home *** CD-ROM | disk | FTP | other *** search
/ Enter 2005 December / enter-cd-12-2005.iso / Internet / SpamAware 4.0 / SpamAware-Setup.exe / {app} / rules / 20_uri_tests.cf < prev    next >
Encoding:
Text File  |  2005-06-20  |  5.0 KB  |  120 lines
  1. # SpamAssassin rules file: URI tests
  2. #
  3. # Please don't modify this file as your changes will be overwritten with
  4. # the next update. Use @@LOCAL_RULES_DIR@@/local.cf instead.
  5. # See 'perldoc Mail::SpamAssassin::Conf' for details.
  6. #
  7. # <@LICENSE>
  8. # Copyright 2004 Apache Software Foundation
  10. # Licensed under the Apache License, Version 2.0 (the "License");
  11. # you may not use this file except in compliance with the License.
  12. # You may obtain a copy of the License at
  14. #     http://www.apache.org/licenses/LICENSE-2.0
  16. # Unless required by applicable law or agreed to in writing, software
  17. # distributed under the License is distributed on an "AS IS" BASIS,
  18. # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  19. # See the License for the specific language governing permissions and
  20. # limitations under the License.
  21. # </@LICENSE>
  22. #
  23. ###########################################################################
  24.  
  25. require_version @@VERSION@@
  26.  
  27. uri NUMERIC_HTTP_ADDR        /^https?\:\/\/\d{7,}/is
  28. describe NUMERIC_HTTP_ADDR    Uses a numeric IP address in URL
  29.  
  30. uri NORMAL_HTTP_TO_IP        /^https?\:\/\/(?:\S*\@)?\d+\.\d+\.\d+\.\d+/i
  31. describe NORMAL_HTTP_TO_IP    Uses a dotted-decimal IP address in URL
  32.      
  33. # Theo sez:
  34. # Have gotten FPs off this, and whitespace can't be in the host, so...
  35. # %    Visit my homepage: http://i.like.foo.com %
  36. uri HTTP_ESCAPED_HOST        /^https?\:\/\/[^\/\s]*%[0-9a-fA-F][0-9a-fA-F]/
  37. describe HTTP_ESCAPED_HOST    Uses %-escapes inside a URL's hostname
  38.  
  39. # note: do not match \r or \n
  40. uri HTTP_CTRL_CHARS_HOST    /^https?\:\/\/[^\/\s]*[\x00-\x08\x0b\x0c\x0e-\x1f]/
  41. describe HTTP_CTRL_CHARS_HOST    Uses control sequences inside a URL hostname
  42.  
  43. # look for URI with escaped 0-9, A-Z, or a-z characters (all other safe
  44. # characters have been well-tested, but are sometimes unnecessarily escaped
  45. # in nonspam; requiring "http" or "https" also reduces false positives).
  46. uri HTTP_EXCESSIVE_ESCAPES    /^https?:\/\/\S*%(?:3\d|[46][1-9a-f]|[57][\da])/i
  47. describe HTTP_EXCESSIVE_ESCAPES    Completely unnecessary %-escapes inside a URL
  48.  
  49. # bug 1801
  50. uri IP_LINK_PLUS    /^https?\:\/\/(?:\S*\@)?\d+\.\d+\.\d+\.\d+.{0,20}(?:cgi|click|ads|id\=)/i
  51. describe IP_LINK_PLUS    Dotted-decimal IP address followed by CGI
  52.  
  53. uri REMOVE_PAGE            /^https?:\/\/[^\/]+\/.*?remove/
  54. describe REMOVE_PAGE        URL of page called "remove"
  55.      
  56. uri MAILTO_TO_SPAM_ADDR        /^mailto:[a-z]+\d{2,}\@/is
  57. describe MAILTO_TO_SPAM_ADDR    Includes a link to a likely spammer email
  58.      
  59. uri MAILTO_TO_REMOVE        /^mailto:.*?remove/is
  60. describe MAILTO_TO_REMOVE    Includes a 'remove' email address
  61.  
  62. # allow ports 80 and 443 which are http and https, respectively
  63. # we don't want to hit http://www.cnn.com:USArticle1840@www.liquidshirts.com/
  64. # though, which actually doesn't have a weird port in it.
  65. uri WEIRD_PORT            m{https?://[^/\s]+?:\d+(?<!:80)(?<!:443)(?<!:8080)(?:/|\s|$)}
  66. describe WEIRD_PORT        Uses non-standard port number for HTTP
  67.  
  68. # looks for a (maybe empty) username and (optional) password in an url
  69. uri USERPASS                    m{^https?://[^/\s]*?(?::[^/\s]+?)?\@}
  70. describe USERPASS               URL contains username and (optional) password
  71.  
  72. uri URI_IS_POUND        m{\#$}
  73. describe URI_IS_POUND        Filename is just a '\#'; probably a JS trick
  74.  
  75. uri BARGAIN_URL            /bargain([sz]|-\S+)?\.(?:com|biz)/
  76. describe BARGAIN_URL        Includes a link to a likely spammer domain
  77.  
  78. # this is somewhat loose, but results are good
  79. uri BIZ_TLD              /\.biz(?:\/|$)/i
  80. describe BIZ_TLD        Contains an URL in the BIZ top-level domain    
  81.  
  82. uri INFO_TLD            /^(?:https?:\/\/|mailto:)[^\/]+\.info(?:\/|$)/i
  83. describe INFO_TLD        Contains an URL in the INFO top-level domain    
  84.  
  85. # Matt Cline
  86. # Pretty good for most folks, except for jm: I have a really stupid
  87. # e-commerce bunch obfuscating their URLs with this for some reason. screw 'em
  88. # jm: hesitant to remove this outright; it should be good against phishers
  89. #uri      HTTP_ENTITIES_HOST    m{https?://[^\s\">/]*\&\#[\da-f]+}i
  90. #describe HTTP_ENTITIES_HOST    URI obscured with character entities
  91.  
  92. uri YAHOO_RD_REDIR        m{^https?\://rd\.yahoo\.com/(?:[0-9]{4,}|partner\b|dir\b)}i
  93. describe YAHOO_RD_REDIR        Has Yahoo Redirect URI
  94.  
  95. uri YAHOO_DRS_REDIR        m{^https?://drs\.yahoo\.com/}i
  96. describe YAHOO_DRS_REDIR    Has Yahoo Redirect URI
  97.  
  98. uri URI_OFFERS            m/offer([sz]|-\S+)?\.(?:com|bi?z)/i
  99. describe URI_OFFERS        Message has link to company offers
  100.  
  101. uri URI_4YOU            m@^(?:https?://|mailto:)[^\/]*4you@i
  102. describe URI_4YOU        Message has URI 4you
  103.  
  104. # 0 nonspam hits, hundreds of spam hits.  Serious problems there
  105. uri TERRA_ES            /terra\.es\//i
  106. describe TERRA_ES        Contains URI to a document hosted at 'terra.es'
  107.  
  108. # "www" hidden as "%77%77%77", "ww%77", etc.
  109. # note: *not* anchored to start of string, to catch use of redirectors
  110. uri HTTP_77            /http:\/\/.{0,2}\%77/
  111. describe HTTP_77        Contains an URL-encoded hostname (HTTP77)
  112.  
  113. # affiliateid, aff_id, aff_sub_id etc.
  114. uri URI_AFFILIATE        /aff\w+id=/i
  115. describe URI_AFFILIATE        Contains a URI with an affiliate ID code
  116.  
  117. # really a URI rule
  118. header URI_REDIRECTOR        eval:check_for_http_redirector()
  119. describe URI_REDIRECTOR        Message has HTTP redirector URI
  120.