.spamhaus.org=127.0.1.2

Forse devo abilitare reject_unknown_client_hostname ? Anche se ho visto
che mi ******* parecchie email lecite.

Cosa sto sbagliando?
Skull 26 Gen 2015 14:02
On 26/01/15 13:22, writethem wrote:
>> Per inciso, *NON* arrivano da libero.it. Lo hanno solo come mittente.
>>
>
>
> Uh, urka.. hai ragione...
>
> Jan 26 11:45:24 ** postfix/smtpd[9990]: 593B16639C3:
> client=link.gtb.ne.jp[221.115.158.69]
> Jan 26 11:45:24 ** postfix/cleanup[9966]: 593B16639C3:
> message-id=<FEA8A473939A59CC2AF9BF41107698FC@soho-liga.com>
> Jan 26 11:45:24 ** postfix/qmgr[25844]: 593B16639C3:
> from=<tizio.caio@libero.it>, size=2474, nrcpt=1 (queue active)
> Jan 26 11:45:26 ** postfix/pipe[9970]: 593B16639C3:
> to=<destinatario@casellagestitadalserver.xx>, relay=dovecot-spamass,
> delay=3.3, delays=1.9/0/0/1.4, dsn=2.0.0, status=sent (delivered via
> dovecot-spamass service)
> Jan 26 11:45:26 ** postfix/qmgr[25844]: 593B16639C3: removed
>
> Però a questo punto non capisco perchè il mio mailserver non le abbia
> scartate, pur avendo:
>
> smtpd_recipient_restrictions =
> check_recipient_access pcre:/etc/postfix/out-blacklist
> check_sender_access pcre:/etc/postfix/in-blacklist
> permit_sasl_authenticated
> permit_mynetworks
> reject_unauth_destination
> reject_non_fqdn_sender
> reject_unknown_sender_domain
> reject_unknown_recipient_domain
> reject_invalid_hostname
> reject_unauth_pipelining
> reject_rbl_client xbl.spamhaus.org=127.0.0.[4;5]
> reject_rhsbl_client dbl.spamhaus.org=127.0.1.2
> reject_rhsbl_helo dbl.spamhaus.org=127.0.1.2
> reject_rhsbl_sender dbl.spamhaus.org=127.0.1.2

Queste ultime tre oggi come oggi dovrebbero essere:

reject_rhsbl_sender dbl.spamhaus.org=127.0.1.[2..99]
reject_rhsbl_helo dbl.spamhaus.org=127.0.1.[2..99]
reject_rhsbl_client dbl.spamhaus.org=127.0.1.[2..99]

Vedi http://goo.gl/TXD3bN

Vedo poi che non usi SBL.
Liberissimo, ma fossi in te ne utilizzerei almeno la componente CSS:

reject_rbl_client sbl.spamhaus.org=127.0.0.3

Vedi http://www.spamhaus.org/css/

Entrambe cose irrilevanti per il caso in questione, cmq...



> Forse devo abilitare reject_unknown_client_hostname ? Anche se ho visto
> che mi ******* parecchie email lecite.
>
> Cosa sto sbagliando?

Il mittente è perfettamente FQDN...

link.gtb.ne.jp[221.115.158.69]

...ergo quella restriction[1] non avrebbe effetto.

Queste sono mail relayed (attraverso credenziali compromesse, si
direbbe; gli injection point sembrano essere tutti infetti da cutwail,
AFAICT), ergo un filtro basato unicamente sull'*****isi del last-hop è
inefficace.

Devi andare di deep-header parsing e vedere il punto di iniezione (e
verificare se è infetto da cutwail o altri bot noti per abusare di
SMTP-AUTH), e/o filtrare basandoti sul contenuto...

Se usi ClamAV, trovi qualcosa di utile tra le unofficial signatures di
SaneSecurity, presumo (quelle mie sono mantenute in best-effort, e nelle
ultime settimane temo "non troppo best", causa altri progetti con
priorità maggiori...)

Per il resto SpamAssassin (se lo usi), dove plausibilmente dovrai
aggiustare anche i riferimenti a DBL in virtù dello stesso link sopra
citato: quelle url sono tutte "abused legit", quindi con return code
127.0.1.10[2-6]. Se non hai aggiornato la configurazione SA
plausibilmente stai matchando solo return code == 127.0.1.2...



[1] sì, è piuttosto aggressiva, troppo per la maggior parte della gente;
reject_unknown_reverse_client_hostname lo è molto meno, ma in questo
genere di casistica sarebbe servita ugualente a poco...
writethem 26 Gen 2015 14:24
Innanzitutto grazie per aver impiegato tempo in una risposta così
esauriente.


> Queste ultime tre oggi come oggi dovrebbero essere:
>
> reject_rhsbl_sender dbl.spamhaus.org=127.0.1.[2..99]
> reject_rhsbl_helo dbl.spamhaus.org=127.0.1.[2..99]
> reject_rhsbl_client dbl.spamhaus.org=127.0.1.[2..99]
>
> Vedi http://goo.gl/TXD3bN

Perfetto, quindi:

queste le blocco a livello di postfix
127.0.1.2 spam domain
127.0.1.3 spammed redirector / url shortener (Phased out on January 7th,
2015)
127.0.1.4 phish domain
127.0.1.5 malware domain
127.0.1.6 Botnet C&C domain

queste le blocco a livello di spamassassin
127.0.1.102 abused legit spam
127.0.1.103 abused legit redirector / url shortener
127.0.1.104 abused legit phish
127.0.1.105 abused legit malware
127.0.1.106 abused legit botnet C&C


>
> Vedo poi che non usi SBL.
> Liberissimo, ma fossi in te ne utilizzerei almeno la componente CSS:
>
> reject_rbl_client sbl.spamhaus.org=127.0.0.3
>
> Vedi http://www.spamhaus.org/css/
>
> Entrambe cose irrilevanti per il caso in questione, cmq...

In realtà la uso in fase di *****isi, ad ogni modo aggiungo a postfix.

uridnsbl URIBL_SBL sbl.spamhaus.org. TXT
body URIBL_SBL eval:check_uridnsbl('URIBL_SBL')
describe URIBL_SBL Contains an URL listed in the SBL blocklist
tflags URIBL_SBL net
score URIBL_SBL 5




> Il mittente è perfettamente FQDN...
> ...ergo quella restriction[1] non avrebbe effetto.

in effetti avevo controllato su un server su cui era abilitato e non
aveva comunque sortito effetto... del resto il mailserver è FQDN e
lecito, come giustamente indicavi.



> Se usi ClamAV, trovi qualcosa di utile tra le unofficial signatures di
> SaneSecurity,

ora come ora su sanesecurity ho:
junk.ndb
jurlbl.ndb
phish.ndb
rogue.hdb
sanesecurity.ftm
scam.ndb
spamimg.hdb
winnow_malware.hdb
winnow_malware_links.ndb
honeynet.hdb
securiteinfobat.hdb
securiteinfodos.hdb
securiteinfoelf.hdb
securiteinfo.hdb
securiteinfohtml.hdb
securiteinfooffice.hdb
securiteinfopdf.hdb
securiteinfosh.hdb
mbl.ndb

Non ho abilitato:
# INetMsg-SpamDomains-2w.ndb : MEDIUM false-positive rating
# INetMsg-SpamDomains-2m.ndb : MEDIUM false-positive rating
# jurlbla.ndb : MEDIUM false-positive rating
# lott.ndb : MEDIUM false-positive rating
# spam.ldb : MEDIUM false-positive rating
# spear.ndb : MEDIUM false-positive rating
# scamnailer.ndb : MEDIUM false-positive rating
# winnow.complex.patterns.ldb : MEDIUM false-positive rating
# winnow_phish_complete.ndb : HIGH false-positive rating
# winnow_phish_complete_url.ndb : MEDIUM false-positive rating
# winnow_spam_complete.ndb : MEDIUM false-positive rating
# winnow_phish_complete.ndb : HIGH false-positive rating
# winnow_phish_complete_url.ndb : MEDIUM false-positive rating


ritieni sia il caso di abilitarne qualcuno?



> Per il resto SpamAssassin (se lo usi), dove plausibilmente dovrai
> aggiustare anche i riferimenti a DBL in virtù dello stesso link sopra
> citato: quelle url sono tutte "abused legit", quindi con return code
> 127.0.1.10[2-6]. Se non hai aggiornato la configurazione SA
> plausibilmente stai matchando solo return code == 127.0.1.2...
>

infatti, esattamente :\
correggo subito.
Skull 26 Gen 2015 14:34
On 26/01/15 14:24, writethem wrote:

>> Se usi ClamAV, trovi qualcosa di utile tra le unofficial signatures di
>> SaneSecurity,
>
> ora come ora su sanesecurity ho:
[...]

> Non ho abilitato:
> # INetMsg-SpamDomains-2w.ndb : MEDIUM false-positive rating
> # INetMsg-SpamDomains-2m.ndb : MEDIUM false-positive rating
> # jurlbla.ndb : MEDIUM false-positive rating
> # lott.ndb : MEDIUM false-positive rating
> # spam.ldb : MEDIUM false-positive rating
> # spear.ndb : MEDIUM false-positive rating
> # scamnailer.ndb : MEDIUM false-positive rating
> # winnow.complex.patterns.ldb : MEDIUM false-positive rating
> # winnow_phish_complete.ndb : HIGH false-positive rating
> # winnow_phish_complete_url.ndb : MEDIUM false-positive rating
> # winnow_spam_complete.ndb : MEDIUM false-positive rating
> # winnow_phish_complete.ndb : HIGH false-positive rating
> # winnow_phish_complete_url.ndb : MEDIUM false-positive rating
>
>
> ritieni sia il caso di abilitarne qualcuno?


Non di queste, no.

Purtroppo temo che questa campagna (e le relative URL) sia inviata
solamente a destinatari Italici, ergo chi mantiene probes fuori Italia
probabilmente nemmeno le vede, e non so quanti dei contributor ne siano
dotati.

Ergo, se credi, http://sanesecurity.com/usage/signatures/:

Database Name Description FP Risk
bofhland_*****ed_URL.ndb Spam URLs Low
bofhland_malware_URL.ndb Malware URLs Low
bofhland_phishing_URL.ndb Phishing URLs Low
bofhland_malware_attach.hdb Malware Hashes Low


Però -come dicevo sopra- in questi giorni non ho avuto modo di metterci
molto di mio...
writethem 26 Gen 2015 14:38
> Database Name Description FP Risk
> bofhland_*****ed_URL.ndb Spam URLs Low
> bofhland_malware_URL.ndb Malware URLs Low
> bofhland_phishing_URL.ndb Phishing URLs Low
> bofhland_malware_attach.hdb Malware Hashes Low
>
>
> Però -come dicevo sopra- in questi giorni non ho avuto modo di metterci
> molto di mio...

le tue le uso già da parecchio tempo, le scarico direttamente! Mi manca
solo malware attach, che forse è recente e non ce l'avevo. Aggiungo
anche questa :-)

bofhland *****ed Last ******* Mon, 26 Jan 2015 09:30:41
bofhland Malware Last ******* Sat, 24 Jan 2015 23:00:34
bofhland Phishing Last ******* Mon, 26 Jan 2015 12:35:04

e tra l'altro vedo che ne beccano tante.
writethem 23 Mar 2015 12:42
>> header CUSTOM_OGGETTO01 Subject =~ /?\/??\/2015 ?:??:?? AM/i
>> score CUSTOM_OGGETTO01 20.0
>>
>> però cercando e ricercando in realtà non trovo che sia possibile
>> utilizzare caratteri jolly. Ci sto impazzendo ma non vedo granchè,
>> qualcuno sa come usare caratteri jolly?
>
> Sono regular expression.
> Vedi qualsiasi documentazione per pcre
>
>
> header CUSTOM_OGGETTO01 Subject =~ /\d\d?\/\d\d?\/2015 \d\d?:\d\d:\d\d AM/i
>

Scusate se riesumo questa discussione, in effetti per un bel periodo la
regular expression in spamassassin ha fatto, seppur grezzamente, il suo
s*****o dovere (con zero falsi positivi). Adesso però lo spam ha cambiato
sintassi, inserendo questa stringa di data non più nell'oggetto, ma nel
body.

Ho provato quindi a lavorare sulle regex nel body, ma non mi prende nulla:

body CUSTOM_BODY1 /\d\d?\/\d\d?\/2015 \d\d?:\d\d:\d\d AM/
score CUSTOM_BODY1 2.5

Ho provato varie combinazioni, anche [0-9], etc.. ed in effetti proprio
non ne vuole sapere di prendere le regex nel body.

Any ideas? Dove sbaglio? Magari è una fesseria ma mi sta sfuggendo..

Grazie anticipatamente.

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sul sistema operativo Linux | Tutti i gruppi | it.comp.os.linux.sys | Notizie e discussioni linux | Linux Mobile | Servizio di consultazione news.