【問題】Oh...spamassassin規則沒設好,中文檔名.lnk就收下來了...

**tvirus** · 2009-01-05, 12:19 PM

我的local.cf部份設定為
full UNSAFE_ATTACHMENT /name=\".+\.(pif|com|scr|lnk|com|vbs|exe|cmd|bat|scf)"/i
describe UNSAFE_ATTACHMENT unsafe attachment
score UNSAFE_ATTACHMENT 25
就是依據附檔名將加權分加25分上去,25分以上是Spammail,也就等於一律將有這些附檔名的都當廣告信

最近Yahoo寄過來的病毒信,開始使用[中文檔名.lnk]寄出
一方面趨勢 in Yahoo掃不出個所以然,檔案Size又小
二來spamassassin的規則一般不會設到非英文檔名的處理
收到的內容如下:
Content-Type: application/msword; name="=?utf-8?B?RlRQ5Li75qmf56e75YuV6YCa55+lLmRvYw==?="
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="=?utf-8?B?RlRQ5Li75qmf56e75YuV6YCa55+lLmRvYw==?="

所以想問的是...................
如何讓spamassassin判斷解碼後的副檔名是.lnk?

**tvirus** · 2009-03-03, 02:19 PM

後續補充...
Content-Disposition: attachment; filename="=?utf-8?B?54K655Sa6bq85rKS5pyJ55S35qihLmxuaw==?="
Content-Disposition: attachment; filename="=?utf-8?B?5LqL5oOF57aT6YGOLmxuaw==?="
Content-Disposition: attachment; filename="=?utf-8?B?5bCN5L2g44SJ56ys5LiA5Y2w6LGhLmxuaw==?="

只好用共同相同的部份做為判斷...真是昏倒 Orz

**twu2** · 2009-03-03, 04:55 PM

直接執行 spamassassin? 一般這類附檔檔名的檢查會在 mailscanner 或 amavisd 上頭就處理了, 並不會到 spamassassin 才去檢查.

如果一定要 spamassassin 處理, 先確定你的 spamassassin 有包含 MIMEHeader 的 plugin, 可以利用 mimeheader 來檢查.
http://spamassassin.apache.org/full/...IMEHeader.html

**阿土** · 2009-03-03, 05:03 PM

我是使用 mailscanner + spamassassin 架設 mail server , 不錯用

Mailscanner 設定檔：filename.rules.conf , 預設就會阻擋 .lnk

deny \.lnk$ Possible Eudora *.lnk security hole attack Eudora *.lnk security hole attack

**tvirus** · 2009-03-03, 05:43 PM

:Q
感謝各位的回應
有空我都來試一下...
我是很單純的用procmail -> spamassassin
原本擋得好好的
結果從去年年底開始,收到這種中文檔名.lnk的時候傻了一下:怎麼沒擋下來?
才發現,檔名都經過編碼...

MailScanner就能對這種編碼過的檔名先解碼再掃描了?

PS:MIMEHeader plugin好像預設就已經載入了??在/etc/mail/spamassassin/v310.pre有看到
系統:Fedora 9