相信垃圾邮件一直是邮件管理员头疼的问题,邮件地址公布的时间越长,收到的垃圾邮件就越多,而垃圾邮件的种类也是数不胜数,有钓鱼、有广告、有病毒、有恶意攻击,今天我们来讨论一个比较棘手的垃圾邮件——纯图片型
与垃圾邮件斗争很久的我,之前一直对这种邮件束手无策,一是这类邮件无法过滤内容关键字,二是来源不固定,基本上不存在群发性质,也就直接导致了无法制定拦截规则,但今天突然爆发了很多,决定尝试拦截一下这些邮件。
首先这些邮件的内容基本一致,只包含一张图片,主题也是请转发某某,如果直接加主题肯定会误伤到正常邮件。所以图片是唯一的突破点。
那么如何分析这封邮件的正文信息呢?
尝试查看邮件源
里面包含了一条img的来源信息,尝试用这个关键字作为添加一下正文匹配规则,然并卵,并没有阻止掉邮件。
看来这段信息并不会存在邮件正文里,那么邮件正文里是什么呢?
祭出杀器,打开PowerShell,运行如下命令(意思就是筛选Outlook默认收件箱里的未读邮件)
$Outlook = New-Object -ComObject Outlook.Application
$Inbox = $Outlook.Session.GetDefaultFolder(6)
$Filter = "[Unread]=True"
$Items = $Inbox.Items.Restrict($Filter)
这时可以看到这封邮件的完整属性
Body竟然是空的,怪不得根据正文做关键字拦截不了
嗯?等等,Attachments里竟然有东西
既然在附件里,针对附件做规则会不会生效呢,我们建立一条规则,把“技术管理”加进去
不错,生效了
但这样还是容易误伤,万一真有正常邮件叫技术管理的呢,继续完善规则
通过Get-TransportRule查看这个规则发现这个字段的属性是AttachmentNameMatchesPatterns,也就是支持正则表达式,那么把关键字改为"^技术管理\.gif$"
嗯,现在所有附件叫做技术管理.gif的都可以拦截了,短期内基本可以免疫这种攻击了
