A veces se cuentan con herramientas limitadas. Siguiendo las líneas del open source, la organización tenía un combo armado con SpamAssesin, Postgray y MailScanner como solución antispam de sus correos locales. Mientras planifica soluciones más robustas acorde a su tamaño y necesidad, ciertos phishing atacan el ahora.
Luego de recolectar varias muestras del phishing encontramos un patrón en el cuerpo del correo.
Si hay patrón hay expresión regular (regex). Aunque no es común, se pueden hacer reglas de bloqueo por body, ya que los antispam analizan todo el correo; por suerte 🍀 el SpamAssesin lo permite como regla en su archivo de configuración.
Hacer reglas de body que sean específicas a fin de evitar falsos positivos y se catalogue correos válidos como spam
Edito reglas locales
sudo nano /etc/spamassassin/local.cfBuscar el ultimo y agregar el siguiente bloque
body BE_POLITE /^(Titular: Lic. Dr. Delio Dante L[o|ó|ò]pez Medrano)\s?(Fiscal[i|í|ì]a General de la Rep[u|ú|ù]blica) /m
describe BE_POLITE Phishing Informe Policial
score BE_POLITE 10.0
Los valores con color son los de ejemplo. Ajustar según la necesidad.
Descripción de cada campo
- body = corresponde a la expresión regular donde va hacer coincidencia con lo que queremos buscar en el body del correo.
Tener en cuenta si hay espacios al final, si se encuentra la inicio de la oración (^), si es multilínea donde puede estar (/m), variantes de vocales acentuadas (|), variaciones de mayúsculas y minúsculas (/i) - describe = es la descripción de la regla
- score = el puntaje para que sea considerado spam (> 9.0), con 10.0 nos aseguramos que sea clasificado spam mi caso.
Importante guardar los cambios del archivo local.cf
Chequeo sintaxis
sudo spamassassin --lintReinicio servicio para que tome los cambios
sudo systemctl restart spamassassin
Pagina para armar expresiones regulares
Referencias
- https://cwiki.apache.org/confluence/display/SPAMASSASSIN/writingrules
- https://spamassassin.apache.org/full/3.1.x/doc/Mail_SpamAssassin_Conf.html
0 comments:
Publicar un comentario