またも誤判定が発生しました。
メールヘッダのレポートは、次のとおりです。
Content analysis details: (6.0 points, 5.0 required) pts rule name description ---- ---------------------- -------------------------------------------------- -0.0 SPF_HELO_PASS SPF: HELO matches SPF record -0.0 SPF_PASS SPF: sender matches SPF record 0.0 HTML_MESSAGE BODY: HTML included in message 0.0 URIBL_BLOCKED ADMINISTRATOR NOTICE: The query to URIBL was blocked. See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for more information. [URIs: xxxxxxxxxxxxxx.co.jp] 3.5 XLS_ATTACHED_1 Attached xls or xlsx file 2.5 DOC_ATTACHED_1 Attached doc or docx file
このメールにはEXCELとWORDの文書がそれぞれ複数添付されていました。
SpamAssassinのルールは前回設定したもので、対象部分を抜き出すと、次のようになっています。
# Torohan xls or xlsx file ############################################### START # mimeheader __XLS_ATTACHED_CT Content-Type =~ /\.xls|\.xlsx/i mimeheader __XLS_ATTACHED_CD Content-Disposition =~ /\.xls|\.xlsx/i meta XLS_ATTACHED_1 __XLS_ATTACHED_CT || __XLS_ATTACHED_CD score XLS_ATTACHED_1 3.5 describe XLS_ATTACHED_1 Attached xls or xlsx file # Torohan xls or xlsx file ############################################### END # # Torohan doc or docx file ############################################### START # mimeheader __DOC_ATTACHED_CT Content-Type =~ /\.DOC|\.DOCX|\.MDB|\.PPT/i mimeheader __DOC_ATTACHED_CD Content-Disposition =~ /\.DOC|\.DOCX|\.MDB|\.PPT/i meta DOC_ATTACHED_1 __DOC_ATTACHED_CT || __DOC_ATTACHED_CD score DOC_ATTACHED_1 2.5 describe DOC_ATTACHED_1 Attached doc or docx file # Torohan doc or docx file ############################################### END #
このルールだと、
xlsファイルが添付されていた場合:3.5
docファイルが添付されていた場合:2.5
docとxlsが両方添付されていた場合:3.5+2.5=6.0
わたしのところでは、5.0位上でスパム扱いのため、このメールはスパムに判定されます。
このようにxlsとdocのルールを分けると、それぞれのスコアが合計されるので、そうならないためにはルールを1つにまとめる必要があります。
ところが1つのルールにまとめると、xlsでもdocでも同じスコアになってしまします。
xlsのほうが危険祭が高いのでdocより高いスコアをつけるにはどうすればよいでしょうか?
そこで、次のように設定してみます。
# Torohan microsoft Office files ######################################### START # mimeheader __XLS_ATTACHED_CT Content-Type =~ /\.xls|\.xlsx/i mimeheader __XLS_ATTACHED_CD Content-Disposition =~ /\.xls|\.xlsx/i mimeheader __DOC_ATTACHED_CT Content-Type =~ /\.DOC|\.DOCX|\.MDB|\.PPT/i mimeheader __DOC_ATTACHED_CD Content-Disposition =~ /\.DOC|\.DOCX|\.MDB|\.PPT/i meta MS_FILE_ATTACHED_1 __XLS_ATTACHED_CT || __XLS_ATTACHED_CD || __DOC_ATTACHED_CT || __DOC_ATTACHED_CD score MS_FILE_ATTACHED_1 2.0 describe MS_FILE_ATTACHED_1 Attached microsoft Office files # Torohan microsoft Office files ######################################### END # # Torohan xls or xlsx file ############################################### START # meta XLS_ATTACHED_1 __XLS_ATTACHED_CT || __XLS_ATTACHED_CD score XLS_ATTACHED_1 1.5 describe XLS_ATTACHED_1 Attached xls or xlsx file # Torohan xls or xlsx file ############################################### END # # Torohan doc or docx file ############################################### START # meta DOC_ATTACHED_1 __DOC_ATTACHED_CT || __DOC_ATTACHED_CD score DOC_ATTACHED_1 0.5 describe DOC_ATTACHED_1 Attached doc or docx file # Torohan doc or docx file ############################################### END #
一度MS-Office関係のルールをまとめて2.0のスコアをつけます。その後で別個にEXCELには1.5を、WORDには0.5を加算します。
添付ファイルの種類とトータルのスコアは次のようになります。
xlsファイルまたはdocファイルが添付されていた場合: 2.0なので、
添付ファイルがxlsだけの場合: 2.0+1.5=3.5
添付ファイルがdocだけの場合: 2.0+0.5=2.5
docとxlsが両方添付されていた場合: 2.0+1.5+0.5=4.0
この時点ではスパム判定にはなりません。
何か他に不審な点があればスコア5.0に達して、スパム扱いになります。
これで、今回の誤判定は解消できました。
よく考えてみると、これらの他にも、危険性の高い添付ファイルの種類があります。
pdfファイルもその一つです。
Adobe Acrobatの脆弱性によるものらしいのですが、わたしのところで使っているウイルススキャナClamAVはpdfファイルには厳しくて、古いAcrobatで作られたpdfファイルが添付されてくると駆除してしまいます。
必要なpdfファイルが駆除されて、業務に支障をきたしますので、このへんは少しpdfに寛容な設定をしています。
なのでpdf対応もSpamAssassinで設定しておきます。
pdfも危険性のあるファイルであることを思い出したところで、他にも危険なファイルがあることに気づきます。
シロウト考えで添付ファイルの種類を決めていましたが、少し落ち着いて他にどのようなファイルがあるか考えてみましょう。
ネットを検索してみると、多くの情報が得られます。
信頼できそうな情報がありました。次のサイトを参考にさせてもらいます。
https://blogs.yahoo.co.jp/fireflyframer/33538130.html
これまでに対応していなかったファイルの拡張子は以下のとおりです。
.exe .docm .xlsm .hta .jar .rtf
余談になりますが、次のファイルは、それを開くソフトウエアに脆弱性が無い限り安全と考えて良いようです。
拡張子 .txt … テキスト文書
拡張子 .png .jpg .gif .bmp など … 画像、写真
拡張子 .mp4 .wmv .avi など … 動画
拡張子 .mp3 .wma .wav .mid など … 音楽、音声
今の時点では、以下のルールで様子を見てみます。
SpanAssassinのマニュアルによると、いまのところ複数行にわたるルールには対応していないので、見にくいのですが1行がながくなります。
# Torohan microsoft Office files ######################################### START # mimeheader __XLS_ATTACHED_CT Content-Type =~ /\.xls|\.xlsx|\.xlsm/i mimeheader __XLS_ATTACHED_CD Content-Disposition =~ /\.xls|\.xlsx|\.xlsm/i mimeheader __DOC_ATTACHED_CT Content-Type =~ /\.DOC|\.DOCX|\.DOCM/i mimeheader __DOC_ATTACHED_CD Content-Disposition =~ /\.DOC|\.DOCX|\.DOCM/i mimeheader __PPT_ATTACHED_CT Content-Type =~ /\.PPT|\.PPTX/i mimeheader __PPT_ATTACHED_CD Content-Disposition =~ /\.PPT|\.PPTX/i mimeheader __MDB_ATTACHED_CT Content-Type =~ /\.MDB|\.MDBX/i mimeheader __MDB_ATTACHED_CD Content-Disposition =~ /\.MDB|\.MDBX/i mimeheader __PDF_ATTACHED_CT Content-Type =~ /\.pdf/i mimeheader __PDF_ATTACHED_CD Content-Disposition =~ /\.pdf/i meta MS_FILE_ATTACHED_1 __XLS_ATTACHED_CT || __XLS_ATTACHED_CD || __DOC_ATTACHED_CT || __DOC_ATTACHED_CD || __PPT_ATTACHED_CT || __PPT_ATTACHED_CD || __MDB_ATTACHED_CT || __MDB_ATTACHED_CD || __PDF_ATTACHED_CT || __PDF_ATTACHED_CD score MS_FILE_ATTACHED_1 2.0 describe MS_FILE_ATTACHED_1 Attached microsoft Office files # Torohan microsoft Office files ######################################### END # # Torohan xls or xlsx file ############################################### START # meta XLS_ATTACHED_1 __XLS_ATTACHED_CT || __XLS_ATTACHED_CD score XLS_ATTACHED_1 1.5 describe XLS_ATTACHED_1 Attached xls or xlsx file # Torohan xls or xlsx file ############################################### END # # Torohan doc or docx file ############################################### START # meta DOC_ATTACHED_1 __DOC_ATTACHED_CT || __DOC_ATTACHED_CD || __PPT_ATTACHED_CT || __PPT_ATTACHED_CD || __MDB_ATTACHED_CT || __MDB_ATTACHED_CD || __PDF_ATTACHED_CT || __PDF_ATTACHED_CD score DOC_ATTACHED_1 0.5 describe DOC_ATTACHED_1 Attached doc or docx file # Torohan doc or docx file ############################################### END # # Torohan zip or rar archive ############################################# START # mimeheader __ZIP_ATTACHED_CT Content-Type =~ /\.zip|\.rar|\.lzh|\.cab/i mimeheader __ZIP_ATTACHED_CD Content-Disposition =~ /\.zip|\.rar|\.lzh|\.cab/i meta ZIP_ATTACHED_1 __ZIP_ATTACHED_CT || __ZIP_ATTACHED_CD score ZIP_ATTACHED_1 3.0 describe ZIP_ATTACHED_1 Attached zip or rar files # Torohan zip or rar archive ############################################# END # # Torohan vbe file ######################################################## START # mimeheader __VBE_ATTACHED_CT Content-Type =~ /\.EXE|\.COM|\.BAT|\.CMD|\.PIF|\.SCR|\.VBS|\.HTML|\.VBE|\.WSF|\.WSH|\.hta|\.jar|\.rtf/i mimeheader __VBE_ATTACHED_CD Content-Disposition =~ /\.EXE|\.COM|\.BAT|\.CMD|\.PIF|\.SCR|\.VBS|\.HTML|\.VBE|\.WSF|\.WSH|\.hta|\.jar|\.rtf/i meta VBE_ATTACHED_1 __VBE_ATTACHED_CT || __VBE_ATTACHED_CD score VBE_ATTACHED_1 3.5 describe VBE_ATTACHED_1 Attached vbe file # Torohan vbe file ######################################################## END #
どのようにルールを作るかは、一筋縄ではいきませんね。