2007년 7월 초에 외국에서는 연하장(Greeting Card) 스팸이 새로 출현하여 사용자들을 괴롭히고 있습니다. 이 스팸은 단순한 스팸이 아니라 본문에 있는 링크를 클릭하는 순간 악성 코드를 포함하는 웹사이트에 접속하여 해당 파일을 내려 받아 사용자 PC에 감염되는 무시무시한 스팸입니다.

이 스팸에 대한 자료는 한 블로그에 게재되어 있어 이의 링크로 대신합니다.

http://newvirus.tistory.com/152

아래 그림은 Greeting Card 스팸 중 하나 입니다. 본문을 보면 링크 값이 있는 것을 볼 수 있습니다.

사용자 삽입 이미지

중요한 점은 이 스팸을 메라크 메일서버에서 어떠한 방법을 써서 차단할 수 있느냐라고 할 수 있습니다. 스팸의 메시지를 한번 분석해 봅니다.

1. 제목 - 다양한 제목을 사용하므로 필터링이 어렵습니다.
2. 본문 - 일상적인 영어가 많이 사용되므로 필터링이 어렵습니다.
3. 크기 - 보통 2K 정도를 차지합니다.
4. 보낸사람 - 특정한 도메인이 사용됩니다. 필터링이 가능합니다.
5. 본문 링크 - 링크 주소가 도메인(영어)가 아니라 숫자로 되어 있습니다.

이러한 특징을 바탕으로 다음과 같은 조건을 정하였습니다.

1. 보낸사람을 검사
2. 크기는 5K 미만
3. 본문에 숫자로 된 도메인 주소(ex. http://65.27.36.170)가 있는지 검사

이 세가지 경우를 만족할 경우에는 스팸으로 처리하도록 합니다.

현재까지 알려진 보낸사람의 도메인은 다음과 같습니다.

netfuncards.com
greeting-cards.com
e-cards.com
funnypostcard.com
freewebcards.com
hallmark.com
postcards.com
mypostcards.com
dgreetings.com
postcard.com
123greetings.com
all-yours.net
greetingcard.org
egreetings.com
vintagepostcards.com
all-yours.net
greet2k.com
postcards.org
riversongs.com
bluemountain.com
2000greetings.com

필터는 별도의 파일로 제공되며 간단히 설명해 드립니다.
사용자 삽입 이미지

1. 보낸 사람은 위의 목록을 C:\Program Files\Merak\spam\filters\Greeting_card-from.txt  텍스트 파일로 저장합니다. 다른 위치에 저장하려면 필터에서 수정합니다.

2. 두번째 조건은 정규 표현식(Regular Expression)으로 http://숫자.숫자.숫자.숫자 를 찾아 내는 것입니다.

아래는 XML 코드입니다. 텍스트 파일로 저장하여 컨텐트 필터에서 가져오기하면 필터를 쉽게 사용할 수 있습니다.
<CONTENTFILTER><FILTER><ACTIVE>1</ACTIVE>
<TITLE>[스팸처리] Greeting card </TITLE>
<READONLY>0</READONLY>
<CONDITION><AND>1</AND>
<LOGICALNOT>0</LOGICALNOT>
<CONTAINTYPE>12</CONTAINTYPE>
<CONTAIN>c:\Program Files\Merak\Spam\filters\Greeting_card-from.txt</CONTAIN>
<MESSAGESIZESMALLER>0</MESSAGESIZESMALLER>
</CONDITION>
<CONDITION><AND>1</AND>
<LOGICALNOT>0</LOGICALNOT>
<HEADERTYPE>6</HEADERTYPE>
<CONTAINTYPE>10</CONTAINTYPE>
<CONTAIN>\bhttp://\b\b(?:[0-9]{1,3}\.){3}[0-9]{1,3}\b</CONTAIN>
<MESSAGESIZESMALLER>0</MESSAGESIZESMALLER>
</CONDITION>
<CONDITION><AND>1</AND>
<LOGICALNOT>0</LOGICALNOT>
<EXPRESSION>2</EXPRESSION>
<CONTAINTYPE>8</CONTAINTYPE>
<MESSAGESIZESMALLER>1</MESSAGESIZESMALLER>
<MESSAGESIZE>5120</MESSAGESIZE>
</CONDITION>
<ACCEPT>0</ACCEPT>
<REJECT>0</REJECT>
<DELETE>0</DELETE>
<ENCRYPT>0</ENCRYPT>
<PRIORITY>0</PRIORITY>
<SCORE>0</SCORE>
<MARKSPAM>1</MARKSPAM>
<STOP>1</STOP>
<EXECUTE>0</EXECUTE>
<TARPITSENDER>0</TARPITSENDER>
<FIXRFC822>0</FIXRFC822>
<SMTPRESPONSE>0</SMTPRESPONSE>
<STRIPALL>0</STRIPALL>
</FILTER>
</CONTENTFILTER>


감사합니다.

PS: 이 필터는 메라크 메일서버 8.91 버전을 기준으로 작성하였습니다. 하위 버전 사용자는 반드시 필터가 제대로 동작하는지 검토하시기 바랍니다.

끝.
블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요