spamassassin の定義をすり抜ける U+FEFF

From が「Apple_サポート」や「TS_CUBIC_CARD」で始まる spam に対して、spamassassin の user_prefs 定義がすり抜けるため調べたところ
From の先頭に U+FEFF が挿入されている

0xFE 0xFF は UTF-16BE の BOM のため、これらでエンコードされた後マッチングが行われている可能性

通常、From に U+FEFF は混入しないので、user_prefs の定義へコピペしてマッチするようになった(存在しているが、表示されない)
header FROM_UFEFF From =~ //
score  FROM_UFEFF 4.00
抜け道として FEFFが挿入されているのか、配信システムで元ファイルのBOM削除し忘れかは不明
Unicodeと共に、厄介だけどピンポイントでspam判定可能


U+FEFF が混入されている spam の From 文字列(U+FEFF以降の一部)
  • Apple_サポート
  • TS_CUBIC_CARD
  • ANAカード
  • InteractiveBrokers
  • ANAマイレージクラブ事務局
  • ANA サポート
  • 大和証券
  • 大和証券セキュリティ管理部

コメント

コメントを投稿