home *** CD-ROM | disk | FTP | other *** search
/ ftp.f-secure.com / 2014.06.ftp.f-secure.com.tar / ftp.f-secure.com / support / hotfix / fsis / IS-SpamControl.fsfix / iufssc / rules / 96_fs-worddump.cf < prev    next >
Text File  |  2006-11-29  |  2KB  |  46 lines
  1. # 96_fs-worddump.cf -- era Tue Nov 23 15:33:23 2004
  2. # Copyright (C) 2004 F-Secure Corporation
  3. # Look for symptoms of dictionary or corpus dump to thwart bayes filtering
  4. # $Id: 96_fs-worddump.cf 2346 2005-12-09 13:59:39Z  $
  5.  
  6. ifplugin FS::MsgStructure
  7.  
  8.  
  9. # rule: MSGSTRUCT_DICTIONARY_DUMP_JUNK_OPENSQ_NUM
  10. # added 2004-11-18 or thereabouts
  11. # edit 2005-01-07: don't force MIME structure to be present
  12. # edit 2005-01-07: cover HTML variant as well
  13. # edit 2005-01-07: allow dot in MIME separator string
  14. # edit 2005-01-18: allow <FONT ...></FONT> in each DIV
  15. # edit 2005-01-18: allow message to continue after MIME ending terminator
  16. # test: spam-2005-01-06/1685767947-1104884060.V802I3be82.localhost.localdomain
  17. # test: spam-2005-01-07/1772147595-1105014560.V802I3ccf1.localhost.localdomain
  18. # test: spam-2005-01-07/1772149649-1105021328.V802I3cf07.localhost.localdomain
  19. # test: spam-2005-01-18/2722717272-1105932598.V802I3c203.localhost.localdomain
  20.  
  21. define_structure MSGSTRUCT_DICTIONARY_DUMP_JUNK_OPENSQ_NUM
  22. structure (?:\n\n|
  23. structure \n<DIV>(?:<FONT[^<>]{0,75}></FONT>)? </DIV>\n
  24. structure <DIV>(?:<FONT[^<>]{0,75}></FONT>)? </DIV>\n
  25. structure <DIV><FONT[^<>]{0,75}>)
  26. structure [A-Za-z0-9][-a-z'0-9]{0,25}
  27. structure (?:[.,:;?!]{0,5} [-A-Za-z0-9][-a-z0-9']{0,25}){0,50}[ .!?]?
  28. structure \[\d{1,20}
  29. # MIME terminator, or actual end of message
  30. structure \n{0,4}(?:$|--[-=_A-Za-z0-9.]{14,120}--\n{0,3})
  31. describe MSGSTRUCT_DICTIONARY_DUMP_JUNK_OPENSQ_NUM Single line of words.[number
  32. score MSGSTRUCT_DICTIONARY_DUMP_JUNK_OPENSQ_NUM 5
  33.  
  34.  
  35. endif
  36.  
  37.  
  38. # rule: X_MAILER_DICTIONARY_DUMP 3
  39. # added 2004-11-18 or thereabouts
  40. ######## TODO: regression tests
  41.  
  42. header X_MAILER_DICTIONARY_DUMP    X-Mailer =~ /^(?:[a-z]{1,20} ){4,20}\d{1,20}$/
  43. describe X_MAILER_DICTIONARY_DUMP X-Mailer appears to contain dictionary words
  44. score X_MAILER_DICTIONARY_DUMP 3
  45.  
  46.