Тема № 1612767
12 702
2
1
пришло письмо с адреса tretyakov.s@online.sberbank.ru о выставлении счета. Письмо конечно от спамера: скрытая ссылка на левый ресурс, файлик счета 4к, безличностное сообщение.
При ближайшем рассмотрении отправлено письмо с левого сервера, но собаки, подделали то как хорошо!
Сегодня с этого пришло tretyakov.s@sberbank.ru, попало в спам. Ждал со сбера письмо, но решил пробить по адресу сначала)))
Нашел!) Спасибо за то что тему создали
к сожалению, у них много вариантов начала адреса так что поосторожнее
Да, в поле "От кого" что угодно можно указать. И делается это довольно просто, даже для новичка
Эт точно фикня. Как посмотреть.
На нашем сервере такие письмеца уже не доходят до лопуха-узера.
(чтоб не нажимал всякие кнопки).
а какой фильтр? По отправителю не вариант, так как с разных доменов прилетает. По вложению, тоже нет обычный doc файл
1
Долго рассматривал эти письмишки.
Заметил, что spamassasin метит такую гадость обязательно -
MPART_ALT_DIFF= (несоответствие видимой части письма с скрытой частью)
Например в письме ссылка на "www.sberbank.ru" а в скрытой части
"gad.com/downla/fgdry.ZIP"
Далее задействовал sieve, он отлавливает такую лабуду и ложит админу (мне
любимому) в ящик. Где я и решаю последующую его судьбу .
Попадают иногда и нормальные письма. Но, уж лучше так, чем гадость попадет узеру.
/var/vmail/sieve/dovecot.sieve
require ["fileinto", "vacation", "copy"];
#
#Письма с скрытыми ссылками перенаправляем#
if allof(header :contains "X-Spam-Status" "MPART_ALT_DIFF=5",
not address :is :all "Delivered-To" "spam@mydomen.ru")
{
redirect "spam@mydomen.ru";
}
#
У меня был якобы Ростелеком. Ну и скачала я вирус!
Ага, а потом все фотки и видосы зашифрованы и за разблокировку 10.000 требуют
(Добавлено через 19 секунд)
Забыл - ворды тоже все)
как вариант, но меня поразила степень подделки. Скоро реально сложно будет отличать
Ага) Поэтому вложения в эл. почте очень редко открываю
Да, у меня тоже все документы пропали, столько трудов!
Фотки целы.
вот поэтому многие конторы контролируют вложения в письма и ссылки
и пропускают только письма в тхт формате