请问大家是如何反图片垃圾邮件的？

abel

原帖由 思一克 于 2007-3-13 10:16 发表
TO ABEL，

我说的TOTAL 95%，而图片本身比95%还高。

你老用笨蛋，白吃，X， 这些词干什么？ 无论说谁也没有意义呀

因為只因為我只要搞一個 好的 Server 他們就癈了,不是笨蛋嗎 ?
你以為只有你懂 smtp 的技術呀 ? 我最近一週內收到 160 個 image spam
其中 143 個被檔下來了,而有 17 個 pass 過去了,這些被檔下來的因素只是因為非圖片的因素,
pass 過去的是因為沒有使用 cid , 17 個 passwd 過去的 ehlo 是標準的, IP 有反解,沒有在 RBL 裏
mail/rcpt 也都是對的,也對應了 Header 中的 From/To .... , 這 17 個還有 12 個有 SPF record,
你在那裏牛什麼 ? 這些東西你檔得下來 ? 一直講一堆叫人試,我試了 163 結果是笨蛋結果,對沒有圖片的
BIG5 Spam 還不是照樣 pass 過去

把你吹的產品拿來試看看呀,我從好的 Server  給你 1000 封 Spam 看看你能做到多少,再來吹吧
我說過了, 95% 只是一堆笨蛋 Spamer 的集合,對我這種人你能做到 70% 我看你就該偷笑了

vyouzhi

原帖由 abel 于 2007-3-13 09:21 发表


以上,我們知道這是 QP 作法,那也可以有 base64 做法,也就是所有的
Content-Transfer-Encoding: quoted-printable

都換成
Content-Transfer-Encoding: base64

那 cid 就至少會有四種變化出現,這個在實 ...

to abel 大哥

你忘了一件事，你研究的都是垃圾邮件的，你可能没有研究过正常邮件
如果正常邮件中都是html镶入图片的，那么cid又是如何变化的呢？
这个你应该没研究过吧,就好像我自己的规则一条，我把html的邮件中包含有 iframe 标签
的邮件都打很高的分,因为正常邮件中出现iframe的标签实在太小了，所以客户中邮件用到
java做的，就现在来说实在太小了吧，或者以后会.
而且你说的cid可以变成不同的编码，这个在SA中可以解开

http://spamassassin.apache.org/tests_3_0_x.html

rawbody 这个就可以解开base64的编码了

思一克

ABEL，

你连基本的SPAM原理都没有搞懂。

一个好的SERVER正常情况下会发垃圾吗？如果你不断发垃圾，好的SERVER也就变成了坏的，对方不阻挡你的FROM甚至IP地址？ 还会让你继续“实验”？

一个在公司的正常人会用自己的油箱不断发图片1000封？你公司不开除了你？

sohu.com都有此功能。如果可户机器有病毒了，不断发，人家给你整个服务器BLOCK了。你还实验什么？

还有频率控制。允许你这样实验？





”你吹的產品拿來試看看呀,我從好的 Server  給你 1000 封 Spam 看看你能做到多少,再來吹吧
我說過了, 95% 只是一堆笨蛋 Spamer 的集合,對我這種人你能做到 70% 我看你就該偷笑了 “

vyouzhi

to 思一克 大哥
好的server也会发垃圾邮件
当然如果这台server是只对自己公司的比较好管理
如果是提供mail服务的
这个就难说了

思一克

youzhi，

我是说通常情况不会。2种情况会
1）专门做的发广告的SERVER。----------- 对反垃圾系统简单。一封了之
2）正常的SERVER被CLIENT端闹病毒了，发很多。------ 速率控制对付，然后封FROM，封IP
3）免费注册在大的服务商上发广告。封FROM。继续注册，继续封
4）除此之外，就是故意恶意实验了/ 几乎不可能

一个好的SERVER管理员要对用户有发件数量限制的。不能无穷发。比如100个/天，因人而变

high222003

我公司的邮箱每天都有垃圾邮件，能不能在自己的电脑上装个反垃圾邮件的软件？推荐一下

vyouzhi

刚才我把我的服务判断为垃圾邮件的11246封邮件
进行了统计
其中包含有cid的邮件为4057封
而cid中把正常邮件判断为垃圾邮件的为3封
没有判断出来的
现在我无法统计

yulc

这个贴子热闹，留个名。
谈到反垃圾邮件，我记得在www.verycd.com的某个网页底部有这样的话：

xxx@xxx.com  (注：此mail地址在此守株待兔，发往此信箱的地址将全部列入黑名单)

虽然是被动的，但当时还是被震惊了一下，好办法呀！哈哈

abel

原帖由 vyouzhi 于 2007-3-13 10:39 发表




to abel 大哥

你忘了一件事，你研究的都是垃圾邮件的，你可能没有研究过正常邮件
如果正常邮件中都是html镶入图片的，那么cid又是如何变化的呢？
这个你应该没研究过吧,就好像我自己的规则一条，我把 ...

1. 我認為正常的 html 含圖片郵件根本就不太會出現 cid: 這種東西
2. 你認為正常的郵件就是真正的 spamer 要做的事,他就是要讓你覺得正常,這也是常見的手法
3. SA rawbody 這些我了解,但是如果加上 multi-part ,html 的變化或換行控制,那就不一定了,而且一些
s/mime 的技巧也可以 break 這個東西,那是因為你前面說不用 SA 只用一般的 pattern 所以我才講
multi-part 的東西
Example:
在 SA 中加入

1. 
   
2. rawbody IMG_CID         /img.*cid/i
   
3. describe IMG_CID        image src use cid
   
4. score IMG_CID           100.0
   
5. # "CRITICAL INVESTOR ALERT!" image spam - added dynamic image size
   
6. rawbody __IMG_CID1      /img /i
   
7. rawbody __IMG_CID2      /src.*cid/i
   
8. meta LOCAL_CRIT_INVEST_IMG (__IMG_CID1 && __IMG_CID2)
   
9. score LOCAL_CRIT_INVEST_IMG 100.0
   
10. describe LOCAL_CRIT_INVEST_IMG BODY: Contains image cid pattern
    
11. full IMG_CID3           /img.*cid/i
    
12. describe IMG_CID3       image src use cid
    
13. score IMG_CID3          100.0
    
14. 
    
15. body IMG_CID4           /img.*cid/i
    
16. describe IMG_CID4       image src use cid
    
17. score IMG_CID4          100.0
    
18. 
    

复制代码

Spam Pattern:

1. 
   
2. -----=_NextPart_001_0011_01C7641A.6A5BD900
   
3. Content-Type: text/html;
   
4.         charset="windows-1250"
   
5. Content-Transfer-Encoding: quoted-printable
   
6. 
   
7. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
   
8. <HTML><HEAD>
   
9. <META http-equiv=3DContent-Type content=3D"text/html; charset=3Dwindows-125=
   
10. 0">
    
11. <META content=3D"MSHTML 6.00.2900.1106" name=3DGENERATOR>
    
12. <STYLE></STYLE>
    
13. </HEAD>
    
14. <BODY bgColor=3D#ffffff>
    
15. <DIV><FONT FACE=3D"Arial, Verdana" size=3D2>Hullo, Peter, she replied faint=
    
16. ly, squeezing herself as small as blew open as of old, and Peter dropped on=
    
17. the floor. think of anything to say, she simply bowed, and took the thimbl=
    
18. e, dotage, knowing neither the crime imputed her, nor its punishment;</FONT=
    
19. ></DIV>
    
20. <DIV><FONT size=3D2><IMG alt=3D"" hspace=3D0 src=3D"=43=
    
21. =
    
22. =
    
23. =
    
24. =49
    
25. =
    
26. =44:0013=
    
27. 01c7641a$6a5bd9=
    
28. 00$086a7544@nolo" align=3Dbaseline border=3D0></FONT></DIV>
    
29. <DIV><FONT FACE=3D"Arial, Verdana" size=3D2>By this time she had found her =
    
30. way into a tidy little room with antipathy of her brother; the similarity o=
    
31. f their dispositions made with an inherent brightness; the greater stars we=
    
32. re burning in their began to cry again, for she felt very lonely and low-sp=
    
33. irited.</FONT></DIV>
    
34. 
    

复制代码

which one matchs the rules ?
結果是沒有

Report:

1. 
   
2. pts rule name              description
   
3. ---- ---------------------- --------------------------------------------------
   
4. 1.1 EXTRA_MPART_TYPE       Header has extraneous Content-type:...type= entry
   
5. -2.6 BAYES_00               BODY: Bayesian spam probability is 0 to 1%
   
6.                             [score: 0.0071]
   
7. 0.0 HTML_MESSAGE           BODY: HTML included in message
   
8. 1.9 DNS_FROM_RFC_BOGUSMX   RBL: Envelope sender in bogusmx.rfc-ignorant.org
   
9. 5.0 RCVD_IN_T1_RBL         RBL: this IP listed by t1.dnsbl.net.au
   
10.                             [190.44.109.134 listed in t1.dnsbl.net.au]
    
11. 3.9 RCVD_IN_XBL            RBL: Received via a relay in Spamhaus XBL
    
12.                             [190.44.109.134 listed in sbl-xbl.spamhaus.org]
    
13. 
    

复制代码

後兩個是我自己加上去的 RBL, 所以這個例子才能被檔下來,其他的什麼 smtp check (這也不過是思兄或
163 的做法而以)它都通過了才來到SA 的部份,如果照一般的 預設的 SA,就算加了 cid 那段也檔不下來
這封 spam 還有 SPF 記錄呢 ! (這個壇子誰有建 SPF 呀,我看不超過個位數),連 263 都沒有,這也算專業?

1. 
   
2. orbweb.net "v=spf1 ip4:38.113.1.0/24 ip4:38.113.20.0/24 ip4:65.254.224.0/19 ?all"
   

复制代码

4. js/css 的 spam 控制方法以後一定會出現,因為這個可以有效對抗常用的 pattern match 手段, 用程式
來控制肯定讓你連 match 的機會都沒有

abel

原帖由 思一克 于 2007-3-13 11:01 发表
ABEL，

你连基本的SPAM原理都没有搞懂。

一个好的SERVER正常情况下会发垃圾吗？如果你不断发垃圾，好的SERVER也就变成了坏的，对方不阻挡你的FROM甚至IP地址？ 还会让你继续“实验”？

一个在公司的正常 ...

我看你跟本不懂得什麼叫跟著時代走! 現在大卡的 spam vendor 多是走 zombie 路線,你封的了呀 ?
spamer 搞一堆 zombie  computer 搞什 smtp 認為的 好的 Server 有什麼困難呀!
誰在和你用自己公司的發,你以為現在那些 image spam 不照 smtp 走呀 ? 他都照了,講半天你還看不到重點呀
好的 不是就是我現在用的,而是一個照著 RFC 及慣用習慣的 smtp server , Spam tools 要搞成這樣都
巳經有現成工具,還跟你慢慢搞一個 MTA ? 得了吧

你的邏輯和 vyouzhi  有什麼差別 ? 你是封黑的,他是開白的, 原則上並沒有什麼不同
今天你還做 rate control, 花了一年後你總算從這一篇解脫了
http://bbs.chinaunix.net/viewthr ... 3Ddigest&page=2
早四年前 sendmail 早就實現了!

在我來看,你的做法極其原始呀,不照 smtp 來走封了這沒有什麼困難,那家 antispam 沒做 ? 我個人都做了這
有什麼了不起? 黑名單白名單更無可言,誰不是這樣,內容不檢查才是 163 最大的敗筆,你的 ST-MAPS 也沒有
檢查內容,碰到好的僵屍大軍不也是照單全收
6 年前我就做得到 99%,各種控制措施都做得很好,那個年代還沒有 SA 呢! 內容對我更不是問題
因為我的作法就和 SA 差不多!