home *** CD-ROM | disk | FTP | other *** search

---

/ ftp.f-secure.com / 2014.06.ftp.f-secure.com.tar / ftp.f-secure.com / support / hotfix / fsis / IS-SpamControl.fsfix / iufssc / rules / 20_body_tests.cf

< prev

next >

Wrap

Text File  |  2006-11-29  |  7KB  |  148 lines

---

1. # SpamAssassin rules file: body tests
2. #
3. # Please don't modify this file as your changes will be overwritten with
4. # the next update. Use @@LOCAL_RULES_DIR@@/local.cf instead.
5. # See 'perldoc Mail::SpamAssassin::Conf' for details.
6. #
7. # Note: body tests are run with long lines, so be sure to limit the
8. # size of searches; use /.{0,30}/ instead of /.*/ to avoid huge
9. # search times.
10. #
11. # Note: If you are adding a rule which looks for a phrase in the body
12. # (as most of them do), please add it to rules/20_phrases.cf instead.
13. #
14. # <@LICENSE>
15. # Copyright 2004 Apache Software Foundation
16. # 
17. # Licensed under the Apache License, Version 2.0 (the "License");
18. # you may not use this file except in compliance with the License.
19. # You may obtain a copy of the License at
20. # 
21. #     http://www.apache.org/licenses/LICENSE-2.0
22. # 
23. # Unless required by applicable law or agreed to in writing, software
24. # distributed under the License is distributed on an "AS IS" BASIS,
25. # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
26. # See the License for the specific language governing permissions and
27. # limitations under the License.
28. # </@LICENSE>
29. #
30. ###########################################################################
31.  
32. #require_version @@VERSION@@
33.  
34. ###########################################################################
35. # GTUBE test - the generic test for UBE.
36. body GTUBE        /XJS\*C4JDBQADN1\.NSBN3\*2IDNEN\*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL\*C\.34X/
37. describe GTUBE        Generic Test for Unsolicited Bulk Email
38. tflags GTUBE        userconf noautolearn
39.  
40. ###########################################################################
41.  
42. # this seems to be the new fashion (as of Jul 5 2002).  base64-encoded
43. # parts need to be stripped before this match
44. body TRACKER_ID        /^[a-z0-9]{6,24}[-_a-z0-9]{12,36}[a-z0-9]{6,24}\s*\z/is
45. describe TRACKER_ID    Incorporates a tracking ID number
46.  
47. body WEIRD_QUOTING    /[\042\223\224\262\263\271]{2}\S{0,16}[\042\223\224\262\263\271]{2}/
48. describe WEIRD_QUOTING    Weird repeated double-quotation marks
49.  
50. ###########################################################################
51. # these tests doesn't actually use rawbody since rawbody isn't raw enough;
52. # they must be written very carefully to avoid modifying the original content
53.  
54. # MIME Content-Transfer-Encoding control rules
55. rawbody __MIME_BASE64        eval:check_for_mime('mime_base64_count')
56. describe __MIME_BASE64        Includes a base64 attachment
57.  
58. rawbody __MIME_QP        eval:check_for_mime('mime_qp_count')
59. describe __MIME_QP        Includes a quoted-printable attachment
60.  
61. rawbody MIME_BASE64_BLANKS    eval:check_for_mime('mime_base64_blanks')
62. describe MIME_BASE64_BLANKS    Extra blank lines in base64 encoding
63.  
64. rawbody MIME_BASE64_NO_NAME    eval:check_for_mime('mime_base64_no_name')
65. describe MIME_BASE64_NO_NAME    base64 attachment does not have a file name
66.  
67. rawbody MIME_BASE64_TEXT    eval:check_for_mime('mime_base64_encoded_text')
68. describe MIME_BASE64_TEXT    Message text disguised using base64 encoding
69.  
70. rawbody  MIME_MISSING_BOUNDARY    eval:check_for_mime('mime_missing_boundary')
71. describe MIME_MISSING_BOUNDARY    MIME section missing boundary
72.  
73. body MISSING_MIME_HB_SEP    eval:check_msg_parse_flags('missing_mime_head_body_separator')
74. describe MISSING_MIME_HB_SEP    Missing blank line between MIME header and body
75.  
76. body MIME_HTML_MOSTLY        eval:check_mime_multipart_ratio('0.00','0.01')
77. describe MIME_HTML_MOSTLY    Multipart message mostly text/html MIME
78.  
79. # Steve Linford via Charlie Watts: good test!
80. body MIME_HTML_ONLY        eval:check_for_mime_html_only()
81. describe MIME_HTML_ONLY        Message only has text/html MIME parts
82.  
83. # multipart/alternative has very good accuracy, other multipart types are
84. # similar to MIME_HTML_ONLY so they don't need a separate rule
85. header __CTYPE_MULTIPART_ALT    Content-Type =~ /multipart\/alternative/i
86. meta MIME_HTML_ONLY_MULTI    (__CTYPE_MULTIPART_ALT && MIME_HTML_ONLY)
87. describe MIME_HTML_ONLY_MULTI    Multipart message only has text/html MIME parts
88.  
89. rawbody  MIME_QP_LONG_LINE    eval:check_for_mime('mime_qp_long_line')
90. describe MIME_QP_LONG_LINE    Quoted-printable line longer than 76 chars
91.  
92. # note: __HIGHBITS is used by HTML_CHARSET_FARAWAY
93. rawbody __MIME_CHARSET_FARAWAY    eval:check_for_mime('mime_faraway_charset')
94. body __HIGHBITS            /(?:[\x80-\xff].?){4}/
95. meta MIME_CHARSET_FARAWAY    (__MIME_CHARSET_FARAWAY && __HIGHBITS)
96. describe MIME_CHARSET_FARAWAY    MIME character set indicates foreign language
97. tflags MIME_CHARSET_FARAWAY    userconf
98.  
99. # This rule uses a simple algorithm to determine if the text and html
100. # parts of an multipart/alternative message are different.
101. body MPART_ALT_DIFF    eval:multipart_alternative_difference('99', '100')
102. describe MPART_ALT_DIFF    HTML and text parts are different
103.  
104. body MPART_ALT_DIFF_COUNT    eval:multipart_alternative_difference_count('3', '1')
105. describe MPART_ALT_DIFF_COUNT    HTML and text parts are different
106.  
107. body MIME_BAD_ISO_CHARSET    eval:check_for_mime('mime_bad_iso_charset')
108. describe MIME_BAD_ISO_CHARSET    MIME character set is an unknown ISO charset
109.  
110. ###########################################################################
111.  
112. body CHARSET_FARAWAY        eval:check_for_faraway_charset()
113. describe CHARSET_FARAWAY    Character set indicates a foreign language
114. tflags CHARSET_FARAWAY        userconf
115.  
116. # duncf
117. body EMAIL_ROT13     /\b[a-z(\]-]+\^[a-z-]+\([a-z]{2,3}\b/
118. describe EMAIL_ROT13 Body contains a ROT13-encoded email address
119. test EMAIL_ROT13 ok  qhabs^ebtref(pbz
120. test EMAIL_ROT13 ok  zxrggyre^riv-vap(pbz
121. test EMAIL_ROT13 fail    duncf-nospam@rogers.com
122.  
123. body BLANK_LINES_70_80    eval:check_blank_line_ratio('70','80','4')
124. body BLANK_LINES_80_90    eval:check_blank_line_ratio('80','90','4')
125. body BLANK_LINES_90_100    eval:check_blank_line_ratio('90','100','4')
126. describe BLANK_LINES_70_80  Message body has 70-80% blank lines
127. describe BLANK_LINES_80_90  Message body has 80-90% blank lines
128. describe BLANK_LINES_90_100 Message body has 90-100% blank lines
129.  
130. body UNIQUE_WORDS    eval:check_unique_words('0.946', '3.1')
131. describe UNIQUE_WORDS    Message body has many words used only once
132.  
133. body DOMAIN_RATIO    eval:check_domain_ratio('0.022')
134. describe DOMAIN_RATIO    Message body mentions many internet domains
135.  
136. # this could use more work
137. body __LONGWORDS_A    /\b(?:[a-z]{8,}[\s\.]+){6}/
138. body __LONGWORDS_B    /\b(?:[a-z]{6,}[\s\.]+){9}/
139. body __LONGWORDS_C    /\b(?:[a-z]{5,}[\s\.]+){10}/
140. meta LONGWORDS        (__LONGWORDS_A + __LONGWORDS_B + __LONGWORDS_C > 1)
141. describe LONGWORDS    Long string of long words
142.  
143. body HTTPS_IP_MISMATCH    eval:check_https_ip_mismatch()
144. describe HTTPS_IP_MISMATCH    IP to HTTPS link found in HTML
145.  
146. rawbody INTERRUPTUS           /(?:[a-zA-Z0-9]<[\/ ]{0,2}?(?!br)(?!p)(?!sup)(?!li)(?!b)(?!i)(?!option)(?!a (?:href|name))(?:\b|!--)[^>]{0,64}?>[a-zA-Z0-9].{0,64}){3}/i
147. describe INTERRUPTUS          Message looks to contain HTML-interrupted text
148.