Block spam mail pattern "jobbinthai.com" in amavisd spamassasin

golfreeze · June 29, 2012, 4:57pm

พอดีวันนี้ เจอเคสของตัว spam email ที่มี content มากับ “jobbinthai.com”

content ประมาณว่า

######################################
Conditions:

part-time work schedule
time of work is flexible
well-paid salary every 2 weeks
Career Opportunities

For more information about the company and the position please fill in the registration form like this:

Your full name
Your Age
Your address of residence
Your contact phone number
Your e-mail
Attach your CV to this email

After receiving your registration form we will contact you and send you additional information.

Our contact: Hazel@jobbinthai.com

Good luck.
######################################

ในระบบใช้งานเป็น spamassasin + amavisd

เพิ่ม config block content ใน spamassasin ดังนี้ครับ

#cd /usr/local/etc/mail/spamassassin
#vi local.cf

body TEST_BLOCK_BODY7 /jobbinthai.com/i
score TEST_BLOCK_BODY7 400.0

ให้เซตตัว amavisd ทำการ discard spam

#vi /usr/local/etc/amavisd.conf
$final_spam_destiny = D_DISCARD;

ทำการ reload amavisd กับ spamasssasin

#/usr/local/etc/rc.d/sa-spamd restart
#/usr/local/etc/rc.d/amavisd restart

แค่นี้ก็ทำการ block content “jobbinthai.com” ได้แล้วครับผม
ขอบใจสำหรับน้อง Ton@NTT ด้วยครับ สำหรับ config นี้

golfreeze · June 29, 2012, 5:00pm

ลักษณะการ block ก็จะเป็นดังข้างล่างนะครับผม

Jun 29 16:51:43 ECDD434D45A: to=<golfreeze@packetlove.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=5.9, delays=0.52/0/0/5.4, dsn=2.7.0, status=sent (250 2.7.0 Ok, discarded, id=59843-05 - spam)

ICOM · June 29, 2012, 5:06pm

ขอบคุณครับ ไปตั้งกระทู้ถามพอดี เลยต้องลบออก ไม่นึกว่าจะเจอกันกว้างขว้างขนาดนี้

เพิ่มเติมครับ
FreeBSD + DA ไปตั้งตรงไหนครับ /usr/local/etc/mail/spamassassin ไม่มี

360 · June 29, 2012, 5:18pm

ใครใช้ da ใช้ spam filler (ไม่ใช่ spamassassin นะ)

เพิ่มกรอง keywords

[COLOR=#333333]jobbinthai.com

ก็ได้เหมือนกันครับ. ผมใส่ค่ากรองไปตอนเที่ยงตอนนี้ไม่มีเข้ามาแล้ว.

เมื่อคืนเจอไป 20 เมล์ - -"[/COLOR]

ICOM · June 29, 2012, 5:27pm

ผมลองตั้งแต่เช้าแล้วครับ ได้บ้าง หลุดบ้างครับ แล้วก็ต้องมาตั้งที่ละโดเมน
ถ้าทำตามคุณ golfeeze จะมีผลทั้ง server เลย

ThaiTumweb · June 29, 2012, 5:27pm

ดู sender แล้วมันเป็นของเราทั้งนั้นเลยครับ enable spf ก็ช่วยได้ครับ

ICOM · June 29, 2012, 5:36pm

ลองทำก็เจอ /usr/bin/spfquery: Command not found.

ThaiTumweb · June 29, 2012, 5:47pm

ติดตั้งจาก port ก็ได้ครับน่าจะอยู่ที่

/usr/ports/mail/p5-Mail-SPF-Query

แต่ปรกติ directadmin ตอนคอมไพล์ spamassassin มันจะลง Mail:SPF มาให้ด้วยนะครับ

mr.tong · June 29, 2012, 6:21pm

อ่าโดนเหมือนกัน

golfreeze · June 29, 2012, 6:25pm

เหมือน domain : jobbinthai.com

DNS:
ns1.agentrachel.net
ns2.agentrachel.net

Created: 2012-06-28
Expires: 2013-06-28

เพิ่ง registered เมื่อวานเอง ฮ่าๆๆ :87a4e689:

ThaiTumweb · June 29, 2012, 7:04pm

spf เอาไม่อยู่แฮะ มันไม่ได้ใช้ sender เราอะ เลยไปใช้ filter แทนเพราะว่าผมไม่ได้ใช้ amavis

แก้ไฟล์ /etc/system_filter.exim
if $message_body: contains "@jobbinthai.com"
then
fail text "This message has been rejected since it has

the mail is spam."
seen finish
endif

แต่ผมคอมเม้น fail text เอาไว้ไม่ให้ตีกลับ กลัวว่าจะไปเข้าทางมัน

SiamLiveHost.com · June 29, 2012, 7:07pm

ได้รับมาเพียบเลยเหมือนกันฮะ ขยันส่งจริงๆ

แต่ GMail ดีดลง Spam Box ให้หมด

auara · June 29, 2012, 8:46pm

ล่าสุดตอนนี้เจอทั้งหมด 3 Subject

{subj_enlive}
Administrator-financier
Administrator

IP บางส่วนน่าจะมากกว่า 100 class - -"
[COLOR=#000000][FONT=Lucida Grande]201.164.102.39
[/FONT][/COLOR][COLOR=#000000][FONT=Lucida Grande]109.96.26.136
[/FONT][/COLOR][COLOR=#000000][FONT=Lucida Grande]94.202.188.190
[/FONT][/COLOR][COLOR=#000000][FONT=Lucida Grande]76.186.60.125
[/FONT][/COLOR][COLOR=#000000][FONT=Lucida Grande]188.79.73.193
[/FONT][/COLOR][FONT=Lucida Grande, Verdana, sans-serif][COLOR=#000000]76.186.60.125[/COLOR][/FONT]
[COLOR=#000000][FONT=Lucida Grande]188.79.73.193
[/FONT][/COLOR][COLOR=#000000][FONT=Lucida Grande]190.235.20.176
[/FONT][/COLOR][COLOR=#000000][FONT=Lucida Grande]186.222.187.192[/FONT][/COLOR][FONT=Lucida Grande, Verdana, sans-serif][COLOR=#000000]
[/COLOR][/FONT]

alicecolo · June 29, 2012, 9:05pm

โดนเหมือนกัน โทรกันมาโวยนึกว่าโดนแฮก หรือ ติดไวรัสกันหลายเลย
ขอบคุณครับสำหรับวิธี

kke · June 29, 2012, 11:09pm

โดนกันถ้วนหน้า :9bbc76d5:

golfreeze · June 29, 2012, 11:35pm

เพิ่มให้นิดนะครับ บางที่ที่ใช้ antivirus ของ synmactec อาจจะเจอกับ error “Too many error” ใน log ของ MTA

ถ้าใช้เป็น Postfix ก็ปรับเพิ่มค่า smtpd_hard_error_limit ดูนะครับ จากเดิมตั้งไว้ ประมาณ 20 (default)

ลองปรับเพิ่มเป็นขึ้นหน่อย ก็จะแก้ไขปัญหานี้ไปได้ครับผม ค่านี้ขึ้นอยู่กับลักษณะการใช้งานของ user และจำนวน user ในองค์กร นะครับผม

golfreeze · June 29, 2012, 11:37pm

ส่วนใหญ่โดนบล๊อกจาก RBL ของ Spamhaus ครับ
ประมาณ 80% แต่ว่าช่วย block ที่ server ก็ดีเหมือนกัน จะได้ช่วยลด traffic ที่เข้ามาที่ SMTP node

360 · July 2, 2012, 11:31am

ต้องวางคำสั่งไว้ก่อน line

Version history

แล้ว restart exim ด้วยครับ

ส่วนการกรองไม่แน่ใจว่าน่าจะกรองเป็น

if $message_body: contains “jobbinthai.com”

แทนดีกว่าหรือไม่

mean · July 2, 2012, 4:50pm

เอ๋า ผมก็เข้าใจไปว่า Exim ที่เครื่องตัวเอง รั่ว ที่บอกว่า มีเมล์ส่งหาตัวเองอ่ะครับพี่ไก่
มาดูเนื้อหาเมล์ นี่มัน jobbinthai ว๊ากกกก
:63d4808b:

smartnet.co.th · July 2, 2012, 4:52pm

โดนส่งหาตัวเองเหมือนกันหรอ