body_checks: Как фильтровать содержимое, закодированное в base64?

Идиоматический ответ, вероятно, «не надо — используйте фильтр, который сначала декодирует сообщение», но, как видно из второго ответа на этот вопрос, должен также возможно с body_checks что также является BUILTIN_FILTER_README @ postfix.org говорит - и это то, что я хотел бы сделать.

Вот один, который беспокоил меня в течение довольно долгого времени:

--===============6489786132958404869==
Content-Type: текстовый/обычный; кодировка = "utf-8"
Контент-передача-кодирование: base64

SmFnIGhhciByZWRhbiBza3Jpdml0IHRpbGwgZGlnLCBtZW4gZHUgc3ZhcmFyIG1pZyBpbnRlLiBM
w6V0IG1pZyB2ZXRhLCBqYWcgaGFyIG7DpWdyYSBzYWtlciBhdHQgYmVyw6R0dGEuIEtvbnRha3Rh
IG1pZyBpIG1pbiBwcml2YXRhIGUtcG9zdDogaXJlbmUub3NiZXJnNzNAZ21haWwuY29tCg==

--===============6489786132958404869==--

Для этого я добавил body_checks правило:

/SmFnIGhhciByZWRhbiBza3Jpdml0IHRpbGwgZGlnLCBtZW4gZHUgc3ZhcmFyIG1pZyBpbnRl/ ОТКЛОНИТЬ СПАМ

но он просто не поймает его, когда он находится в таком блоке. Он поймал один попытка доставки, когда та же строка была встроена в HTML тело: <div dir="ltr"><pre class="gmail-moz-quote-pre"><pre>SmFnIHZpbGwgcHJhdGEgbWVkIGRpZywgbWVuIGRldCBmaW5ucyBmw7ZyIG3DpW5nYSBtZWRkZWxh</pre> но это единственный раз, когда правило успешно поймало это. Я добавил довольно много из них base64 закодированные правила, но ни один из них ничего не улавливает при внедрении, как указано выше.

base64 кодировка в данном конкретном случае всегда одинакова, поэтому мне не нужно делать base64 тройной, чтобы поймать варианты, которые я сделал для других случаев:

/aHR0cHM6Ly9jbGNrLnJ1|dHRwczovL2NsY2sucnUv|dHBzOi8vY2xjay5y/ REJECT Пожалуйста, удалите ссылку на clck.ru

Вышеупомянутое ничего не улавливает при внедрении в блок, как указано выше.

Я попытался добавить постфикс main.cf параметр

disable_mime_input_processing = да

который, кажется, улучшил ситуацию. Сейчас он ловит некоторые из них, но не все, что я могу проверить вручную. должен поймать сообщения, которые проскальзывают сквозь трещины.

Любая идея, почему это не работает и что я могу с этим поделать? я использую постфикс 3.6.4-1.fc35.

Существует встроенная функция для диагностики поиска карт postfix, специально для body_checks также. Передайте ту же конфигурацию карты, которую вы настроили для службы очистки smtpd, в почтовая карта утилиту и добавить один или несколько -v для подробного вывода:

# postconf body_checks
body_checks=pcre:/etc/postfix/body.pcre
# cat known_bad.eml | postmap -v -b -q - pcre:/etc/postfix/body.pcre
...
postmap: dict_pcre_lookup: body.pcre: тестовая строка 1
postmap: dict_pcre_lookup: body.pcre: тестовая строка 2
postmap: dict_pcre_lookup: body.pcre: тестовая строка 3
тестовая строка 3 НЕ ЗНАЮ

Это скажет вам для каждой строки тела, какая (если есть) запись на вашей карте соответствует вашей строке.

Одной из возможных причин, по которой ваша карта может вести себя не так, как вы ожидаете, может быть слишком широкое соответствие с НЕ ЗНАЮ результат, предшествующий вашему предполагаемому ОТКЛОНИТЬ спам результат, поручив уборка сервер, чтобы перейти к следующей строке вместо того, чтобы пробовать дальнейшие выражения.

Однажды попал в ту же ловушку, заблокировав все электронные письма, начинающиеся с "<!DOCTYPE html" :)

Если это динамический контент, вам будет сложно найти что-то позже в электронном письме, но если оно статично, тестовое декодирование одного такого сообщения и повторное кодирование важных частей могут помочь найти подходящую строку соответствия. Ваши главные противники при этом — разрывы строк, которые могут возникать где угодно, в зависимости от положения соответствующего текста.

Обычно я выполняю сопоставление base64 только в заголовках (в основном темы, заголовки UTF-8, как правило, кодируют свои темы в base64), поскольку разделение заголовка на несколько строк довольно необычно (но все же возможно).

Вы можете найти лучшую помощь во внешних утилитах, таких как amavis или dspam (оба используют spamassassin) с включенным байесом. Это также помогло бы с декодированием, поскольку декодеры встроены в эти продукты.