detectar spam de nomes de domínio aleatórios no cabeçalho, em .procmailrc

Com base em alguns exemplos limitados, é difícil encontrar algo específico que funcione hoje e continue funcionando amanhã. Se sua pergunta real é realmente "como posso evitar spam do Procmail", a resposta óbvia, simples e bem documentada para isso é "execute um filtro de spam de espectro completo como o SpamAssassin e examine seu resultado". Mesmo assim, sua precisão provavelmente nunca será 100%; mas o SpamAssassin faz um trabalho decente para uma ferramenta que você basicamente configura e esquece. Ele se baseia amplamente em serviços externos que fornecem informações de reputação dinâmicas para endereços IP, URLs e outros recursos de rede usados ​​por spammers, de modo que, de fato, há uma quantidade razoável de ações acontecendo nos bastidores.

O UsedViaProcmail no wiki do SpamAssassin tem mais instruções. Em resumo, depois de instalar e configurar o SpamAssassin, tente algo como

:0fw
* < 512000
| spamassassin

:0:
* ^X-Spam-Level: \*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
almost-certainly-spam

:0:
* ^X-Spam-Status: Yes
probably-spam

O segundo dois pontos :0:está correto apenas se você estiver entregando em uma caixa de correio que requer bloqueio (como um arquivo mbox, mas definitivamente não um diretório Maildir; mas com base no exemplo em sua pergunta, você parece estar no mbox). Se você recebe regularmente grandes mensagens de spam, talvez retire a condição de tamanho * < 512000ou ajuste o número. O clichê do Procmail padrão do SpamAssassin inclui um arquivo de bloqueio que é desnecessário em seu sistema pessoal e talvez duvidoso em hosts compartilhados, e algum vodu estranho de culto de carga em torno de Fromlinhas quebradas que acredito nunca estar realmente correto.

Se você quiser um conselho específico para as amostras que você forneceu, por favor, entenda que mesmo fatos profundamente pesquisados ​​e absolutamente verdadeiros que podem permitir que você descarte essas mensagens específicas com total confiança de que não haverá falsos positivos serão praticamente inúteis para lidar com qualquer outro mensagens e/ou obsoletos amanhã ou na próxima semana.

Aqui está uma receita do Procmail que implementa o que eu acho que você pode estar perguntando.

Ele usa pontuação , que é um recurso um pouco obscuro, mas ocasionalmente útil. Resumidamente, atribuímos uma pontuação de 1 se houver um From:cabeçalho com um nome de domínio (como sempre haveria) e, em seguida, subtraímos um da pontuação se o cabeçalho Reply-To:ou tiver a mesma string após o .Message-Id:@

:0:
*    1^0 ^From:.*@\/[^@<>   ]+
* $ -1^0 ^Message-Id:.*@$\MATCH\>
* $ -1^0 ^Reply-To:.*@$\MATCH\>
suspicious

Prevejo que isso terá uma taxa bastante alta de falsos positivos, mas talvez possa agregar valor a você se receber muito spam com esse padrão específico, especialmente se puder combiná-lo com uma lista de permissões.

Eu ainda recomendaria que você verificasse a suspiciouspasta regularmente e pescasse quaisquer falsos positivos de volta à sua caixa de entrada normal.

Aqui está uma demonstração executada com a amostra que você forneceu, com entrega /dev/nullapenas para a demonstração.

bash$ procmail -m VERBOSE=yes /tmp/procmailrc </tmp/sample 
procmail: [16] Fri Mar 19 09:06:29 2021
procmail: Rcfile: "/tmp/procmailrc"
procmail: Assigning "MAILDIR=/home/tripleee"
procmail: Assigning "MATCH="
procmail: Matched "namebrandwigs.com"
procmail: Score:       1       1 "^From:.*@\/[^@<>  ]+"
procmail: Score:       0       1 "^Message-Id:.*@()namebrandwigs\.com\>"
procmail: Score:       0       1 "^Reply-To:.*@()namebrandwigs\.com\>"
procmail: Assigning "LASTFOLDER=/dev/null"
procmail: Opening "/dev/null"
 Subject: drone with new features
  Folder: /dev/null                            1373

Uma complicação específica é que isso não permite acessos de subdomínio; não seria muito difícil permitir Message-id: <[email protected]>um remetente From: real name <[email protected]>, mas o cenário oposto é muito mais complicado, porque você não pode realmente saber no caso geral From: sender <[email protected]>se o nome de domínio é labels.here(como nos .come .frTLDs por exemplo) ou many.labels.here(como no .co.uk, .com.auetc TLDs) ou até mais (conforme o caso k12.place.name.use algumas prefeituras no Japão, etc).

Mais detalhadamente, 1^0atribui uma 1pontuação para o primeiro acerto na primeira linha da receita e nenhuma pontuação adicional para acertos adicionais. O \/token captura a string depois dela da string correspondente, ou seja, tudo após o último @sinal no cabeçalho. A MATCHvariável é então usada nas seguintes linhas de receita para fazer referência a essa string capturada; a sintaxe $\MATCHproduz um padrão com escape de regex que corresponde à string literal. As receitas subsequentes têm um $sinalizador para dizer ao Procmail para interpolar quaisquer variáveis ​​(ou seja, $MATCH) na condição da receita, e uma -1^0instrução de pontuação para subtrair um para o primeiro acerto na condição e, em seguida, nada se corresponder novamente.

As páginas man explicam todas essas construções, mas podem ser bastante densas; talvez veja também a referência rápida do Procmail que é ainda mais densa, mas talvez também mais rápida de ler e entender.

Eu postei isso como uma resposta separada para não misturar o conteúdo aqui com minha outra resposta, que basicamente tenta dissuadi-lo de criar seus próprios filtros de spam usando apenas o Procmail.