home *** CD-ROM | disk | FTP | other *** search
/ ftp.f-secure.com / 2014.06.ftp.f-secure.com.tar / ftp.f-secure.com / support / hotfix / fsis / IS-SpamControl.fsfix / iufssc / rules / 96_fs-massmail.cf < prev    next >
Text File  |  2006-11-29  |  2KB  |  53 lines
  1. # 96_fs-massmail.cf -- era Tue May 17 14:52:20 2005
  2. # Copyright (C) 2005 F-Secure Corporation
  3. # $Id: 96_fs-massmail.cf 2346 2005-12-09 13:59:39Z  $
  4.  
  5.  
  6. ifplugin FS::MsgStructure
  7.  
  8.  
  9. # rule: MASSMAIL_SOBER_Q
  10. # created 2005-05-17
  11. # test: spam-2005-05-17/df-2005-05-17-000055.txt
  12. # test: spam-2005-05-17/df-2005-05-17-001835.txt
  13. # test: spam-2005-05-17/df-2005-05-17-005991.txt
  14. # test: spam-2005-05-17/df-2005-05-17-006683.txt
  15. # test: spam-2005-05-17/df-2005-05-17-007247.txt
  16. # test: spam-2005-05-17/df-2005-05-17-007394.txt
  17.  
  18. define_structure MASSMAIL_SOBER_Q
  19. structure (?:^)
  20. structure (?:[A-Za-z0-9].{0,1023}\n(?:[ \t].{0,1023}\n){0,50}){0,50}
  21. # Telltale sign #1: From To Date Subject Importance etc in exactly this order
  22. # Telltale sign #2: just plain email address, no real name or <>
  23. structure From: [-A-Za-z0-9._%=]{1,50}\@[-A-Za-z0-9.]{5,64}\n
  24. structure To: [-A-Za-z0-9._%=]{1,50}\@[-A-Za-z0-9.]{5,64}\n
  25. # Telltale sign #3: date is in UTC or GMT, no numeric time zone
  26. structure Date:
  27. structure  (?: )(?:Mon|T(?:ue|hu)|Wed|Fri|S(?:at|un)), [ 0-3][0-9]
  28. structure  (?: )(?:J(?:an|u[nl])|Feb|Ma[ry]|A(?:pr|ug)|Sep|Oct|Nov|Dec)
  29. structure  (?: )[12][0-9]{3} [012][0-9](?::[0-5][0-9]){2}
  30. structure  (?: )(?:UTC|GMT)\n
  31. ######## TODO: maybe limit to just relevant Subject lines
  32. structure Subject: .{1,1024}\n
  33. structure Importance: Normal\n
  34. structure (?:X-Mailer: .{1,1014}\n)?
  35. structure X-Priority: 3 \(Normal\)\n
  36. structure (?:X-MSMail-Priority: Normal\n)?
  37. structure MIME-Version: 1\.0\n
  38. # Telltale sign #4: Message-ID in between MIME-Version and Content-xxx
  39. # (Message-ID often in sender's, and sometimes in recipient's, domain)
  40. structure Message-ID: <[a-z0-9.]{4,64}\@[-A-Za-z0-9.]{5,64}>\n
  41. # Telltale sign #5: 7bit us-ascii even for German-language messages
  42. structure Content-Transfer-Encoding: 7bit\n
  43. structure Content-Type: text/plain; charset="us-ascii"\n
  44.  
  45. describe MASSMAIL_SOBER_Q Massmail generated by the Sober.Q worm
  46. score     MASSMAIL_SOBER_Q 9
  47.  
  48.  
  49. ######## TODO: bounces
  50. # test: spam-2005-05-17/df-2005-05-17-003126.txt
  51.  
  52. endif
  53.