🚀 go-pugleaf

W dniu 2019-02-05 o 14:52, LFC pisze:
> Czy milter-regex dla sendmaila mo¿e filtrowac po polu List-Unsubsribe:, bo co¶ mi nie wychodzi w tym wzglêdzie. Niby ³aduje konfiguracjê sucessfully, ale spam dalej przechodzi.
>
> LFC

Mo¿e po ka¿dym polu nag³ówka, np:

header /^List-Unsubscribe$/ ,^\s*<http:\/\/\w+\.\w+\/ru\/unsubscribe\/do\?hash=,ie
header /^X-Report-Abuse$/ ,^\s*<http:\/\/\w+\.(com|info|icu)\/aa\.php\?a=,ie

Sprawdzi³e¶ czy regex dobrze dopasowuje zawarto¶æ pola?
Bo cwaniaki ostatnio wstawiaj± spacjê na pocz±tku...

Piotr

LFC <longinf@mpwikzdw.com.pl> pisze:
> Czy milter-regex dla sendmaila może filtrowac po polu
> List-Unsubsribe:, bo coś mi nie wychodzi w tym względzie.
> Niby ładuje konfigurację sucessfully, ale spam dalej przechodzi.

Według dokumentacji powinien.  Możesz podać:
1. Dokładny nagłówek ze spamu
2. linie konfiguracji która ma go wyłapać
3. Jak przeładowywałeś konfiguracje działającego miltra?
   Po czy poznałeś że została przeładowana?

Buga oprogramowania nie sugeruje się tak od razu ;-)

--
Andrzej A. Filip

W dniu 2019-02-05 o 15:50, Andrzej A. Filip pisze:
> LFC <longinf@mpwikzdw.com.pl> pisze:
>> Czy milter-regex dla sendmaila może filtrowac po polu
>> List-Unsubsribe:, bo coś mi nie wychodzi w tym względzie.
>> Niby ładuje konfigurację sucessfully, ale spam dalej przechodzi.
>
> Według dokumentacji powinien.  Możesz podać:
> 1. Dokładny nagłówek ze spamu
> 2. linie konfiguracji która ma go wyłapać
> 3. Jak przeładowywałeś konfiguracje działającego miltra?
>    Po czy poznałeś że została przeładowana?
>

Po komunikacie w /var/log/messages. Gdy coś jest skaszanione, to
informuje w której linii configa jest błąd.

W dniu 2019-02-05 o 15:44, Piotr Lechowicz pisze:
> W dniu 2019-02-05 o 14:52, LFC pisze:
>> Czy milter-regex dla sendmaila mo¿e filtrowac po polu
>> List-Unsubsribe:, bo co¶ mi nie wychodzi w tym wzglêdzie. Niby ³aduje
>> konfiguracjê sucessfully, ale spam dalej przechodzi.
>>
>> LFC
>
> Mo¿e po ka¿dym polu nag³ówka, np:
>
> header /^List-Unsubscribe$/
> ,^\s*<http:\/\/\w+\.\w+\/ru\/unsubscribe\/do\?hash=,ie
> header /^X-Report-Abuse$/
> ,^\s*<http:\/\/\w+\.(com|info|icu)\/aa\.php\?a=,ie
>
> Sprawdzi³e¶ czy regex dobrze dopasowuje zawarto¶æ pola?
> Bo cwaniaki ostatnio wstawiaj± spacjê na pocz±tku...
>

Spacji nie sprawdza³em, ale druga linia, któr± poda³e¶ to jest dok³adnie
to, co potrzebujê.
Walczy³e¶ dok³adnei z tym samym, co ja, tylko ja siê zawzi±³em na skrypt
ub.php (ten od "wypisaæ siê").
O ile spamassasin tnie mi ten spam ³adnie, to jednak mnie wkurza, ¿e
w³azi i generuje ruch, szczególnie gdy adres docelowy to alias, np. dla
dzia³u lub sekcji.
Dlatego postanowi³em zastopowaæ to gówno regexem, ¿eby dostawa³o halt
przy wje¼dzie

LFC

LFC <longinf@mpwikzdw.com.pl> pisze:
> W dniu 2019-02-05 o 15:44, Piotr Lechowicz pisze:
>> W dniu 2019-02-05 o 14:52, LFC pisze:
>>> Czy milter-regex dla sendmaila może filtrowac po polu
>>> List-Unsubsribe:, bo coś mi nie wychodzi w tym względzie. Niby ładuje
>>> konfigurację sucessfully, ale spam dalej przechodzi.
>>>
>>> LFC
>>
>> Może po każdym polu nagłówka, np:
>>
>> header /^List-Unsubscribe$/
>> ,^\s*<http:\/\/\w+\.\w+\/ru\/unsubscribe\/do\?hash=,ie
>> header /^X-Report-Abuse$/
>> ,^\s*<http:\/\/\w+\.(com|info|icu)\/aa\.php\?a=,ie
>>
>> Sprawdziłeś czy regex dobrze dopasowuje zawartość pola?
>> Bo cwaniaki ostatnio wstawiają spację na początku...
>>
>
> Spacji nie sprawdzałem, ale druga linia, którą podałeś to jest
> dokładnie to, co potrzebuję.
> Walczyłeś dokładnei z tym samym, co ja, tylko ja się zawziąłem na
> skrypt ub.php (ten od "wypisać się").
> O ile spamassasin tnie mi ten spam ładnie, to jednak mnie wkurza, że
> włazi i generuje ruch, szczególnie gdy adres docelowy to alias,
> np. dla działu lub sekcji.
> Dlatego postanowiłem zastopować to gówno regexem, żeby dostawało halt
> przy wjeździe

A patrzyłeś czy da się szybciej? [ Jeszcze przed komendą DATA]

--
Andrzej A. Filip

W dniu 05.02.2019 o 22:49, Andrzej A. Filip pisze:

>>>
>>
>> Spacji nie sprawdzałem, ale druga linia, którą podałeś to jest
>> dokładnie to, co potrzebuję.
>> Walczyłeś dokładnei z tym samym, co ja, tylko ja się zawziąłem na
>> skrypt ub.php (ten od "wypisać się").
>> O ile spamassasin tnie mi ten spam ładnie, to jednak mnie wkurza, że
>> włazi i generuje ruch, szczególnie gdy adres docelowy to alias,
>> np. dla działu lub sekcji.
>> Dlatego postanowiłem zastopować to gówno regexem, żeby dostawało halt
>> przy wjeździe
>
> A patrzyłeś czy da się szybciej? [ Jeszcze przed komendą DATA]
>

Myślisz o HELO? Aż tak dokładnie się nie przyglądałem, ale wydaje mi
się, że za każdym razem jest nieco inne. ale sprawdzę.

W dniu 2019-02-06 o 07:05, LFC pisze:
> W dniu 05.02.2019 o 22:49, Andrzej A. Filip pisze:
>
>>>>
>>>
>>> Spacji nie sprawdza³em, ale druga linia, któr± poda³e¶ to jest
>>> dok³adnie to, co potrzebujê.
>>> Walczy³e¶ dok³adnei z tym samym, co ja, tylko ja siê zawzi±³em na
>>> skrypt ub.php (ten od "wypisaæ siê").
>>> O ile spamassasin tnie mi ten spam ³adnie, to jednak mnie wkurza, ¿e
>>> w³azi i generuje ruch, szczególnie gdy adres docelowy to alias,
>>> np. dla dzia³u lub sekcji.
>>> Dlatego postanowi³em zastopowaæ to gówno regexem, ¿eby dostawa³o halt
>>> przy wje¼dzie
>>
>> A patrzy³e¶ czy da siê szybciej? [ Jeszcze przed komend± DATA]
>>
>
> My¶lisz o HELO? A¿ tak dok³adnie siê nie przygl±da³em, ale wydaje mi siê, ¿e za ka¿dym razem jest nieco inne. ale sprawdzê.

To musi lecieæ z jakiego¶ botnetu - u mnie w ponad 300 sprawdzonych spamach nie powtórzy³o siê ani IP, ani czê¶æ nazwy domeny przed .icu.
Wspólna jest TLD (obecnie .icu) oraz format from (identyczny adres kopertowy i w nag³ówku):

From: Michalina Krawczyk <michalinazcmyfnxkrawczyk@astrothought.icu>
From: Lucjan Drewniak <lucjanqcggjybdrewniak@codegic.icu>

Konkretnie jest to nazwa w formacie Imie_Nazwisko i adres w formacie imie[ci±g 7 losowych liter]nazwisko@[losowa_nazwa].icu
Mo¿na by na to napisaæ regu³kê, ale dla mnie pro¶ciej i szybciej jest ci±æ po X-Report-Abuse

Piotr

W dniu 2019-02-06 o 08:20, Piotr Lechowicz pisze:

> To musi lecieć z jakiegoś botnetu - u mnie w ponad 300 sprawdzonych
> spamach nie powtórzyło się ani IP, ani część nazwy domeny przed .icu.
> Wspólna jest TLD (obecnie .icu) oraz format from (identyczny adres
> kopertowy i w nagłówku):
>

Potwierdzam. Najpierw było icu, a teraz jest  również com

> From: Michalina Krawczyk
> <michalinazcmyfnxkrawczyk@astrothought.icu>
> From: Lucjan Drewniak <lucjanqcggjybdrewniak@codegic.icu>
>
> Konkretnie jest to nazwa w formacie Imie_Nazwisko i adres w formacie
> imie[ciąg 7 losowych liter]nazwisko@[losowa_nazwa].icu
> Można by na to napisać regułkę, ale dla mnie prościej i szybciej jest
> ciąć po X-Report-Abuse

Nawiasem mówiąc reguła, którą przytoczyłeś dla X-Report-Abuse u mnie na
Centos 6 w regex-milter nie działa prawidowo. Po pierwsze przecinki. W
regex milterze powinny być slash, ale nawet, jak to poprawię i tak się
czepia zawartości. Muszę poeksperymentować z tym zapisem

LFC

W dniu 2019-02-06 o 18:41, LFC pisze:
>
> Nawiasem mówi±c regu³a, któr± przytoczy³e¶ dla X-Report-Abuse

Czyli ta?
header /^X-Report-Abuse$/ ,^\s*<http:\/\/\w+\.(com|info|icu)\/aa\.php\?a=,ie


> u mnie na Centos 6 w regex-milter nie dzia³a prawidowo.

SOA#1

$ cat /etc/centos-release
CentOS release 6.10 (Final)

$ rpm -qa|grep milter-regex
milter-regex-2.0-1.el6.x86_64


> Po pierwsze przecinki. W regex milterze powinny byæ slash,

Eeee tam.
Nie mo¿esz u¿yæ slasha jako delimitera, je¿eli w regexie te¿ chcesz go u¿yæ. Dlatego przecinki (ale mog³yby byæ te¿ ma³py, ¶redniki czy co ci tam innego pasuje).
Czyta³e¶ readme?:

      The regular expressions used in the configuration rules are enclosed in
      *arbitrary delimiters*, no further escaping is needed.

      The first character of an argument is taken as the delimiter, and all
      subsequent characters up to the next occurance of the same delimiter are
      taken literally as the regular expression.	 Since the delimiter itself
      cannot be part of the regular expression (no escaping is supported), a
      delimiter must be chosen that doesn't occur in the regular expression
      itself.  Each argument can use a different delimiter, all characters
      except spaces and tabs are valid.


> ale nawet, jak to poprawiê i tak siê czepia zawarto¶ci. Muszê poeksperymentowaæ z tym zapisem

Podaje w logu co go boli?
Zwróci³e¶ uwagê na flagi po koñcowym delimiterze regexa (zw³aszcza e - ze wzglêdu na u¿yty |)?

      Optionally, the following flags can be used after the closing delimiter:
      e	  Extended regular expression.	This sets REG_EXTENDED for regcomp(3).
      i	  Ignore upper/lower case.  This sets REG_ICASE.



Piotr

W dniu 07.02.2019 o 00:00, Piotr Lechowicz pisze:
> W dniu 2019-02-06 o 18:41, LFC pisze:
>>
>> Nawiasem mówi±c regu³a, któr± przytoczy³e¶ dla X-Report-Abuse
>
> Czyli ta?
> header /^X-Report-Abuse$/
> ,^\s*<http:\/\/\w+\.(com|info|icu)\/aa\.php\?a=,ie
>
>
>> u mnie na Centos 6 w regex-milter nie dzia³a prawidowo.
>
> SOA#1
>
> $ cat /etc/centos-release
> CentOS release 6.10 (Final)
>
> $ rpm -qa|grep milter-regex
> milter-regex-2.0-1.el6.x86_64
>
>
>> Po pierwsze przecinki. W regex milterze powinny byæ slash,
>
> Eeee tam.
> Nie mo¿esz u¿yæ slasha jako delimitera, je¿eli w regexie te¿ chcesz go
> u¿yæ. Dlatego przecinki (ale mog³yby byæ te¿ ma³py, ¶redniki czy co ci
> tam innego pasuje).
> Czyta³e¶ readme?:

Czyta³em, ale wybiórczo. Przyj±³em, ze wygl±da to podobnie jak w
spamassasinie.
Faktycznie z przecinkami nie ma komunikatu o b³êdzie.

>
> Podaje w logu co go boli?
> Zwróci³e¶ uwagê na flagi po koñcowym delimiterze regexa (zw³aszcza e -
> ze wzglêdu na u¿yty |)?
>

TAK. Te¿ u¿ywam
Teraz pozostaje poczekaæ na spamera i zobaczymy

W dniu 2019-02-07 o 00:00, Piotr Lechowicz pisze:
> W dniu 2019-02-06 o 18:41, LFC pisze:
>>
>> Nawiasem mówi±c regu³a, któr± przytoczy³e¶ dla X-Report-Abuse
>
> Czyli ta?
> header /^X-Report-Abuse$/ ,^\s*<http:\/\/\w+\.(com|info|icu)\/aa\.php\?a=,ie

Dodali nowe domeny, np space, site, fun
Nie chce mi siê tego ¶ledziæ, wiêc uogólni³em regu³ê:

header /^X-Report-Abuse$/ ,^\s*<http:\/\/\w+\.\w+\/aa\.php\?a=,ie

W dniu 2019-03-01 o 19:56, Piotr Lechowicz pisze:
> W dniu 2019-02-07 o 00:00, Piotr Lechowicz pisze:
>> W dniu 2019-02-06 o 18:41, LFC pisze:
>>>
>>> Nawiasem mówi±c regu³a, któr± przytoczy³e¶ dla X-Report-Abuse
>>
>> Czyli ta?
>> header /^X-Report-Abuse$/ ,^\s*<http:\/\/\w+\.(com|info|icu)\/aa\.php\?a=,ie
>
> Dodali nowe domeny, np space, site, fun
> Nie chce mi siê tego ¶ledziæ, wiêc uogólni³em regu³ê:
>
> header /^X-Report-Abuse$/ ,^\s*<http:\/\/\w+\.\w+\/aa\.php\?a=,ie
>
>
>

W sumie wychodzi do¶æ ograniczony zakres ¼ród³owych adresów/domen (statystyka z miesi±ca).
£atwo mo¿na wyci±æ ca³e klasy na firewallu.
Albo w filtrze na connect/helo w MTA.


[134.209.15.47]: paltry.farzamlift.com
[185.149.232.120]: absentee.blazedealer.com
[185.234.183.101]: cannon.myabtb.com
[185.234.183.111]: trip.myabtb.com
[185.234.183.112]: bookshelf.myabtb.com
[185.234.183.115]: punish.myabtb.com
[185.234.183.121]: save.myabtb.com
[185.234.183.123]: beneath.myabtb.com
[185.234.183.125]: knowhow.myabtb.com
[185.234.183.126]: prank.ilinasignage.com
[185.234.183.134]: baby.ilinasignage.com
[185.234.183.135]: double.ilinasignage.com
[185.234.183.136]: invite.ilinasignage.com
[185.234.183.148]: penitent.ilinasignage.com
[185.234.183.160]: radiate.studiogranth.com
[185.234.183.167]: tolerate.studiogranth.com
[185.234.183.190]: zipper.stlexports.com
[185.234.183.191]: condition.stlexports.com
[185.234.183.195]: thunder.stlexports.com
[185.234.183.209]: homemade.stlexports.com
[185.234.183.211]: shaky.stlexports.com
[185.234.183.65]: sack.rajpharsan.com
[185.234.183.66]: thought.rajpharsan.com
[185.234.183.71]: smelly.rajpharsan.com
[185.234.183.72]: wail.rajpharsan.com
[185.234.183.73]: cart.rajpharsan.com
[185.234.183.75]: measure.rajpharsan.com
[185.234.183.76]: reign.rajpharsan.com
[185.234.183.78]: air.rajpharsan.com
[185.234.183.79]: damage.rajpharsan.com
[185.234.183.88]: spray.rajpharsan.com
[185.234.183.90]: cold.rajpharsan.com
[185.234.183.91]: goofy.rajpharsan.com
[185.234.183.96]: dizzy.myabtb.com
[199.189.27.109]: cross.hasanhost.com
[212.162.148.131]: heated.ellehairskin.com
[212.162.148.132]: overdress.ellehairskin.com
[212.162.148.148]: juice.ellehairskin.com
[212.162.148.160]: photocopy.ellehairskin.com
[212.162.148.175]: fetal.ellehairskin.com
[212.162.148.184]: abhorrent.ellehairskin.com
[212.162.148.196]: chase.ellehairskin.com
[212.162.148.212]: zip.ellehairskin.com
[212.162.148.223]: walk.ellehairskin.com
[212.162.148.234]: twelve.ellehairskin.com
[212.162.148.237]: likeable.ellehairskin.com
[212.162.148.238]: punch.ellehairskin.com
[212.162.148.239]: square.ellehairskin.com
[212.162.148.252]: climatic.ellehairskin.com
[23.95.202.205]: volatile.jamihydraulics.com
[23.95.202.214]: page.jamihydraulics.com
[23.95.202.219]: letters.jamihydraulics.com
[77.241.197.206]: penitent.proanimakers.com
[77.241.197.207]: sibling.proanimakers.com
[77.241.197.213]: sickleave.proanimakers.com
[77.241.197.217]: ludicrous.proanimakers.com
[77.241.197.221]: correct.proanimakers.com
[77.241.197.223]: obtain.proanimakers.com
[77.241.197.225]: tolerate.proanimakers.com
[77.241.197.227]: earth.proanimakers.com
[77.241.197.232]: cheap.proanimakers.com
[77.241.197.235]: request.proanimakers.com
[77.241.197.236]: tailor.proanimakers.com
[77.241.197.237]: amusement.proanimakers.com
[77.241.197.240]: pathetic.proanimakers.com
[77.241.197.241]: shock.proanimakers.com
[77.241.197.243]: brass.proanimakers.com
[77.241.197.244]: far.proanimakers.com
[77.241.197.246]: queue.proanimakers.com
[77.241.197.247]: stay.proanimakers.com
[77.81.106.160]: hunt.prantikhowlader.com
[77.81.106.163]: tooth.prantikhowlader.com
[77.81.106.175]: welcome.prantikhowlader.com
[77.81.106.184]: talisman.prantikhowlader.com
[77.81.106.186]: delicious.prantikhowlader.com
[79.142.126.49]: crowd.javanidea.com
[85.93.8.131]: shy.safaethekwini.com
[85.93.8.133]: cactus.safaethekwini.com
[85.93.8.143]: truculent.safaethekwini.com
[85.93.8.146]: higherup.safaethekwini.com
[85.93.8.14]: tank.trapnos.com
[85.93.8.153]: proud.safaethekwini.com
[85.93.8.162]: distinct.safaethekwini.com
[85.93.8.177]: trek.safaethekwini.com
[85.93.8.179]: endurable.safaethekwini.com
[85.93.8.181]: previous.safaethekwini.com
[85.93.8.193]: silly.safaethekwini.com
[85.93.8.205]: town.safaethekwini.com
[85.93.8.206]: black.safaethekwini.com
[85.93.8.212]: colour.safaethekwini.com
[85.93.8.226]: return.safaethekwini.com
[85.93.8.22]: flowers.trapnos.com
[85.93.8.231]: physical.safaethekwini.com
[85.93.8.252]: familiar.safaethekwini.com
[85.93.8.25]: sulky.trapnos.com
[85.93.8.32]: broad.trapnos.com
[85.93.8.73]: half.trapnos.com
[85.93.8.7]: pocket.trapnos.com
[85.93.8.81]: solvent.trapnos.com
[85.93.8.86]: resolute.trapnos.com
[89.144.44.30]: infinite.sharmagarments.com
[89.144.44.36]: ark.sharmagarments.com
[89.144.44.42]: meat.sharmagarments.com
[89.144.44.43]: bleach.sharmagarments.com
[89.144.44.47]: nice.sharmagarments.com
[89.144.44.52]: palliate.sharmagarments.com