Score:1

body_checks: จะกรองเนื้อหาที่เข้ารหัส base64 ได้อย่างไร

ธง cn

คำตอบสำนวนน่าจะเป็น "อย่า - ใช้ตัวกรองที่ถอดรหัสข้อความก่อน"แต่ก็อย่างที่เห็นได้ในคำตอบที่สองสำหรับคำถามนั้นนั่นเอง ควร เป็นไปได้ด้วย body_checks ซึ่งเป็นสิ่งที่ BUILTIN_FILTER_README @ postfix.org พูดว่า - และนั่นคือสิ่งที่ฉันต้องการจะทำ

นี่คือสิ่งที่รบกวนฉันมาระยะหนึ่งแล้ว:

--===============6489786132958404869==
ประเภทเนื้อหา: ข้อความ/ธรรมดา; ชุดอักขระ = "utf-8"
การเข้ารหัสการถ่ายโอนเนื้อหา: base64

SmFnIGhhciByZWRhbiBza3Jpdml0IHRpbGwgZGlnLCBtZW4gZHUgc3ZhcmFyIG1pZyBpbnRlLiBM
w6V0IG1pZyB2ZXRhLCBqYWcgaGFyIG7DpWdyYSBzYWtlciBhdHQgYmVyw6R0dGEuIEtvbnRha3Rh
IG1pZyBpIG1pbiBwcml2YXRhIGUtcG9zdDogaXJlbmUub3NiZXJnNzNAZ21haWwuY29tCg==

--================6489786132958404869==--

สำหรับสิ่งนี้ ฉันได้เพิ่ม body_checks กฎ:

/SmFnIGhhciByZWRhbiBza3Jpdml0IHRpbGwgZGlnLCBtZW4gZHUgc3ZhcmFyIG1pZyBpbnRl/ ปฏิเสธสแปม

แต่มันจะไม่จับมันเมื่อมันอยู่ในบล็อก มันจับได้ หนึ่ง พยายามส่งเมื่อสตริงเดียวกันถูกฝังอยู่ใน ร่างกาย: <div dir="ltr"><pre class="gmail-moz-quote-pre"><pre>SmFnIHZpbGwgcHJhdGEgbWVkIGRpZywgbWVuIGRldCBmaW5ucyBmw7ZyIG3DpW5nYSBtZWRkZWxh</pre> แต่นั่นเป็นครั้งเดียวที่กฎจับสิ่งนี้ได้สำเร็จ ฉันได้เพิ่มสิ่งเหล่านี้ค่อนข้างน้อย ฐาน 64 กฎที่เข้ารหัส แต่ไม่มีสิ่งใดจับได้เมื่อฝังเหมือนด้านบน

เดอะ ฐาน 64 การเข้ารหัสในกรณีนี้จะเหมือนกันทุกประการ ดังนั้นฉันจึงไม่ต้องทำ ฐาน 64 สามเท่าเพื่อจับตัวแปรซึ่งฉันได้ทำไปแล้วสำหรับกรณีอื่น:

/aHR0cHM6Ly9jbGNrLnJ1|dHRwczovL2NsY2sucnUv|dHBzOi8vY2xjay5y/ ปฏิเสธ โปรดลบลิงก์ไปยัง clck.ru

ด้านบนไม่ได้ตรวจจับอะไรเลยเมื่อฝังอยู่ในบล็อกเหมือนด้านบน

ฉันได้ลองเพิ่มไฟล์ main.cf การตั้งค่า

ปิดการใช้งาน_mime_input_processing = ใช่

ซึ่งดูเหมือนจะมีอะไรดีขึ้น ตอนนี้จับได้บางส่วน แต่ไม่ใช่ทั้งหมดที่ฉันสามารถตรวจสอบด้วยตนเองได้ ควร จับข้อความที่หลุดผ่านรอยแตก

มีความคิดว่าเหตุใดจึงไม่ทำงานและฉันจะทำอย่างไรกับมัน ฉันกำลังใช้ 3.6.4-1.fc35.

Ted Lyngmo avatar
cn flag
@anx อันที่จริงแล้ว (หรือไม่ - ฉันเพิ่งลบออก) มันมี `DUNNO` สองสามตัวกระจายออกไปซึ่งฉันจำไม่ได้ว่าใส่ไปทำไม ตอนนี้ฉันได้ลบออกแล้วและจะดูว่าสร้างความแตกต่างได้หรือไม่
Ted Lyngmo avatar
cn flag
@anx ตั้งแต่ฉันลบ `DUNNO`s ออกไป ก็ไม่มีความพยายามใดเลยที่จะส่งอีเมลใดๆ ที่ผ่านตัวกรอง `body_checks` ของฉันไปก่อนหน้านี้ - แต่ฉันก็ยังรู้สึกดีกับมันการโจมตีแบบส่งของมักจะระเบิดสองสามครั้งต่อวัน ดังนั้นฉันจึงมั่นใจว่าฉันจะสามารถยืนยันลางสังหรณ์ของคุณได้ก่อนที่ค่าหัวของฉันจะหมดลง หากคุณต้องการเขียนคำตอบสำหรับคำถามของฉัน
Score:1
ธง fr
anx

มี คุณลักษณะในตัวสำหรับการวินิจฉัยการค้นหาแผนที่ postfixเฉพาะสำหรับ body_checks เช่นกัน. ส่งการกำหนดค่าแผนที่เดียวกันกับที่คุณกำหนดค่าสำหรับบริการล้าง smtpd ของคุณไปยัง แผนที่ไปรษณีย์ ยูทิลิตี้และเพิ่มหนึ่งรายการขึ้นไป -v สำหรับเอาต์พุตโดยละเอียด:

# postconf body_checks
body_checks=pcre:/etc/postfix/body.pcre
# แมวknown_bad.eml | postmap -v -b -q - pcre:/etc/postfix/body.pcre
...
postmap: dict_pcre_lookup: body.pcre: แนวข้อสอบ 1
postmap: dict_pcre_lookup: body.pcre: แนวข้อสอบ 2
postmap: dict_pcre_lookup: body.pcre: แนวข้อสอบ 3
แนวข้อสอบ 3 DUNNO

ข้อมูลนี้จะบอกคุณสำหรับแต่ละเส้นของร่างกาย ซึ่ง (ถ้ามี) รายการในแผนที่ของคุณตรงกับเส้นของคุณ

เหตุผลหนึ่งที่เป็นไปได้ที่แผนที่ของคุณอาจไม่ทำงานตามที่คุณคาดไว้คือการจับคู่แบบกว้างเกินไป ดันโน ผลลัพธ์ก่อนหน้าที่คุณตั้งใจไว้ ปฏิเสธสแปม ผล, สั่งการให้ ทำความสะอาด เซิร์ฟเวอร์เพื่อดำเนินการต่อในบรรทัดถัดไป แทนที่จะพยายามนิพจน์เพิ่มเติม

Score:0
ธง ru

ครั้งหนึ่งเคยติดกับดักเดิม บล็อกอีเมลทั้งหมดที่ขึ้นต้นด้วย "<!DOCTYPE html" :)

หากเป็นเนื้อหาไดนามิก คุณจะพบบางสิ่งในภายหลังในอีเมลได้ยาก แต่ถ้าเป็นเนื้อหาคงที่ การทดสอบการถอดรหัสของข้อความดังกล่าวหนึ่งข้อความและการเข้ารหัสส่วนสำคัญอีกครั้งอาจช่วยในการค้นหาสตริงที่ตรงกันที่ดี ศัตรูหลักของคุณเมื่อทำเช่นนั้นคือตัวแบ่งบรรทัด ซึ่งอาจเกิดขึ้นได้ทุกที่ขึ้นอยู่กับตำแหน่งของข้อความที่ตรงกัน

ฉันมักจะจับคู่ base64 ในส่วนหัวเท่านั้น (หัวเรื่องส่วนใหญ่ ส่วนหัว UTF-8 มักจะเข้ารหัสหัวเรื่องในฐาน 64) เนื่องจากการแยกส่วนหัวในหลายบรรทัดค่อนข้างผิดปกติ (แต่ก็ยังเป็นไปได้)

คุณอาจพบความช่วยเหลือที่ดีกว่าในโปรแกรมอรรถประโยชน์ภายนอก เช่น amavis หรือ dspam (ซึ่งทั้งสองใช้ spamassassin) โดยเปิด Bayes นั่นจะช่วยในส่วนของการถอดรหัสด้วยเนื่องจากตัวถอดรหัสถูกสร้างขึ้นในผลิตภัณฑ์เหล่านี้

Ted Lyngmo avatar
cn flag
ขอบคุณ! โปรดทราบว่า ไม่ใช่ว่า regex ของฉันไม่ตรงกับเนื้อหาในเนื้อหาข้อความ หากฉันคัดลอกแหล่งที่มาของข้อความซึ่งเล็ดรอดไปยังไฟล์และเรียกใช้ regex:es `body_checks` ด้วยตนเอง พวกเขาจะตรวจจับได้ทุกครั้ง ฉันอัปเดตคำถามเล็กน้อย

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา