Добрый день. Я заметил, что во всех этих письмах видимый URL не равен реальному. Т.е. что-то типа "<a href="http://site.com/wp.php?qwerty>" http://site.com/wp2.php?asdfgy</a>"
Добавил правило в SpamAssassin, но оно не совсем корректное. И срабатывает на подписи в письмах у некоторых "товарисчей", у кого в подписи указан url, например, "<a href="http://company.com>http://company.com.ua" (т.е. com и com.ua) Поэтому доверять нельзя этому правилу. Или правило по слову "интим" с разных кодировках. /\xc9\xce\xd4\xc9\xcd|\xe8\xed\xf2\xe8\xec|\xd0\xb8\xd0\xbd\xd1\x82\xd0\xb8\ xd0\xbc/ # с(е|э)кс - WIN header SEKS Subject=~ /\xf1(\xe5|\xfd)\xea\xf1/ # порно body BODY_PORNO /(\xd0\xcf\xd2\xce\xcf)|(\xef\xee\xf0\xed\xee)|(\xd0\xbf\xd0\xbe\xd1\x80\xd0 \xbd\xd0\xbe)/ From: exim-users-boun...@mailground.net [mailto:exim-users-boun...@mailground.net] On Behalf Of Sergey Shumakher Sent: Wednesday, October 23, 2013 10:31 AM To: Exim MTA на русском Subject: Re: [Exim-users] Спам через поломанные wp и joomla Мне каждый день новые приходят. знакомимся для сексаъ девченки без комплексов гтовы для тебя на все, сэкс знакомства секс, трах , знакомства тысяча девченок ждут от тебя секса твой досуг должен быть на сэкс знакомствах и тд. 23 октября 2013 г., 13:00 пользователь <burzu...@ukr.net> написал: Добрый день. Я шаблоны для отсеивания по вот этим фразам делал. > только совершенно летние могут познакомиться на сайте По сути напоминает обновления для антивирусов - сигнатуры того, что ловим. Мороки немало, но, насколько могу судить - работало. Вариантов на каждое такое "приглашение" несколько, но их не сильно часто меняют. Недель через пару регулярных рассылок, когда большинство вариантов уже будут прописаны в фильтре, поток подобного спама заметно спадает. Я просил пользователей пересылать мне образцы спама с заголовками, потом вручную уже разбирался с каждым. Попутно обнаруживаются новые варианты старого спама. Главное - регулярность процесса, а то опять начнет пролазить. С другой стороны, это единственное, за что можно гарантированно зацепиться. З.Ы. Из той же оперы, для спама про семинары - это номера их телефонов. Правда, надо учитывать то, что часто вместо цифр они часто используют схожие по написанию буквы, как кириллические, так и латинские. Но, фильтры, с учетом всех возможных вариантов, получаются не сильно сложные. --- Исходное сообщение --- От кого: "Sergey Shumakher" <sergey.shumak...@gmail.com> Дата: 23 октября 2013, 06:49:21 > Вот пример. ... > > В последнее время одолел спам секс сайтов. ... -- Suxx, Bugz & Plug'n'Pray. _______________________________________________ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users _______________________________________________ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users