« « Wietse terima penghargaan dari Sendmail | Khonsa Khoirunnisa » »

Nov

11

Shallbetter Industries Spam

Written by Asfihani on 2006.11.11 03:28:17 WIT
578 views | ComSci, Postfix | RSS | Trackback |



Akhir-akhir ini saya sering sekali mendapatkan email spam yang berasal dari Shallbetter Industries (a.k.a SBNS) (websitenya mati?), sebuah perusahaan perusahaan investasi pertambangan yang berasal dari Mongolia. Isi spamnya rata-rata adalah ajakan untuk membeli saham mereka. Masalahnya spam ini menggunakan embedded image seperti yang diterangkan dalam RFC2557 lihat pada bagian 9.5 Example using CID URL and Content-ID header to an embedded GIF picture. Pada dasarnya email ini seperti email HTML biasa tapi dengan memanfaatkan RFC tersebut diatas, pengirim menggunakan TAG HTML (IMG SRC) yang diencode dengan base64. Contohnya adalah seperti ini:

cid:000d01c6ff20$a1411070$c49c7e52@eneryxS1

Kalau ditampilkan akan menjadi seperti gambar seperti ini:

sbns1.gif

Setelah beberapa mendapatkan sampel email spam, dan melihat source dari email tersebut bahwa ada pola tertentu yang bisa dimasukkan sebagai body_checks di Postfix dengan menggunakan PCRE. Rulenya adalah sebagai berikut (didapatkan dari mailing list postfix-users@postfix.org):

/\bsrc\s*=(?:3D)?\s*"?cidThinkingREJECT Sorry, emails with embedded images are blocked for security reasons

Setelah dua hari dipasang… :

grep images /var/log/mail.info | wc -l
12

Lumayan lah untuk mengurangi spam Smile

Wassalamu’alaikum Wr Wb

Link Summary

Share/Save/Bookmark


Tags: ,


« « Wietse terima penghargaan dari Sendmail | Khonsa Khoirunnisa » »




Comments

3 Comments so far
1deRegen January 2, 2007 11:53:23 WIT
Posted (probably) from Indonesia
Using Firefox Firefox 1.5.0.9 on Windows Windows XP

saya kemarin pernah mengalami hal yang sama.

2qyut February 1, 2007 23:58:09 WIT
Posted (probably) from Indonesia
Using Firefox Firefox 1.5.0.9 on Windows Windows XP

ada juga yang isinya cialis atawa viagra..

tapi kalo rule-nya kayak gitu, semua embedded image yang kayak gini kehapus dunk..
mungkin perlu ngecek isinya juga kali ya.. kan anti-spam dah bisa ngenali content juga..

salam kenal Smile

3Asfihani February 2, 2007 10:56:35 WIT
Posted (probably) from Indonesia
Using Firefox Firefox 2.0.0.11 on Ubuntu Linux Ubuntu Linux

#2 Ini cara yang kasar mas Abi, cara benernya menggunakan plugin OCR di Spamassassin Smile. Monggo:

http://wiki.apache.org/spamassassin/FuzzyOcrPlugin

If you would like to make a comment, please fill out the form below.

Name (required)

Email (required)

Website

Comments







    • © Copyright Asfihani, see website credits. Theme designed by Speckyboy.