Akhir-akhir ini saya sering sekali mendapatkan email spam yang berasal dari Shallbetter Industries (a.k.a SBNS) (websitenya mati?), sebuah perusahaan perusahaan investasi pertambangan yang berasal dari Mongolia. Isi spamnya rata-rata adalah ajakan untuk membeli saham mereka. Masalahnya spam ini menggunakan embedded image seperti yang diterangkan dalam RFC2557 lihat pada bagian 9.5 Example using CID URL and Content-ID header to an embedded GIF picture. Pada dasarnya email ini seperti email HTML biasa tapi dengan memanfaatkan RFC tersebut diatas, pengirim menggunakan TAG HTML (IMG SRC) yang diencode dengan base64. Contohnya adalah seperti ini:
cid:[email protected]
Kalau ditampilkan akan menjadi seperti gambar seperti ini:
Setelah beberapa mendapatkan sampel email spam, dan melihat source dari email tersebut bahwa ada pola tertentu yang bisa dimasukkan sebagai body_checks di Postfix dengan menggunakan PCRE. Rulenya adalah sebagai berikut (didapatkan dari mailing list [email protected]):
/\bsrc\s*=(?:3D)?\s*"?cid:/ REJECT Sorry, emails with embedded images are blocked for security reasons
Setelah dua hari dipasang… :
grep images /var/log/mail.info | wc -l
12
Lumayan lah untuk mengurangi spam :-)
saya kemarin pernah mengalami hal yang sama.
ada juga yang isinya cialis atawa viagra..
tapi kalo rule-nya kayak gitu, semua embedded image yang kayak gini kehapus dunk..
mungkin perlu ngecek isinya juga kali ya.. kan anti-spam dah bisa ngenali content juga..
salam kenal :)
#2 Ini cara yang kasar mas Abi, cara benernya menggunakan plugin OCR di Spamassassin :-). Monggo:
http://wiki.apache.org/spamassassin/FuzzyOcrPlugin