spamassassin

Trojanメール対策

投稿日:2019年4月16日 更新日:

 鉄壁の防御をしているつもりでも、やっぱりウイルスメールはやってきます。

送られてくるウイルスはいつも最新です。

商用のウイルスソフトでもすべてトラップできないでしょう。
ましてフリーのウイルスソフトでリアルタイムに検出することはほぼ不可能です。

わたしはClam AntiVirusを使っていますが、朝届いたウイルス用のパターンファイルがアップデートされるのは夕方なんです。

ゲートウェイでのウイルス検索は、ほとんど無意味なので、ClamAVの適用は、もっぱらメールボックスのスキャンになっています。

結局ゲートウェイでのウイルス対策もSpamAssassinに任せるしかないんですね。

今回のウイルスは、Trojanです。zipなどでアーカイブされたjavaScriptが添付されてくるんです。

今回もゲートウェイのClamAVはスルーでした。

ほぼ同時に2通のTrojan添付メールが届きました。

1つめのメールはSPFdns逆引きともにクリア。
2つめはSPFがありませんでしたが、dns逆引きはクリアしています。

うちではスコア5.0以上でスパム扱い

この2つはそれぞれ
score=1.9
score=2.5
でした。

マッチしたルールはこんな感じでした。

X-Spam-Status: No, score=2.5 required=5.0 tests=
BAYES_00,
HTML_MESSAGE,
PYZOR_CHECK,
RCVD_HELO_IP_MISMATCH,
RCVD_IN_DNSWL_NONE,
SPF_SOFTFAIL

X-Spam-Status: No, score=1.9 required=5.0 tests=
BAYES_00,
HTML_MESSAGE,
PYZOR_CHECK,
RCVD_HELO_IP_MISMATCH,
RCVD_IN_DNSWL_NONE,
SPF_HELO_PASS,
SPF_PASS

今回の対処は、初歩的なのですが

「zipやrarなどのアーカイブファイルが添付されていたら、スコア3.5をプラスする」

です。

どうして3.5かというと、届いたウイルスメールのスコアが低い方で、スパム判定になるようにしたいからです。

1.9+3.5=5.4

でスパムに判定されるというわけです。

当該メールのヘッダに以下の行が含まれていました。添付ファイルについてのファイル名やエンコードの方法ですね。

1通目

Content-Type: application/x-zip-compressed; name="doc2.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="doc2.zip"

2通目

Content-Type: application/octet-stream; name="newdoocument.rar"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="newdoocument.rar"

マルチパートメッセージの各パートのMIMEヘッダに対するパターン検索をしたいので、SpamAssassinのMIMEHeaderプラグインを使います。
MIMEHeaderプラグインが読み込まれているか確認してみます。

find /etc/spamassassin/ -type f -print | xargs grep 'MIMEHeader'
/etc/spamassassin/v310.pre:# MIMEHeader - apply regexp rules against MIME headers in the message
/etc/spamassassin/v310.pre:loadplugin Mail::SpamAssassin::Plugin::MIMEHeader

ありました。

ルールを作ります。

①mimeヘッダのContent-Type:に、zipまたはrar(大文字小文字を区別しない)があるか?
②mimeヘッダのContent-Disposition:に、zipまたはrar(大文字小文字を区別しない)があるか?
このどちらかがヒットすればスコア3.5を加算する。

mimeheader __ZIP_ATTACHED_CT Content-Type =~ /zip|rar/i
mimeheader __ZIP_ATTACHED_CD Content-Disposition =~ /zip|rar/i

meta     ZIP_ATTACHED_1     __ZIP_ATTACHED_CT || __ZIP_ATTACHED_CD
score    ZIP_ATTACHED_1     3.5
describe ZIP_ATTACHED_1     Attached zip or rar files

こんな感じです。

zip添付のメールを受信して、設定が有効になっているか確認してみます。

受信メールのヘッダに次の行が確認できました

X-Spam-Status: No, score=3.3 required=5.0 tests=DKIM_SIGNED,DKIM_VALID,
     DKIM_VALID_AU,DKIM_VALID_EF,SPF_PASS,URIBL_BLOCKED,ZIP_ATTACHED_1

ZIP_ATTACHED_1にマッチしていることが確認できました。

このルールでTrojanメールがトラップできるかしばらく様子を見てみます。

ちなみに、次の日このTrojanウイルスについては免疫ができたようで、ClamAVでトラップできるようになっていました。

ちょっとレベルが高くていまのところ手が出ませんが、以下のようなプラグインもあるようです。
アーカイブを解凍して中身を調べてくれます。
zipのみ対応のようです。

Mail::SpamAssassin::Plugin::AttachmentPresent

このサイトについて


検索

このサイトについて


検索

-spamassassin

執筆者:

  1. PYZOR_CHECKを無効にする – SQUIRRELMAIL_JP より:
    2019年4月19日 5:07 PM

    […] Trojanメール対策 その1 […]

    返信

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

詐欺メールをブロックする(amazon)

Amazonを騙るメールの件名には、次のようなものがありました。 🔴 Amazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認 Amazonアカウントが閉鎖しようと …

SpamAssassinのルールをひとまとめにする

またも誤判定が発生しました。 メールヘッダのレポートは、次のとおりです。 Content analysis details: (6.0 points, 5.0 required) pts rule n …

alias転送されるメールをブロックする

aliasで転送されてくる、 スパムや犯罪被害につながるメールをブロックするレシピです。 以前役員を努めていた団体宛のメールが転送されてくるのです。 現在、その転送は必要なくなったのですが、設定変更が …

詐欺メールをブロックする(LINE)

Apple、Amazon、楽天についで多いのが、LINEのフィッシング詐欺メールです。 これらのメールの特徴は、 送信者のアドレスが正規のものと同じ DKIMチェックpass SPFチェックpass …

SpamAssassinの設定ファイル読込み順序

電子メールで送りつけられるウイルスはいつも新種か新亜種です。 既存のウイルススキャナは、新種のウイルスが見つかってから、そのワクチンを作ります。 わたしたちは配布されたワクチンでウイルスを駆除するわけ …

PREV
SquirrelMailがDebianから消えた
NEXT
BODY_SINGLE_WORD with SpamAssassin