Da die Guten emsig darum bemüht sind, den Spam fernzuhalten, lassen sich die Leute auf der dunklen Seite natürlich auch was Neues einfallen. Bilderspam wurde teilweise so abgewandelt, dass mit Texterkennung (OCR) nicht mehr viel läuft.
Hier also zwei neue Anti-Bilderspam-Rules für Spamassassin.
full IS_VIAGRA_IMG /Content-[Tt]ransfer-[Ee]ncoding: base64\n\n\/9j\/4AAQSkZJRgABAgAAZABkAAD\/7AARRHVja3kAAQAEAAAAAAAA/
describe IS_VIAGRA_IMG Contains typical base64 string
score IS_VIAGRA_IMG 2.2
Die Methode mag etwas roh erscheinen. Das gesamte Mail wird nach dem für eines der Bilder typischen base64 Text durchsucht. (Davor noch das "Content-transfer-encoding: base64", das T und E entweder groß oder klein geschrieben, mit zwei Zeilenumbrüchen danach.)
Vorsicht, die ersten (16?) Buchstaben besagen einfach nur, dass es ein JPEG ist. Man muss also deutlich mehr zum Suchbegriff dazu nehmen.
Wichtig: Slashes und alle Zeichen, die bei regular expressions eine Bedeutung haben, müssen im base64 Teil für perl escaped werden.
So ein Bild gibt dann 2.2 Punkte.
Ein zweites Beispiel:
full IS_VIAGRA_IMG2 /Content-Disposition: attachment; filename=.*\n\n\/9j\/4AAQSkZJRgABAgAAZABkAAD\/7AARRHVja3kAAQAEAAAAAAAA/
describe IS_VIAGRA_IMG2 Contains typical base64 string
score IS_VIAGRA_IMG2 2.2
Etwas Vorsicht ist geboten. Die Erkennung nur an Hand der ersten bas64-Zeile kann nie 100%-ig sein. Beide Suchbegriffe können sehr wohl auch auf ein anderes Bild zutreffen. Deshalb bei den Scores bloss nicht übertreiben.
Beide Regeln dort einfügen, wo Spamassassin sie findet, z.B. /etc/mail/spamassassin/local.cf (global) oder in die Datei user_prefs (pro user).