SpamAssassin GB_CUSTOM_HTM_URI
Bonsoir, Je cherche à comprendre le flag GB_CUSTOM_HTM_URI que SpamAssassin met à 1.5 sur un mail que je reçois. Y a une doc qqpart de ce flag ? Merci David
effectivement c est nouveau et pas du tout documenté. seule source : le code : https://github.com/search?q=repo%3Aapache%2Fspamassassin+GB_CUSTOM_HTM_URI&t... je laisserai les spécialistes des regexp comprendre le truc. a premiere vue ca a été ajouté en meme temps que d autres regles pour détecter les scams bitcoin/crypto On Fri, Jul 19, 2024 at 8:35 PM David Ponzone <david.ponzone@gmail.com> wrote:
Bonsoir,
Je cherche à comprendre le flag GB_CUSTOM_HTM_URI que SpamAssassin met à 1.5 sur un mail que je reçois.
Y a une doc qqpart de ce flag ?
Merci
David
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
voir aussi https://github.com/search?q=repo%3Aapache%2Fspamassassin+GB_TO_ADDR&type=cod... header __GB_TO_ADDR To:addr =~ /(?<GB_TO_ADDR>.*)/ uri GB_STORAGE_GOOGLE_EMAIL m|^https?://storage\.cloud\.google\.com/.{4,128}\#%{GB_TO_ADDR}|i describe GB_STORAGE_GOOGLE_EMAIL Google storage cloud abuse score GB_STORAGE_GOOGLE_EMAIL 2.000 # limit On Fri, Jul 19, 2024 at 8:49 PM neo futur <frsag@ww7.be> wrote:
effectivement c est nouveau et pas du tout documenté. seule source : le code : https://github.com/search?q=repo%3Aapache%2Fspamassassin+GB_CUSTOM_HTM_URI&t...
je laisserai les spécialistes des regexp comprendre le truc.
a premiere vue ca a été ajouté en meme temps que d autres regles pour détecter les scams bitcoin/crypto
On Fri, Jul 19, 2024 at 8:35 PM David Ponzone <david.ponzone@gmail.com> wrote:
Bonsoir,
Je cherche à comprendre le flag GB_CUSTOM_HTM_URI que SpamAssassin met à 1.5 sur un mail que je reçois.
Y a une doc qqpart de ce flag ?
Merci
David
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Merci! Dans la pratique, j’ai l’impression qu’il est positionné avec 1.5 comme valeur si le mail contient du français et de l’anglais (ou peut-être de l’anglais et une autre langue). David
Le 19 juil. 2024 à 20:49, neo futur <frsag@ww7.be> a écrit :
effectivement c est nouveau et pas du tout documenté. seule source : le code : https://github.com/search?q=repo%3Aapache%2Fspamassassin+GB_CUSTOM_HTM_URI&t...
je laisserai les spécialistes des regexp comprendre le truc.
a premiere vue ca a été ajouté en meme temps que d autres regles pour détecter les scams bitcoin/crypto
On Fri, Jul 19, 2024 at 8:35 PM David Ponzone <david.ponzone@gmail.com> wrote:
Bonsoir,
Je cherche à comprendre le flag GB_CUSTOM_HTM_URI que SpamAssassin met à 1.5 sur un mail que je reçois.
Y a une doc qqpart de ce flag ?
Merci
David
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Le Fri, Jul 19, 2024 at 08:33:51PM +0200, David Ponzone a écrit:
Bonsoir,
Je cherche à comprendre le flag GB_CUSTOM_HTM_URI que SpamAssassin met à 1.5 sur un mail que je reçois.
Y a une doc qqpart de ce flag ?
Use the source, Luke ^W David. $ svn checkout https://svn.apache.org/repos/asf/spamassassin/trunk spamassassin-trunk $ grep -r CUSTOM.HTM.UR * (...) rulesrc/sandbox/gbechis/20_misc.cf: uri __GB_CUSTOM_HTM_URI0 m;^https?://.{10,128}(?:\.html?|\.php|\/)?(?:\#|\?&e=)%{GB_TO_ADDR};i rulesrc/sandbox/gbechis/20_misc.cf: uri __GB_CUSTOM_HTM_URI1 m|^https?://.{10,64}\=https?://.{4,64}\#%{GB_TO_ADDR}|i rulesrc/sandbox/gbechis/20_misc.cf: uri __GB_CUSTOM_HTM_URI2 m;^https?://.{10,256}(?:\/\?)?(?:(?<!blocker)email=|audit\#|wapp\#)%{GB_TO_ADDR};i Et rulesrc/sandbox/gbechis/20_misc.cf: header __GB_TO_ADDR To:addr =~ /(?<GB_TO_ADDR>.*)/ Donc en gros, si je comprends bien, ça matche si ya le mail du To: directement dans une URL. Arnaud.
Le 19 juil. 2024 à 20:50, Arnaud Launay via FRsAG <frsag@frsag.org> a écrit :
Le Fri, Jul 19, 2024 at 08:33:51PM +0200, David Ponzone a écrit:
Bonsoir,
Je cherche à comprendre le flag GB_CUSTOM_HTM_URI que SpamAssassin met à 1.5 sur un mail que je reçois.
Y a une doc qqpart de ce flag ?
Use the source, Luke ^W David.
Flemme :)
$ svn checkout https://svn.apache.org/repos/asf/spamassassin/trunk spamassassin-trunk $ grep -r CUSTOM.HTM.UR * (...) rulesrc/sandbox/gbechis/20_misc.cf: uri __GB_CUSTOM_HTM_URI0 m;^https?://.{10,128}(?:\.html?|\.php|\/)?(?:\#|\?&e=)%{GB_TO_ADDR};i rulesrc/sandbox/gbechis/20_misc.cf: uri __GB_CUSTOM_HTM_URI1 m|^https?://.{10,64}\=https?://.{4,64}\#%{GB_TO_ADDR}|i rulesrc/sandbox/gbechis/20_misc.cf: uri __GB_CUSTOM_HTM_URI2 m;^https?://.{10,256}(?:\/\?)?(?:(?<!blocker)email=|audit\#|wapp\#)%{GB_TO_ADDR};i
Et rulesrc/sandbox/gbechis/20_misc.cf: header __GB_TO_ADDR To:addr =~ /(?<GB_TO_ADDR>.*)/
Donc en gros, si je comprends bien, ça matche si ya le mail du To: directement dans une URL.
C’est pourtant assez courant pour un lien unsubscribe non ? David
Le Fri, Jul 19, 2024 at 08:54:57PM +0200, David Ponzone a écrit:
rulesrc/sandbox/gbechis/20_misc.cf: uri __GB_CUSTOM_HTM_URI0 m;^https?://.{10,128}(?:\.html?|\.php|\/)?(?:\#|\?&e=)%{GB_TO_ADDR};i rulesrc/sandbox/gbechis/20_misc.cf: uri __GB_CUSTOM_HTM_URI1 m|^https?://.{10,64}\=https?://.{4,64}\#%{GB_TO_ADDR}|i rulesrc/sandbox/gbechis/20_misc.cf: uri __GB_CUSTOM_HTM_URI2 m;^https?://.{10,256}(?:\/\?)?(?:(?<!blocker)email=|audit\#|wapp\#)%{GB_TO_ADDR};i Donc en gros, si je comprends bien, ça matche si ya le mail du To: directement dans une URL. C’est pourtant assez courant pour un lien unsubscribe non ?
Hmmm. C'est peut-être aussi comme ça que peuvent faire des spammers pour valider leur base de mails... Tu ouvres leur mail, ça lance un pixel vide de tracking qui leur dit "hey, tel mail, il marche, wouhouh !", et ils ne se cassent pas la tête comme les liens unsubscribe que je peux voir sur des mails standards avec un uid ou autre paramètre qui va matcher le compte dans la base de l'expéditeur. Après ya rien qui t'empêche de le désactiver dans le local.cf de ton SA. score GB_CUSTOM_HTM_URI 0 Et si ce sont des mails que tu envoies et qui sont bloqués, je te conseille une table de correspondance uid <-> mail :) Arnaud.
Le vendredi 19 juillet 2024 22:07:37, Arnaud Launay via FRsAG <frsag@frsag.org> a écrit:
Donc en gros, si je comprends bien, ça matche si ya le mail du To: directement dans une URL.
Hmmm. C'est peut-re aussi comme ça que peuvent faire des spammers pour valider leur base de mails..
C'est surtout couramment utilisé par les scammers pour pré-remplir des champs de formulaire dans les spams de fishing... A+ Jacques. -- Le dernier Homme connecté sur le Net regardait d'anciens sites Web. "Vous avez du courrier" apparut sur l'écran... --------------------------- adapté d'une courte histoire de Fredric Brown
C’est pas faux. Et bien figurez-vous que le numéro 1 français (je pense) du mass mailing propre ne sait pas gérer un uid dans l’unsubscribe… David
Le 19 juil. 2024 à 22:07, Arnaud Launay via FRsAG <frsag@frsag.org> a écrit :
Le Fri, Jul 19, 2024 at 08:54:57PM +0200, David Ponzone a écrit:
rulesrc/sandbox/gbechis/20_misc.cf: uri __GB_CUSTOM_HTM_URI0 m;^https?://.{10,128}(?:\.html?|\.php|\/)?(?:\#|\?&e=)%{GB_TO_ADDR};i rulesrc/sandbox/gbechis/20_misc.cf: uri __GB_CUSTOM_HTM_URI1 m|^https?://.{10,64}\=https?://.{4,64}\#%{GB_TO_ADDR}|i rulesrc/sandbox/gbechis/20_misc.cf: uri __GB_CUSTOM_HTM_URI2 m;^https?://.{10,256}(?:\/\?)?(?:(?<!blocker)email=|audit\#|wapp\#)%{GB_TO_ADDR};i Donc en gros, si je comprends bien, ça matche si ya le mail du To: directement dans une URL. C’est pourtant assez courant pour un lien unsubscribe non ?
Hmmm. C'est peut-être aussi comme ça que peuvent faire des spammers pour valider leur base de mails... Tu ouvres leur mail, ça lance un pixel vide de tracking qui leur dit "hey, tel mail, il marche, wouhouh !", et ils ne se cassent pas la tête comme les liens unsubscribe que je peux voir sur des mails standards avec un uid ou autre paramètre qui va matcher le compte dans la base de l'expéditeur.
Après ya rien qui t'empêche de le désactiver dans le local.cf de ton SA.
score GB_CUSTOM_HTM_URI 0
Et si ce sont des mails que tu envoies et qui sont bloqués, je te conseille une table de correspondance uid <-> mail :)
Arnaud. _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
participants (4)
-
Arnaud Launay -
David Ponzone -
Jacques Belin -
neo futur