body_checks：如何过滤base64编码的内容？

Question 1

有一个用于诊断后缀映射查找的内置功能，特别是对于body_checks。将您为 smtpd 清理服务配置的相同映射配置传递给实用postmap程序，并添加一个或多个-v以获取详细输出：

# postconf body_checks
body_checks=pcre:/etc/postfix/body.pcre
# cat known_bad.eml | postmap -v -b -q - pcre:/etc/postfix/body.pcre
...
postmap: dict_pcre_lookup: body.pcre: test line 1
postmap: dict_pcre_lookup: body.pcre: test line 2
postmap: dict_pcre_lookup: body.pcre: test line 3
test line 3 DUNNO

这将告诉您，对于每一行身体部位，地图中的哪个条目（如果有）与您的身体部位相匹配。

你的地图可能无法按照你预期的方式运行的一个可能原因是匹配范围太广，DUNNO结果先于你的预期REJECT spam结果，指示清理服务器继续处理下一行，而不是尝试进一步的表达式。

Answer

有一个用于诊断后缀映射查找的内置功能，特别是对于body_checks。将您为 smtpd 清理服务配置的相同映射配置传递给实用postmap程序，并添加一个或多个-v以获取详细输出：

# postconf body_checks
body_checks=pcre:/etc/postfix/body.pcre
# cat known_bad.eml | postmap -v -b -q - pcre:/etc/postfix/body.pcre
...
postmap: dict_pcre_lookup: body.pcre: test line 1
postmap: dict_pcre_lookup: body.pcre: test line 2
postmap: dict_pcre_lookup: body.pcre: test line 3
test line 3 DUNNO

这将告诉您，对于每一行身体部位，地图中的哪个条目（如果有）与您的身体部位相匹配。

你的地图可能无法按照你预期的方式运行的一个可能原因是匹配范围太广，DUNNO结果先于你的预期REJECT spam结果，指示清理服务器继续处理下一行，而不是尝试进一步的表达式。

Question 2

曾经陷入过同样的陷阱，阻止了所有以“<!DOCTYPE html”开头的电子邮件:)

如果是动态内容，您将很难在电子邮件中找到后续内容，但如果是静态内容，则对此类消息进行测试解码并重新编码重要部分可能有助于找到良好的匹配字符串。这样做的主要对手是换行符，换行符可能出现在任何地方，具体取决于匹配文本的位置。

我通常只在标题中进行 base64 匹配（主要是主题，UTF-8 标题倾向于以 base64 编码其主题），因为将标题分成多行是相当不寻常的（但仍然可能）。

您可能会在启用贝叶斯的情况下在 amavis 或 dspam（它们都使用 spamassassin）等外部实用程序中找到更好的帮助。这也将有助于解码部分，因为解码器内置于这些产品中。

Answer

曾经陷入过同样的陷阱，阻止了所有以“<!DOCTYPE html”开头的电子邮件:)

如果是动态内容，您将很难在电子邮件中找到后续内容，但如果是静态内容，则对此类消息进行测试解码并重新编码重要部分可能有助于找到良好的匹配字符串。这样做的主要对手是换行符，换行符可能出现在任何地方，具体取决于匹配文本的位置。

我通常只在标题中进行 base64 匹配（主要是主题，UTF-8 标题倾向于以 base64 编码其主题），因为将标题分成多行是相当不寻常的（但仍然可能）。

您可能会在启用贝叶斯的情况下在 amavis 或 dspam（它们都使用 spamassassin）等外部实用程序中找到更好的帮助。这也将有助于解码部分，因为解码器内置于这些产品中。

body_checks：如何过滤base64编码的内容？

答案1

答案2

相关内容