Come bananre email con spamassassin

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Come bananre email con spamassassin

Messaggio da Sam9999 »

Mi stanno inziando ad arrivare delle email di spam che pubblicizzano un sito di incontri ma forse c'è anche un malware.
Ho spamassassin installato, ma come faccio a dargli in pasto le email se le inviano sempre da ip e server differenti, probabilmente zombie?
Un paio di esempi si sorgenti delle email:

Codice: Seleziona tutto

Return-Path: <caio@fernet.com.br>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on locale.localhost
X-Spam-Level: 
X-Spam-Status: No, score=0.0 required=5.0 tests=T_SPF_HELO_TEMPERROR,
	T_SPF_TEMPERROR autolearn=ham autolearn_force=no version=3.4.1
X-Original-To: sam@sam-it.ga
Delivered-To: sam@sam-it.ga
Received: by locale.ga (Postfix, from userid 5001)
	id B82431C43B7; Fri, 22 Jun 2018 06:23:44 +0200 (CEST)
Received: from hm1481-n-166.locaweb.com.br (hm1481-n-166.locaweb.com.br [189.126.112.166])
	by locale.ga (Postfix) with ESMTP id 5F0A31C00D8
	for <sam@sam-it.ga>; Fri, 22 Jun 2018 06:23:42 +0200 (CEST)
Received: from mcbain0015.correio.biz (201.76.49.38) by hm1481.locaweb.com.br id h5hsss169v08 for <sam@sam-it.ga>; Fri, 22 Jun 2018 01:08:21 -0300 (envelope-from <caio@fernet.com.br>)
Received: from proxy.email-ssl.com.br (bartf0043.email.locaweb.com.br [10.31.120.79])
	by mcbain0015.correio.biz (Postfix) with ESMTP id B1861400308
	for <sam@sam-it.ga>; Fri, 22 Jun 2018 01:08:21 -0300 (BRT)
x-locaweb-id: Op04509zQbr9ogr_zR9Yaaxk-Rb0WeKWmL2zUrnNFR0ygri5Sf5I7-fayH9nee2gXheA9G6ZnJ3jhBVQxNHiLP_EdF_S7XUzqeHcJGVdnEa4BWrIWQBqezPryZ478OObgW_znJoICM7s3Xs3c_5c8RuKo9Ta01lTZSb8UsEqhIQ2H1CDb2iklcx91tSv-1pyeZOr94LMk3CesvZ_Pr7mTQ== NjM2MTY5NmY0MDY2NjU3MjZlNjU3NDJlNjM2ZjZkMmU2Mjcy
X-LocaWeb-COR: locaweb_2009_x-mail
X-AuthUser: caio@fernet.com.br
Received: from [127.0.0.1] (189-089-216-143.static.stratus.com.br [189.89.216.143])
	(Authenticated sender: caio@fernet.com.br)
	by proxy.email-ssl.com.br (Postfix) with ESMTPSA id EFE211480D8F
	for <sam@sam-it.ga>; Fri, 22 Jun 2018 01:08:18 -0300 (BRT)
From: caio@fernet.com.br
Content-Transfer-Encoding: base64
Content-Type: text/plain; charset=UTF-8
Mime-Version: 1.0 (1.0)
Subject: Liane
Message-Id: <05262CE9-0DDF-0DC2-E440-5E22966C8DAB@fernet.com.br>
Date: Fri, 22 Jun 2018 06:08:19 +0200
To: sam@sam-it.ga
X-Mailer: iPad Mail (13E238)

QW5zd2VyIG1lLCBtYW4sIHdoYXQgY2FuIEkgZmluZCBpbiB5b3VyIHBhbnRzPw0KSXMgaXQgYSBw
b3dlcmZ1bCBpbnN0cnVtZW50IHRoYXQgY2FuIGJyaW5nIG1lIGVuam95bWVudD8NCknigJltIHN1
cmUsIGl0IGlzLiBWaXNpdCBtZSBhbmQgcHJvdmUgdGhhdCB5b3UgYXJlIGEgdHJ1ZSBzdGFsbGlv
biENCg0KaHR0cDovL2Jsb2cuYWdnbmkub3JnL2ZseGRlZDJsdS92NGV5ZWR3cmRxLnBocD9jMkZ0
UUhOaGJTMXBkQzVuWVE9PQ0K


Return-Path: <ayeleng@postosur.com.ar>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on locale.localhost
X-Spam-Level: 
X-Spam-Status: No, score=0.0 required=5.0 tests=BAD_ENC_HEADER,
	T_SPF_HELO_TEMPERROR,T_SPF_TEMPERROR autolearn=ham autolearn_force=no
	version=3.4.1
X-Original-To: sam@sam-it.ga
Delivered-To: sam@sam-it.ga
Received: by locale.ga (Postfix, from userid 5001)
	id 306541C43B7; Fri, 22 Jun 2018 06:00:04 +0200 (CEST)
Received: from mx1619.godns.net (xwaterbeaver.mxout.godns.net [107.6.52.240])
	by locale.ga (Postfix) with ESMTPS id 9258C1C00D8
	for <sam@sam-it.ga>; Fri, 22 Jun 2018 06:00:01 +0200 (CEST)
Received: (qmail 28540 invoked by uid 520); 22 Jun 2018 03:59:59 -0000
Authentication-Results: smtp.correoseguro.co; auth=pass (plain)
Received: from [127.0.0.1] (host151.190-123-82.sitsanetworks.net [190.123.82.151])
	by smtp.correoseguro.co (Haraka/2.8.13) with ESMTPSA id D92DF21A-D746-4E58-A783-D50D18CC60D9.2256
	envelope-from <ayeleng@postosur.com.ar> (authenticated bits=0)
	(version=TLSv1/SSLv3 cipher=ECDHE-RSA-AES256-SHA verify=FAIL);
	Fri, 22 Jun 2018 00:59:58 -0300
To: sam@sam-it.ga
From: ayeleng@postosur.com.ar
Subject: Lovetta
Date: Fri, 22 Jun 2018 05:59:57 +0200
Importance: normal
X-Priority: 3
Content-Transfer-Encoding: base64
Content-Type: text/plain; charset=UTF-8
Message-ID: <shkjoa5-lev90x-A7@postosur.com.ar>
X-Haraka-GeoIP: =?UTF-8?q?SA, AR, X, C=C3=B3rdoba?=

SWYgeW91IHdhbnQgdG8gZ2V0IGFjcXVhaW50ZWQgd2l0aCBhIHdpbm5pbmcgbGFkeWxvdmUsIHRo
aXMgaXMgeW91ciBjaGFuY2UhDQpJIGxpa2UgdG8gbWVldCBuZXcgcGVvcGxlLCBoYW5nIG91dCwg
YW5kIGdldCBuYXN0eS4NCkkgY2FuIHRyYW5zbWl0IHlvdSBteSBwaWN0dXJlcyBpbW1lZGlhdGVs
eSENCg0KaHR0cDovL3d3dy5tcndzZXJ2aWNlcy5jb20vN293bGUvbmx5ZDEucGhwP2MyRnRRSE5o
YlMxcGRDNW5ZUT09DQo=
Cioé ci dovrebbe essere almeno una cosa sempre uguale nelle email che le possa identificare per inserirle nello spam, credo.
Ultima modifica di Sam9999 il venerdì 22 giugno 2018, 11:23, modificato 1 volta in totale.
-------------
S. @-M.
-------------
Avatar utente
Lo Zio
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1819
Iscrizione: mercoledì 16 settembre 2009, 23:51
Desktop: xfce / kde-plasma
Distribuzione: Debian 12 (bookworm) x86_64
Sesso: Maschile
Località: Torino
Contatti:

Re: Come bananre email con spamassassin

Messaggio da Lo Zio »

Ciao,vedi se può aiutarti questa mia discussione,non è detto che funziona anche su altri server,ma tentare non nuoce ;)
--> * Indice Wiki * Photoshop su Wine * Cerca su Ubuntu.it *

......ti accorgi che fa caldo quando dai come input "sudo" e il terminale ti da come output "Anche io"
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Come bananre email con spamassassin

Messaggio da Sam9999 »


Ciao, si se era mettere un indirrizzo email o un dominio da filtrare, lo so fare, con spamassassin.
Il problema è che quelle email arrivano sempre da ip e domini differenti, quindi alla fine bisogna bannare mezzo mondo e non è detto che le blocchi, in quanto probabilmente hanno un sistema di bor o di zombie dal quale inviano cambiando sempre intestazione e contenuto.

Lavoro inoltre lungo da fare ogni email che arriva...

Magari essendo il testo del corpo email tutto crittografato, una opzione che sia sensibile a quello e che gli dia un punteggio in spamassassin?

Che a quanto appare sanno anche come fare l'email per avere un punteggio molto basso e passare il controllo.

Enelel email mettono:

Codice: Seleziona tutto

Content-Transfer-Encoding: base64
Content-Type: text/plain; charset=UTF-8
Quindi il testo è in caratteri normali e quello che è "crittografato" è in realtà dichiarato come immagine, mentre poi racchiude un testo e un link. Vista la cosa potrebbe essere anche gia subito un malware o altro del genere...
-------------
S. @-M.
-------------
Avatar utente
Lo Zio
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1819
Iscrizione: mercoledì 16 settembre 2009, 23:51
Desktop: xfce / kde-plasma
Distribuzione: Debian 12 (bookworm) x86_64
Sesso: Maschile
Località: Torino
Contatti:

Re: Come bananre email con spamassassin

Messaggio da Lo Zio »

la mia non è una lista di domini da filtrare,è propio bloccare tutta la lista da quei indirizzi che vedi nello spazio code.
Ti assicuro che le spam a me non arrivano più da quando ho creato questa regola.
--> * Indice Wiki * Photoshop su Wine * Cerca su Ubuntu.it *

......ti accorgi che fa caldo quando dai come input "sudo" e il terminale ti da come output "Anche io"
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Come bananre email con spamassassin

Messaggio da Sam9999 »

Lo Zio [url=https://forum.ubuntu-it.org/viewtopic.php?p=5066292#p5066292][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:la mia non è una lista di domini da filtrare,è propio bloccare tutta la lista da quei indirizzi che vedi nello spazio code.
Ti assicuro che le spam a me non arrivano più da quando ho creato questa regola.
ma se non vi soo le email che li mandano a me.. come fanno a bloccare ?

Che vedo una lista di domini alice.it... bastava poi bloccare @alice.it... volendo!

Ecco ne è arrivata un'altra....

Codice: Seleziona tutto

Return-Path: <daniel.sp@ksahome.co.id>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on locale.localhost
X-Spam-Level: 
X-Spam-Status: No, score=0.0 required=5.0 tests=T_RP_MATCHES_RCVD,
	T_SPF_HELO_TEMPERROR,T_SPF_TEMPERROR autolearn=ham autolearn_force=no
	version=3.4.1
X-Original-To: sam@sam-it.ga
Delivered-To: sam@sam-it.ga
Received: by locale.ga (Postfix, from userid 5001)
	id 176D11C43B7; Fri, 22 Jun 2018 15:36:09 +0200 (CEST)
Received: from mail.ksahome.co.id (mail.ksahome.co.id [43.243.152.235])
	by locale.ga (Postfix) with ESMTPS id 9453B1C2495
	for <sam@sam-it.ga>; Fri, 22 Jun 2018 15:36:06 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
	by mail.ksahome.co.id (Postfix) with ESMTP id E5C621A3900
	for <sam@sam-it.ga>; Fri, 22 Jun 2018 20:35:55 +0700 (WIB)
Received: from mail.ksahome.co.id ([127.0.0.1])
	by localhost (mail.ksahome.co.id [127.0.0.1]) (amavisd-new, port 10032)
	with ESMTP id tzBCy2guagat for <sam@sam-it.ga>;
	Fri, 22 Jun 2018 20:35:55 +0700 (WIB)
Received: from localhost (localhost [127.0.0.1])
	by mail.ksahome.co.id (Postfix) with ESMTP id EF1931A3911
	for <sam@sam-it.ga>; Fri, 22 Jun 2018 20:35:54 +0700 (WIB)
X-Virus-Scanned: amavisd-new at mail.ksahome.co.id
Received: from mail.ksahome.co.id ([127.0.0.1])
	by localhost (mail.ksahome.co.id [127.0.0.1]) (amavisd-new, port 10026)
	with ESMTP id wnt7nsCaVf4c for <sam@sam-it.ga>;
	Fri, 22 Jun 2018 20:35:54 +0700 (WIB)
Received: from [127.0.0.1] (unknown [103.91.244.196])
	by mail.ksahome.co.id (Postfix) with ESMTPSA id 2AEDD1A3944
	for <sam@sam-it.ga>; Fri, 22 Jun 2018 20:35:52 +0700 (WIB)
To: sam@sam-it.ga
From: daniel.sp@ksahome.co.id
Subject: Merlyn
Message-ID: <49135711.1668786@ksahome.co.id>
Date: Fri, 22 Jun 2018 15:35:53 +0200
User-Agent: Mozilla/5.0 (Windows NT 6.2; Win64; x64; rv:38.0) Gecko/20100101
 Thunderbird/38.2.0
Content-Transfer-Encoding: base64
Content-Type: text/plain; charset=UTF-8

R3JlZXRpbmdzLCBteSBmdXR1cmUgcGFyYW1vdXIhDQpBIHRob3VnaHRmdWwgY29sbGVlbiBuZWVk
cyB0aGUgaGVscCBvZiBhIHJlYWwgbWFuLg0KSSBzdGF5IGFsb25lIGluIG15IGFwYXJ0bWVudCBh
bmQgaGF2ZSBwcm9ibGVtcyB3aXRoIG15IGJhdGh0dWIuDQpBZG1pcmUgcGljcyBvZiBpdCBhbmQs
IG9mIGNvdXJzZSwgc29tZSBteSBzZWxmaWVzIDspDQoNCg0KaHR0cDovL3d3dy5iaWxsaW9uaHVi
LmluLzNmaDExai9jYjRjeXI4dC5waHA/YzJGdFFITmhiUzFwZEM1bllRPT0NCg==
-------------
S. @-M.
-------------
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: il Teto e 5 ospiti