Eine weitere Regel, die auf den momentan kursierenden Bilderspam (wieder die blauen Pillchen) zutrifft.
Das kann z.B. als Datei susp_jpg.cf im selben Ordner wie local.cf abgelegt werden.
# Contains jpeg 230-440 (high) x 230-440 (wide)...
body __DC_JPEG_230_440
eval:image_size_range
('jpeg',
230,
230,
440,
440)
mimeheader __INLINE_ATT Content-Disposition =~ /inline;/
meta SUSP_JPG
(RDNS_DYNAMIC && __JPEG_ATTACH_1 && __DC_JPEG_230_440 && __INLINE_ATT
)
describe SUSP_JPG Contains supect sized single jpeg and comes from dynamic ip
score SUSP_JPG
2.2
Die Rule trifft zu, wenn
1) die Email von einer dynamischen IP stammt
2) ein einzelnes JPEG angehängt ist
3) das Bild in den Dimensionen zwischen 230 und 440 Pixel (Breite und/oder Höhe) liegt
4) der Anhang inline ist
RDNS_DYNAMIC und __JPEG_ATTACH_1 werden nicht hier definiert, sondern kommen schon mit Spamassassin mit.
Für so ein verdächtiges JPEG gibt es dann 2,2 Punkte dazu.
Eine etwas speziellere Variante:
# Contains jpeg 230-400 (high) x 230-400 (wide)
body __DC_JPEG_230_400
eval:image_size_range
('jpeg',
230,
230,
400,
400)
mimeheader __INLINE_ATT Content-Disposition =~ /inline;/
meta SUSP_JPG
((RDNS_DYNAMIC || RDNS_NONE || RCVD_IN_PBL
) && __JPEG_ATTACH_1 && __DC_JPEG_230_400 && __INLINE_ATT && !HTML_MESSAGE
)
describe SUSP_JPG Contains supect sized single jpeg, comes from fishy ip, is not HTML
score SUSP_JPG
2.5