Eine Image-spam Regel für spamassassin um reine Bilder in Emails zu unterbinden
header __CTYPE_MULTIPART_MXD Content-Type =~ /multipart\/mixed/i mimeheader __ANY_TEXT_ATTACH Content-Type =~ /text\/\w+/i meta MIME_IMAGE_ONLY (__CTYPE_MULTIPART_MXD && __ANY_IMAGE_ATTACH && !__ANY_TEXT_ATTACH) score MIME_IMAGE_ONLY 3.00 describe MIME_IMAGE_ONLY Image body part but no text body parts
Die Regel besagt, dass drei Punkte vergeben werden, wenn ein Mail keinerlei Text enthält, sondern nur aus einem oder mehreren Bildern besteht (egal welche).
Das lässt sich also noch verfeinern, nennen wir die neue Rule mal pngOnly.cf:
header __CTYPE_MULTIPART_MXD Content-Type =~ /multipart\/mixed/i mimeheader __ANY_TEXT_ATTACH Content-Type =~ /text\/\w+/i mimeheader __DISPO_INLINE Content-Disposition =~ /inline/i meta MIME_PNG_ONLY (__CTYPE_MULTIPART_MXD && __PNG_ATTACH_1 && __DISPO_INLINE && !__ANY_TEXT_ATTACH) score MIME_PNG_ONLY 3.00 describe MIME_PNG_ONLY Image body part (png, inline) but no text body parts
Diese Regel besagt, dass drei Punkte vergeben werden, wenn ein Mail keinen Text enthält und nur aus einem einzigen PNG besteht und zwar inline.
Das trifft auf die momentan kursierenden Spammails mit Bilderspam fast immer zu. Da die Regel etwas spezieller ist, sinkt die Gefahr eines false positives.
Eigene Spamassassin Regeln, die global gelten sollen, werden übrigens mit der Endung .cf in /etc/mail/spamassassin/ abgelegt.
Falls die Spammer auf das „Content-Disposition: inline;“ verzichten, geht auch:
header __CTYPE_MULTIPART_MXD Content-Type =~ /multipart\/mixed/i mimeheader __ANY_TEXT_ATTACH Content-Type =~ /text\/\w+/i meta MIME_PNG_ONLY (__CTYPE_MULTIPART_MXD && __PNG_ATTACH_1 && !__ANY_TEXT_ATTACH) score MIME_PNG_ONLY 3.00 describe MIME_PNG_ONLY Image body part (1 png) but no text body parts
Diese Regel vergibt dreiPunkte für Mails, die aus genau einem PNG (ohne jeglichen Text) bestehen, egal ob das Bild inline ist, oder nicht.
Views: 1