Shallbetter Industries Spam
Akhir-akhir ini saya sering sekali mendapatkan email spam yang berasal dari Shallbetter Industries (a.k.a SBNS) (websitenya mati?), sebuah perusahaan perusahaan investasi pertambangan yang berasal dari Mongolia. Isi spamnya rata-rata adalah ajakan untuk membeli saham mereka. Masalahnya spam ini menggunakan embedded image seperti yang diterangkan dalam RFC2557 lihat pada bagian 9.5 Example using CID URL and Content-ID header to an embedded GIF picture. Pada dasarnya email ini seperti email HTML biasa tapi dengan memanfaatkan RFC tersebut diatas, pengirim menggunakan TAG HTML (IMG SRC) yang diencode dengan base64. Contohnya adalah seperti ini:
cid:000d01c6ff20$a1411070$c49c7e52@eneryxS1
Kalau ditampilkan akan menjadi seperti gambar seperti ini:
Setelah beberapa mendapatkan sampel email spam, dan melihat source dari email tersebut bahwa ada pola tertentu yang bisa dimasukkan sebagai body_checks di Postfix dengan menggunakan PCRE. Rulenya adalah sebagai berikut (didapatkan dari mailing list postfix-users@postfix.org):
/\bsrc\s*=(?:3D)?\s*"?cid:/ REJECT Sorry, emails with embedded images are blocked for security reasons
Setelah dua hari dipasang… :
grep images /var/log/mail.info | wc -l 12
Lumayan lah untuk mengurangi spam :-)
Random Posts:
← Wietse terima penghargaan dari Sendmail Khonsa Khoirunnisa →
on 2 January 2007 11:01:23 WIB
Mozilla Firefox 1.5.0.9 on 
Windows XP
Ubuntu Linux
3 Comments