home *** CD-ROM | disk | FTP | other *** search
/ ftp.f-secure.com / 2014.06.ftp.f-secure.com.tar / ftp.f-secure.com / support / hotfix / fsis / IS-SpamControl.fsfix / iufssc / rules / 97_fs-from-spf.cf < prev    next >
Text File  |  2006-11-29  |  11KB  |  254 lines
  1. # rules/97_fs-from-spf.cf - Copyright (C) 2005-2006 F-Secure Corporation.
  2. # $Id: 97_fs-from-spf.cf 4124 2006-11-09 11:21:29Z eriker $
  3.  
  4. loadplugin   FS::FromSPF
  5.  
  6. header   FS_SPF_FROM_PAYBAY eval:from_spf_fail("paypal.com", "ebay.com", "paypal.ca", "ebay.ca", "paypal.de", "ebay.de", "ebay.it", "ebay.com.au")
  7. describe FS_SPF_FROM_PAYBAY From: PayPal/Ebay, but fails their SPF
  8. score    FS_SPF_FROM_PAYBAY 9
  9. tflags   FS_SPF_FROM_PAYBAY net
  10.  
  11. header     FS_SPF_FROM_BOTW eval:from_spf_fail("bankofthewest.com")
  12. describe FS_SPF_FROM_BOTW From: BankOfTheWest, but fails their SPF
  13. score    FS_SPF_FROM_BOTW 9
  14. tflags   FS_SPF_FROM_BOTW net
  15.  
  16. header     FS_SPF_FROM_USBANK eval:from_spf_fail("usbank.com")
  17. describe FS_SPF_FROM_USBANK From: US Bank, but fails their SPF
  18. score    FS_SPF_FROM_USBANK 9
  19. tflags   FS_SPF_FROM_USBANK net
  20.  
  21. ######## FIXME: no SPF for citibank.com.au
  22. header     FS_SPF_FROM_CITI eval:from_spf_fail("citi.com", "citibank.com", "citibusinessonline.com", "citigroup.com", "citifinancial.com")
  23. describe FS_SPF_FROM_CITI From: Citibank, but fails their SPF
  24. score    FS_SPF_FROM_CITI 9
  25. tflags   FS_SPF_FROM_CITI net
  26.  
  27. ######## FIXME: no SPF for citizensbankonline.com
  28. header     FS_SPF_FROM_CB eval:from_spf_fail("citizensbank.com")
  29. describe FS_SPF_FROM_CB From: Citizens Bank, but fails their SPF
  30. score     FS_SPF_FROM_CB 9
  31. tflags     FS_SPF_FROM_CB net
  32.  
  33. header     FS_SPF_FROM_SKY eval:from_spf_fail("skyfi.com")
  34. describe FS_SPF_FROM_SKY From: Sky Bank, but fails their SPF
  35. score    FS_SPF_FROM_SKY 9
  36. tflags   FS_SPF_FROM_SKY net
  37.  
  38. header     FS_SPF_FROM_WAMU eval:from_spf_fail("wamu.com")
  39. describe FS_SPF_FROM_WAMU From: Washington Mutual, but fails their SPF
  40. score    FS_SPF_FROM_WAMU 9
  41. tflags   FS_SPF_FROM_WAMU net
  42.  
  43. header     FS_SPF_FROM_UNIONPLA eval:from_spf_fail("unionplanters.com")
  44. describe FS_SPF_FROM_UNIONPLA From: Union Planters, but fails their SPF
  45. score    FS_SPF_FROM_UNIONPLA 9
  46. tflags   FS_SPF_FROM_UNIONPLA net
  47.  
  48. header     FS_SPF_FROM_COLUS eval:from_spf_fail("columbusbankandtrust.com")
  49. describe FS_SPF_FROM_COLUS From: Columbus / Synovus, but fails their SPF
  50. score    FS_SPF_FROM_COLUS 9
  51. tflags   FS_SPF_FROM_COLUS net
  52.  
  53. header     FS_SPF_FROM_REGIONS eval:from_spf_fail("regions.com", "regionsbank.com", "regionsnet.com", "rgbk.com")
  54. describe FS_SPF_FROM_REGIONS From: Regions Bank, but fails their SPF
  55. score    FS_SPF_FROM_REGIONS 9
  56. tflags   FS_SPF_FROM_REGIONS net
  57.  
  58. header     FS_SPF_FROM_CHARTER1 eval:from_spf_fail("charterone.com")
  59. describe FS_SPF_FROM_CHARTER1 From: Charter One, but fails their SPF
  60. score    FS_SPF_FROM_CHARTER1 9
  61. tflags   FS_SPF_FROM_CHARTER1 net
  62.  
  63. header     FS_SPF_FROM_BOA eval:from_spf_fail("bankofamerica.com")
  64. describe FS_SPF_FROM_BOA From: Bank of America, but fails their SPF
  65. score    FS_SPF_FROM_BOA 9
  66. tflags   FS_SPF_FROM_BOA net
  67.  
  68. ######## FIXME: mbna.us missing
  69. header     FS_SPF_FROM_MBNA eval:from_spf_fail("mbna.com","mbnanetaccess.com")
  70. describe FS_SPF_FROM_MBNA From: MBNA, but fails their SPF
  71. score    FS_SPF_FROM_MBNA 9
  72. tflags   FS_SPF_FROM_MBNA net
  73.  
  74. header     FS_SPF_FROM_CHASE eval:from_spf_fail("chase.com")
  75. describe FS_SPF_FROM_CHASE From: JP Chase Manhattan Bank, but fails their SPF
  76. score    FS_SPF_FROM_CHASE 9
  77. tflags   FS_SPF_FROM_CHASE net
  78.  
  79. ######## FIXME: no SPF for wells-fargo.com
  80. header     FS_SPF_FROM_WELLSFARGO eval:from_spf_fail("wellsfargo.com", "wf.com")
  81. describe FS_SPF_FROM_WELLSFARGO From: Wells Fargo, but fails their SPF
  82. score    FS_SPF_FROM_WELLSFARGO 9
  83. tflags   FS_SPF_FROM_WELLSFARGO net
  84.  
  85. header     FS_SPF_FROM_VISA eval:from_spf_fail("visa.com")
  86. describe FS_SPF_FROM_VISA From: Visa, but fails their SPF
  87. score    FS_SPF_FROM_VISA 9
  88. tflags   FS_SPF_FROM_VISA net
  89.  
  90. header     FS_SPF_FROM_MC eval:from_spf_fail("mastercard.com")
  91. describe FS_SPF_FROM_MC From: Mastercard, but fails their SPF
  92. score    FS_SPF_FROM_MC 9
  93. tflags   FS_SPF_FROM_MC net
  94.  
  95. header     FS_SPF_FROM_SCHWAB eval:from_spf_fail("schwab.com")
  96. describe FS_SPF_FROM_SCHWAB From: Charles Schwab, but fails their SPF
  97. score    FS_SPF_FROM_SCHWAB 9
  98. tflags   FS_SPF_FROM_SCHWAB net
  99.  
  100. header     FS_SPF_FROM_ROYALBANK eval:from_spf_fail("royalbank.com", "rbc.com")
  101. describe FS_SPF_FROM_ROYALBANK From: Royal Bank, but fails their SPF
  102. score    FS_SPF_FROM_ROYALBANK 9
  103. tflags   FS_SPF_FROM_ROYALBANK net
  104.  
  105. header     FS_SPF_FROM_SCOTIA eval:from_spf_fail("scotiabank.com")
  106. describe FS_SPF_FROM_SCOTIA From: Bank of Nova Scotia, but fails their SPF
  107. score    FS_SPF_FROM_SCOTIA 9
  108. tflags   FS_SPF_FROM_SCOTIA net
  109.  
  110. header     FS_SPF_FROM_1STTENNESSEE eval:from_spf_fail("firsttennessee.com")
  111. describe FS_SPF_FROM_1STTENNESSEE From: First Tennessee, but fails their SPF
  112. score    FS_SPF_FROM_1STTENNESSEE 9
  113. tflags   FS_SPF_FROM_1STTENNESSEE net
  114.  
  115. header     FS_SPF_FROM_OHIOSAVINGS eval:from_spf_fail("ohiosavings.com")
  116. describe FS_SPF_FROM_OHIOSAVINGS From: Ohio Savings, but fails their SPF
  117. score    FS_SPF_FROM_OHIOSAVINGS 9
  118. tflags   FS_SPF_FROM_OHIOSAVINGS net
  119.  
  120. header     FS_SPF_FROM_FULT eval:from_spf_fail("fult.com", "fultonbank.com", "fultonfinancialadvisors.com")
  121. describe FS_SPF_FROM_FULT From: Fulton Bank, but fails their SPF
  122. score    FS_SPF_FROM_FULT 9
  123. tflags   FS_SPF_FROM_FULT net
  124.  
  125. ######## FIXME: cuna.com / creditunion.coop should be covered too
  126. header     FS_SPF_FROM_CUNA eval:from_spf_fail("cuna.org", "cuna.coop")
  127. describe FS_SPF_FROM_CUNA From: Credit Union National Assoc, but fails SPF
  128. score      FS_SPF_FROM_CUNA 9
  129. tflags      FS_SPF_FROM_CUNA net
  130.  
  131. ######## FIXME: ?all
  132. header     FS_SPF_FROM_LACAP eval:from_spf_fail("lacapfcu.org")
  133. describe FS_SPF_FROM_LACAP From: La Capitol Federal Credit Union, but fails SPF
  134. score      FS_SPF_FROM_LACAP 9
  135. tflags      FS_SPF_FROM_LACAP net
  136.  
  137. header     FS_SPF_FROM_NCUA eval:from_spf_fail("ncua.gov")
  138. describe FS_SPF_FROM_NCUA National Credit Union Administration, but fails SPF
  139. score      FS_SPF_FROM_NCUA 9
  140. tflags      FS_SPF_FROM_NCUA net
  141.  
  142. ######## FIXME: ?all
  143. header     FS_SPF_FROM_MTNAM eval:from_spf_fail("mtnamerica.org")
  144. describe FS_SPF_FROM_MTNAM From: Mountain America, but fails their SPF
  145. score     FS_SPF_FROM_MTNAM 9
  146. tflags     FS_SPF_FROM_MTNAM net
  147.  
  148. header     FS_SPF_FROM_AMERITRADE eval:from_spf_fail("ameritrade.com")
  149. describe FS_SPF_FROM_AMERITRADE From: Ameritrade, but fails their SPF
  150. score     FS_SPF_FROM_AMERITRADE 9
  151. tflags     FS_SPF_FROM_AMERITRADE net
  152.  
  153. header     FS_SPF_FROM_HSBC eval:from_spf_fail("hsbc.com", "hsbc.co.uk")
  154. describe FS_SPF_FROM_HSBC From: HSBC, but fails their SPF
  155. score     FS_SPF_FROM_HSBC 9
  156. tflags     FS_SPF_FROM_HSBC net
  157.  
  158. header     FS_SPF_FROM_BANCORP eval:from_spf_fail("bancorpsouth.com", "bancorpsouthonline.com")
  159. describe FS_SPF_FROM_BANCORP From: BancorpSouth, but fails their SPF
  160. score     FS_SPF_FROM_BANCORP 9
  161. tflags     FS_SPF_FROM_BANCORP net
  162.  
  163. header     FS_SPF_FROM_O2 eval:from_spf_fail("02bancorp.com", "o2bancorp.com")
  164. describe FS_SPF_FROM_O2 From: Old Second Bancorp, but fails their SPF
  165. score    FS_SPF_FROM_O2 9
  166. tflags   FS_SPF_FROM_O2 net
  167.  
  168. header     FS_SPF_FROM_PCB eval:from_spf_fail("pcbancorp.com", "sbbt.com")
  169. describe FS_SPF_FROM_PCB From: SBBT / Pacific Capital Bancorp, but fails SPF
  170. score    FS_SPF_FROM_PCB 9
  171. tflags   FS_SPF_FROM_PCB net
  172.  
  173. ######### FIXME: no SPF for capital1.com
  174. header     FS_SPF_FROM_CAP1 eval:from_spf_fail("capitalone.com")
  175. describe FS_SPF_FROM_CAP1 From: Capital One Services, but fails SPF
  176. score    FS_SPF_FROM_CAP1 9
  177. tflags   FS_SPF_FROM_CAP1 net
  178.  
  179. header     FS_SPF_FROM_DOWNEY eval:from_spf_fail("downeysavings.com")
  180. describe FS_SPF_FROM_DOWNEY From: Downey Savings, but fails their SPF
  181. score     FS_SPF_FROM_DOWNEY 9
  182. tflags     FS_SPF_FROM_DOWNEY net
  183.  
  184. header     FS_SPF_FROM_ANBTX eval:from_spf_fail("anbtx.com")
  185. describe FS_SPF_FROM_ANBTX From: American National Bank of Texas, but fails SPF
  186. score     FS_SPF_FROM_ANBTX 9
  187. tflags     FS_SPF_FROM_ANBTX net
  188.  
  189. header     FS_SPF_FROM_BBK eval:from_spf_fail("bbkonline.com")
  190. describe FS_SPF_FROM_BBK From: Bank of Bahrain and Kuwait, but fails their SPF
  191. score     FS_SPF_FROM_BBK 9
  192. tflags     FS_SPF_FROM_BBK net
  193.  
  194. ######## FIXME: no SPF for unesco.org, undp.org, unhcr.org, etc.
  195. header     FS_SPF_FROM_UN eval:from_spf_fail("un.org", "unicef.org")
  196. describe FS_SPF_FROM_UN From: UN.org or a member organization, but fails SPF
  197. score      FS_SPF_FROM_UN 9
  198. tflags      FS_SPF_FROM_UN net
  199.  
  200. header     FS_SPF_FROM_POSTBANK_DE eval:from_spf_fail("postbank.de")
  201. describe FS_SPF_FROM_POSTBANK_DE From: Deutsche Postbank, but fails their SPF
  202. score    FS_SPF_FROM_POSTBANK_DE 9
  203. tflags   FS_SPF_FROM_POSTBANK_DE net
  204.  
  205. ######## FIXME: ?all
  206. header     FS_SPF_FROM_DRESDNER eval:from_spf_fail("dresdner-bank.de")
  207. describe FS_SPF_FROM_DRESDNER From: Dresdner Bank, but fails their SPF
  208. score    FS_SPF_FROM_DRESDNER 9
  209. tflags   FS_SPF_FROM_DRESDNER net
  210.  
  211. header     FS_SPF_FROM_ABBBVB eval:from_spf_fail("abb-bvb.be")
  212. describe FS_SPF_FROM_ABBBVB From: abb-bvb.be, but fails their SPF
  213. score    FS_SPF_FROM_ABBBVB 9
  214. tflags   FS_SPF_FROM_ABBBVB net
  215.  
  216. ######## FIXME: ?all
  217. header     FS_SPF_FROM_EPASSPORTE eval:from_spf_fail("epassporte.com")
  218. describe FS_SPF_FROM_EPASSPORTE From: ePassporte N.V., but fails their SPF
  219. score    FS_SPF_FROM_EPASSPORTE 9
  220. tflags   FS_SPF_FROM_EPASSPORTE net
  221.  
  222. header     FS_SPF_FROM_FINECO eval:from_spf_fail("fineco.it")
  223. describe FS_SPF_FROM_FINECO From: Fineco.it, but fails their SPF
  224. score    FS_SPF_FROM_FINECO 9
  225. tflags   FS_SPF_FROM_FINECO net
  226.  
  227. header     FS_SPF_FROM_ALPHA_GR eval:from_spf_fail("alpha.gr")
  228. describe FS_SPF_FROM_ALPHA_GR From: Alpha.gr, but fails their SPF
  229. score    FS_SPF_FROM_ALPHA_GR 9
  230. tflags   FS_SPF_FROM_ALPHA_GR net
  231.  
  232. ######## FIXME: santander.com, santander.es, gruposantander.com, ... etc too
  233. header     FS_SPF_FROM_SANTANDER eval:from_spf_fail("santander.com.mx")
  234. describe FS_SPF_FROM_SANTANDER From: Banco Santander, but fails their SPF
  235. score    FS_SPF_FROM_SANTANDER 9
  236. tflags   FS_SPF_FROM_SANTANDER net
  237.  
  238. header     FS_SPF_FROM_BRADESCO eval:from_spf_fail("bradesco.com.br")
  239. describe FS_SPF_FROM_BRADESCO From: Bradesco.com.br, but fails their SPF
  240. score    FS_SPF_FROM_BRADESCO 9
  241. tflags   FS_SPF_FROM_BRADESCO net
  242.  
  243. header     FS_SPF_FROM_TRADEME eval:from_spf_fail("trademe.co.nz")
  244. describe FS_SPF_FROM_TRADEME From: Trade Me, but fails their SPF
  245. score    FS_SPF_FROM_TRADEME 9
  246. tflags   FS_SPF_FROM_TRADEME net
  247.  
  248.  
  249. meta FS_PHISH_SPF_FROM (FS_SPF_FROM_PAYBAY || FS_SPF_FROM_BOTW || FS_SPF_FROM_USBANK || FS_SPF_FROM_CITI || FS_SPF_FROM_CB || FS_SPF_FROM_SKY || FS_SPF_FROM_WAMU || FS_SPF_FROM_UNIONPLA || FS_SPF_FROM_COLUS || FS_SPF_FROM_REGIONS || FS_SPF_FROM_CHARTER1 || FS_SPF_FROM_BOA || FS_SPF_FROM_MBNA || FS_SPF_FROM_CHASE || FS_SPF_FROM_WELLSFARGO || FS_SPF_FROM_VISA || FS_SPF_FROM_MC || FS_SPF_FROM_SCHWAB || FS_SPF_FROM_ROYALBANK || FS_SPF_FROM_SCOTIA || FS_SPF_FROM_1STTENNESSEE || FS_SPF_FROM_OHIOSAVINGS || FS_SPF_FROM_FULT || FS_SPF_FROM_CUNA || FS_SPF_FROM_NCUA || FS_SPF_FROM_AMERITRADE || FS_SPF_FROM_HSBC || FS_SPF_FROM_BANCORP || FS_SPF_FROM_O2 || FS_SPF_FROM_PCB || FS_SPF_FROM_CAP1 || FS_SPF_FROM_DOWNEY || FS_SPF_FROM_ANBTX || FS_SPF_FROM_BBK || FS_SPF_FROM_UN || FS_SPF_FROM_POSTBANK_DE || FS_SPF_FROM_ABBBVB || FS_SPF_FROM_FINECO || FS_SPF_FROM_ALPHA_GR || FS_SPF_FROM_BRADESCO || FS_SPF_FROM_TRADEME)
  250. # ?all: FS_SPF_FROM_MTNAM || FS_SPF_FROM_EPASSPORTE || FS_SPF_FROM_LACAP || FS_SPF_FROM_DRESDNER
  251. describe FS_PHISH_SPF_FROM Phishing: One of the FS_SPF_FROM_* tests fired
  252. score    FS_PHISH_SPF_FROM 1
  253. tflags   FS_PHISH_SPF_FROM net
  254.