Phishing Mails mit spamassassin erkennen

Mit Spamassassin 3.4.2 gibt es mit dem Plugin „Phishing“ die Möglichkeit Mails nach Phishing-URLs zu durchsuchen.

Die Listen mit Phishing URL müssen über einen cronjob herunter geladen werden. Ich habe dazu ein Skript in /etc/cron.daily/update-mail-phishing erstellt.

#!/bin/bash
/usr/bin/curl -L https://openphish.com/feed.txt -z /etc/mail/spamassassin/openphish-feed.txt -o /etc/mail/spamassassin/openphish-feed.txt &> /dev/null
/usr/bin/curl -L https://raw.githubusercontent.com/mitchellkrogza/Phishing.Database/master/phishing-links-ACTIVE.txt -z /etc/mail/spamassassin/phishing-links-ACTIVE.txt -o /etc/mail/spamassassin/phishing-links-ACTIVE.txt  &> /dev/null
/usr/bin/curl -L http://data.phishtank.com/data/online-valid.csv -z /etc/mail/spamassassin/phishtank-feed.csv -o /etc/mail/spamassassin/phishtank-feed.csv &> /dev/null

Das Skript muss natürlich ausführbar sein.

chmod 700 /etc/cron.daily/update-mail-phishing

In Spamassassin kann nun die Konfiguration hinzugefügt werden.

loadplugin Mail::SpamAssassin::Plugin::Phishing
ifplugin Mail::SpamAssassin::Plugin::Phishing
  phishing_openphish_feed /etc/mail/spamassassin/openphish-feed.txt
  phishing_openphish_feed /etc/mail/spamassassin/phishing-links-ACTIVE.txt
  phishing_phishtank_feed /etc/mail/spamassassin/phishtank-feed.csv
  body     URI_PHISHING      eval:check_phishing()
  describe URI_PHISHING      Url match phishing in feed
  score    URI_PHISHING      5.0
endif

Nach dem Neustart vom Spamassassin kann diese Regel einfach getestet werden, indem man sich eine Mail mit einer URL, aus den Konfigurierten Listen, schickt.

Quellen

https://git.ispconfig.org/ispconfig/ispconfig3/-/issues/5596

https://github.com/mitchellkrogza/Phishing.Database

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert