[Postfixbuch-users] Telekom rechnungen und so

Fr Nov 14 12:23:24 CET 2014

Hi Uwe,

Am 2014-11-14 13:02, schrieb Uwe Drießen:

> Hat jemand schon ein paar Regeln für die im Moment von gehackten 
> Mailkonten
> verschickten Telekom, vodafon, voba Phishings?
> [...]
> Ich schreib mich hier nen wolf aber irgendwie ändern die so schnell 
> Ihre
> Texte und Konten das weder body noch header checks wirklich dauerhaft
> greifen würden.
> 

Das ist leider das Problem bei Blacklist-Loesungen... man haengt immer 
hinterher.

Hier ein paar PCRE-Header checks die ich bei uns definiert haben, die z. 
Zt.
zumindest im Minutentakt anschlagen:

/^Subject: Ihre Telekom Mobilfunk RechnungOnline Monat November 2014 Nr. 
\d{14}/                        DISCARD ZBot Trojan campaign subject 
detected
/^Subject: RechnungOnline Monat November 2014 \(Buchungskonto: \d{10}\)/ 
                                DISCARD ZBot Trojan campaign subject 
detected
/^Subject: \w+, Nr:\d{11} - \d+\. November 2014 \d+:\d+:\d+/             
                        DISCARD ZBot Trojan campaign subject detected
/^Subject: Rechnung \d+\.\d+\.2014 \(\d{6}\)/                            
                        DISCARD ZBot Trojan campaign subject detected
/^Subject: Ihre Mobilfunk-Rechnung vom \d+\.\d+\.2014 im Anhang als PDF/ 
                        DISCARD ZBot Trojan campaign subject detected
/^Subject: ADP Past Due Invoice#\d+/                                     
                        DISCARD Trojan campaign subject detected
/^Subject: Ihre Festnetz-Rechnung f.+r November 2014/                    
                        DISCARD ZBot Trojan campaign subject detected
/^Subject: \w+ - \d+ : \d+:\d+:\d+/                                      
                        DISCARD ZBot Trojan campaign subject detected

Winni