- 论坛徽章:
- 1
|
原帖由 abel 于 2007-3-12 17:26 发表
這的確不大,我自己也是統計 user 發過的名單自動形成白名單
另回答前面的問題, image spam 不是只有 cid 而以
若以 cid 而論,它可以是 QP
所以可能形成 =43=49=44
也可以是斷行形式
=44=
=49=
=44=
H ...
以上,我們知道這是 QP 作法,那也可以有 base64 做法,也就是所有的
Content-Transfer-Encoding: quoted-printable
都換成
Content-Transfer-Encoding: base64
那 cid 就至少會有四種變化出現,這個在實作上都太容易去避開 cid:
不然就是多重 multi-part , A-part 包 B ,C part, 接 D part (看不懂就是對這些沒有概念),如此也不會出現 cid: 的關鍵字
當然現在問題還沒有到這個程度(是沒有這麼多,但不是完全沒有),但不代表以後不會有,最後的解法肯定會
變成還原這些 multi-part,再來找關鍵字 (仍然不是找圖中的 keyword),但是很可惜的, html 的 URI
也可以有 N 種寫法來表示同一件描述.或以不同的 charset 來變化,再不然就是用 javascript/rss/css 等來
控制 (這個就更牛了), 也可以 embeded 一個外部的 uri ....你們慢慢想吧,不然來個 flash 也不錯!
不然也可以全不要文字,就是一張圖,這個東西很原始,只要來自 好的 (弄一個好的 Server 有什麼難的,spamer 有的都還有 DomainKeys 或是 SPF ,搞得比你還要好, rdns,helo,mail/rcpt 那些檢查對專門的根本就是癈材)的 Server 大概就能 break 你的 rule 了
好了,夠複雜了,但還有更進化形的! 不過 mail 的 multi-part + html 變化 排列組合巳經夠看了
cid 在我來看根本是沒有用的,也只能應付一時而以,但再一陣子就會再變了,那些對 cid: 後的 hex 值做
Scoring 的也沒有用, Spamer 發現他的信被 Block 太多很簡單就可以變形的 |
|