az smtp-n mit lehet tenni reszhez par gondolat, amit egy ~1000-es mintan lattam (kossz elod):
- a malware donto resze botnetek felol jon, amelyek ptr-je egyreszt arulkodo (pl. c-98-196-146-108.hsd1.tx.comcast.net, host176-14-static.13-188-b.business.telecomitalia.it), masreszt nem konzisztens a ptr -> a, a -> ptr feloldas. Az 1000 level eseten 5 volt olyan, amikor nem ilyen gepek felol jott a cucc, azaz egy jo policy demonnal / check_client_access szabalyokkal (postfix terminologia) 99,5% ilyen leveltol meg lehet szabadulni - mar smtp szinten.
- az alabbi 6 db subject-re illeszkedo (regex) mintaval kiszurheto a malware 75%-a:
(Payment|Invoice) (Copy|Incoices|Receipt)
Overdue (Incoices)
Document (1).pdf
Document2
Delivery Confirmation Receipt
FW:$
Hirtelen felindulasbol eszembe jutott az is, hogy mi lenne, ha a mail szerverek - amolyan razor/cloudmark jelleggel - egy kozponti db-bol ellenoriznek*, hogy az adott melleklet sha256 sum-jat hanyszor lattak mar [a mail szerverek]? Nem tudom, mennyire valtozik ugyanaz a melleklet, de ketlem, hogy pl. a Document2.zip minden cimzettnel egyedi lenne.
*: ha valaki nem akar a 4567. lenni a 'Kisvallalkozas irodai kiszolgaloja debian alapokon' c. szakdolgozatot beadok nepes taboraban, akkor ez egy nagyon jo tema, foleg ha meg melle is tesz egy PoC kodot kliens ill. szerver oldalon :-)
--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)