Filtrando Spam encodeado en base64 con postfix

/etc/postfix/regexp.body

/trabajo-cl.com/ REJECT Spam

basura en el mail hoy:

http://www.super-mail-marketing.info/normail.php?t=2293&correo=fherrera@forexchile.cl,forms@santamail.cl

Decidí no aceptar ningun mail conteniendo el string santamail.cl. por lo general la regla es elegir strings largos que sean propios de la cadena de spam en este caso se puede utilizar “http://www.super-mail-marketing.info”, ya que sacaremos parte del string (3 carácteres) para crear 3 distintas reglas de block.

Se necesita realizar el procedimiento 3 veces, borrando un caracter a la vez del comienzo del string, en consola tenemos:

me [ ~ ]# echo -n "http://www.super-mail-marketing.info" | base64
aHR0cDovL3d3dy5zdXBlci1tYWlsLW1hcmtldGluZy5pbmZv
me [ ~ ]# echo -n "ttp://www.super-mail-marketing.info" | base64
dHRwOi8vd3d3LnN1cGVyLW1haWwtbWFya2V0aW5nLmluZm8=
me [ ~ ]# echo -n "tp://www.super-mail-marketing.info" | base64
dHA6Ly93d3cuc3VwZXItbWFpbC1tYXJrZXRpbmcuaW5mbw==

Ahora se deben recortar todos los “=” al final de cada encoded string, ya que 3 caracteres son encodeados en 4 simbolos. El primer caracter contribuye al símbolo 1 y 2 , el segundo al 2 y 3, y así sucesivamente, el caracter “=” significa que el string no fue múltiplo de 3. Si el string encodeado no posee = se puede utilizar tal como está, luego de remover todo los “=” debemos remover el último caracter del final (adicional), con esto debemos recordar que estamos cortando hasta dos carácters de la expresión regular desde ambos extremos, por lo que finalmente blockearemos todo lo que contenga “tp://www.super-mail-marketing.in”.

Recordemos que Base64 pueden tener “+” y “/”, por lo que hay que escaparlos con un .

<pre lang="bash">(aHR0cDovL3d3dy5zdXBlci1tYWlsLW1hcmtldGluZy5pbmZv|dHRwOi8vd3d3LnN1cGVyLW1haWwtbWFya2V0aW5nLmluZm|dHA6Ly93d3cuc3VwZXItbWFpbC1tYXJrZXRpbmcuaW5mb)</pre>
<pre lang="bash">## santamail.cl/(aHR0cDovL3d3dy5zdXBlci1tYWlsLW1hcmtldGluZy5pbmZv|dHRwOi8vd3d3LnN1cGVyLW1haWwtbWFya2V0aW5nLmluZm|dHA6Ly93d3cuc3VwZXItbWFpbC1tYXJrZXRpbmcuaW5mb)/i REJECT Error

Filed under Blog · Tagged with

closed