2007년 7월 초에 외국에서는 연하장(Greeting Card) 스팸이 새로 출현하여 사용자들을 괴롭히고 있습니다. 이 스팸은 단순한 스팸이 아니라 본문에 있는 링크를 클릭하는 순간 악성 코드를 포함하는 웹사이트에 접속하여 해당 파일을 내려 받아 사용자 PC에 감염되는 무시무시한 스팸입니다.
이 스팸에 대한 자료는 한 블로그에 게재되어 있어 이의 링크로 대신합니다.
http://newvirus.tistory.com/152
아래 그림은 Greeting Card 스팸 중 하나 입니다. 본문을 보면 링크 값이 있는 것을 볼 수 있습니다.
중요한 점은 이 스팸을 메라크 메일서버에서 어떠한 방법을 써서 차단할 수 있느냐라고 할 수 있습니다. 스팸의 메시지를 한번 분석해 봅니다.
1. 제목 - 다양한 제목을 사용하므로 필터링이 어렵습니다.
2. 본문 - 일상적인 영어가 많이 사용되므로 필터링이 어렵습니다.
3. 크기 - 보통 2K 정도를 차지합니다.
4. 보낸사람 - 특정한 도메인이 사용됩니다. 필터링이 가능합니다.
5. 본문 링크 - 링크 주소가 도메인(영어)가 아니라 숫자로 되어 있습니다.
이러한 특징을 바탕으로 다음과 같은 조건을 정하였습니다.
1. 보낸사람을 검사
2. 크기는 5K 미만
3. 본문에 숫자로 된 도메인 주소(ex. http://65.27.36.170)가 있는지 검사
이 세가지 경우를 만족할 경우에는 스팸으로 처리하도록 합니다.
현재까지 알려진 보낸사람의 도메인은 다음과 같습니다.
필터는 별도의 파일로 제공되며 간단히 설명해 드립니다.
1. 보낸 사람은 위의 목록을 C:\Program Files\Merak\spam\filters\Greeting_card-from.txt 텍스트 파일로 저장합니다. 다른 위치에 저장하려면 필터에서 수정합니다.
2. 두번째 조건은 정규 표현식(Regular Expression)으로 http://숫자.숫자.숫자.숫자 를 찾아 내는 것입니다.
아래는 XML 코드입니다. 텍스트 파일로 저장하여 컨텐트 필터에서 가져오기하면 필터를 쉽게 사용할 수 있습니다.
감사합니다.
PS: 이 필터는 메라크 메일서버 8.91 버전을 기준으로 작성하였습니다. 하위 버전 사용자는 반드시 필터가 제대로 동작하는지 검토하시기 바랍니다.
끝.
이 스팸에 대한 자료는 한 블로그에 게재되어 있어 이의 링크로 대신합니다.
http://newvirus.tistory.com/152
아래 그림은 Greeting Card 스팸 중 하나 입니다. 본문을 보면 링크 값이 있는 것을 볼 수 있습니다.
중요한 점은 이 스팸을 메라크 메일서버에서 어떠한 방법을 써서 차단할 수 있느냐라고 할 수 있습니다. 스팸의 메시지를 한번 분석해 봅니다.
1. 제목 - 다양한 제목을 사용하므로 필터링이 어렵습니다.
2. 본문 - 일상적인 영어가 많이 사용되므로 필터링이 어렵습니다.
3. 크기 - 보통 2K 정도를 차지합니다.
4. 보낸사람 - 특정한 도메인이 사용됩니다. 필터링이 가능합니다.
5. 본문 링크 - 링크 주소가 도메인(영어)가 아니라 숫자로 되어 있습니다.
이러한 특징을 바탕으로 다음과 같은 조건을 정하였습니다.
1. 보낸사람을 검사
2. 크기는 5K 미만
3. 본문에 숫자로 된 도메인 주소(ex. http://65.27.36.170)가 있는지 검사
이 세가지 경우를 만족할 경우에는 스팸으로 처리하도록 합니다.
현재까지 알려진 보낸사람의 도메인은 다음과 같습니다.
netfuncards.com
greeting-cards.com
e-cards.com
funnypostcard.com
freewebcards.com
hallmark.com
postcards.com
mypostcards.com
dgreetings.com
postcard.com
123greetings.com
all-yours.net
greetingcard.org
egreetings.com
vintagepostcards.com
all-yours.net
greet2k.com
postcards.org
riversongs.com
bluemountain.com
2000greetings.com
greeting-cards.com
e-cards.com
funnypostcard.com
freewebcards.com
hallmark.com
postcards.com
mypostcards.com
dgreetings.com
postcard.com
123greetings.com
all-yours.net
greetingcard.org
egreetings.com
vintagepostcards.com
all-yours.net
greet2k.com
postcards.org
riversongs.com
bluemountain.com
2000greetings.com
필터는 별도의 파일로 제공되며 간단히 설명해 드립니다.
1. 보낸 사람은 위의 목록을 C:\Program Files\Merak\spam\filters\Greeting_card-from.txt 텍스트 파일로 저장합니다. 다른 위치에 저장하려면 필터에서 수정합니다.
2. 두번째 조건은 정규 표현식(Regular Expression)으로 http://숫자.숫자.숫자.숫자 를 찾아 내는 것입니다.
아래는 XML 코드입니다. 텍스트 파일로 저장하여 컨텐트 필터에서 가져오기하면 필터를 쉽게 사용할 수 있습니다.
<CONTENTFILTER><FILTER><ACTIVE>1</ACTIVE>
<TITLE>[스팸처리] Greeting card </TITLE>
<READONLY>0</READONLY>
<CONDITION><AND>1</AND>
<LOGICALNOT>0</LOGICALNOT>
<CONTAINTYPE>12</CONTAINTYPE>
<CONTAIN>c:\Program Files\Merak\Spam\filters\Greeting_card-from.txt</CONTAIN>
<MESSAGESIZESMALLER>0</MESSAGESIZESMALLER>
</CONDITION>
<CONDITION><AND>1</AND>
<LOGICALNOT>0</LOGICALNOT>
<HEADERTYPE>6</HEADERTYPE>
<CONTAINTYPE>10</CONTAINTYPE>
<CONTAIN>\bhttp://\b\b(?:[0-9]{1,3}\.){3}[0-9]{1,3}\b</CONTAIN>
<MESSAGESIZESMALLER>0</MESSAGESIZESMALLER>
</CONDITION>
<CONDITION><AND>1</AND>
<LOGICALNOT>0</LOGICALNOT>
<EXPRESSION>2</EXPRESSION>
<CONTAINTYPE>8</CONTAINTYPE>
<MESSAGESIZESMALLER>1</MESSAGESIZESMALLER>
<MESSAGESIZE>5120</MESSAGESIZE>
</CONDITION>
<ACCEPT>0</ACCEPT>
<REJECT>0</REJECT>
<DELETE>0</DELETE>
<ENCRYPT>0</ENCRYPT>
<PRIORITY>0</PRIORITY>
<SCORE>0</SCORE>
<MARKSPAM>1</MARKSPAM>
<STOP>1</STOP>
<EXECUTE>0</EXECUTE>
<TARPITSENDER>0</TARPITSENDER>
<FIXRFC822>0</FIXRFC822>
<SMTPRESPONSE>0</SMTPRESPONSE>
<STRIPALL>0</STRIPALL>
</FILTER>
</CONTENTFILTER>
<TITLE>[스팸처리] Greeting card </TITLE>
<READONLY>0</READONLY>
<CONDITION><AND>1</AND>
<LOGICALNOT>0</LOGICALNOT>
<CONTAINTYPE>12</CONTAINTYPE>
<CONTAIN>c:\Program Files\Merak\Spam\filters\Greeting_card-from.txt</CONTAIN>
<MESSAGESIZESMALLER>0</MESSAGESIZESMALLER>
</CONDITION>
<CONDITION><AND>1</AND>
<LOGICALNOT>0</LOGICALNOT>
<HEADERTYPE>6</HEADERTYPE>
<CONTAINTYPE>10</CONTAINTYPE>
<CONTAIN>\bhttp://\b\b(?:[0-9]{1,3}\.){3}[0-9]{1,3}\b</CONTAIN>
<MESSAGESIZESMALLER>0</MESSAGESIZESMALLER>
</CONDITION>
<CONDITION><AND>1</AND>
<LOGICALNOT>0</LOGICALNOT>
<EXPRESSION>2</EXPRESSION>
<CONTAINTYPE>8</CONTAINTYPE>
<MESSAGESIZESMALLER>1</MESSAGESIZESMALLER>
<MESSAGESIZE>5120</MESSAGESIZE>
</CONDITION>
<ACCEPT>0</ACCEPT>
<REJECT>0</REJECT>
<DELETE>0</DELETE>
<ENCRYPT>0</ENCRYPT>
<PRIORITY>0</PRIORITY>
<SCORE>0</SCORE>
<MARKSPAM>1</MARKSPAM>
<STOP>1</STOP>
<EXECUTE>0</EXECUTE>
<TARPITSENDER>0</TARPITSENDER>
<FIXRFC822>0</FIXRFC822>
<SMTPRESPONSE>0</SMTPRESPONSE>
<STRIPALL>0</STRIPALL>
</FILTER>
</CONTENTFILTER>
감사합니다.
PS: 이 필터는 메라크 메일서버 8.91 버전을 기준으로 작성하였습니다. 하위 버전 사용자는 반드시 필터가 제대로 동작하는지 검토하시기 바랍니다.
끝.