Mit Spamassassin 3.4.2 gibt es mit dem Plugin „Phishing“ die Möglichkeit Mails nach Phishing-URLs zu durchsuchen.
Die Listen mit Phishing URL müssen über einen cronjob herunter geladen werden. Ich habe dazu ein Skript in /etc/cron.daily/update-mail-phishing erstellt.
#!/bin/bash
/usr/bin/curl -L https://openphish.com/feed.txt -z /etc/mail/spamassassin/openphish-feed.txt -o /etc/mail/spamassassin/openphish-feed.txt &> /dev/null
/usr/bin/curl -L https://raw.githubusercontent.com/mitchellkrogza/Phishing.Database/master/phishing-links-ACTIVE.txt -z /etc/mail/spamassassin/phishing-links-ACTIVE.txt -o /etc/mail/spamassassin/phishing-links-ACTIVE.txt &> /dev/null
/usr/bin/curl -L http://data.phishtank.com/data/online-valid.csv -z /etc/mail/spamassassin/phishtank-feed.csv -o /etc/mail/spamassassin/phishtank-feed.csv &> /dev/nullDas Skript muss natürlich ausführbar sein.
chmod 700 /etc/cron.daily/update-mail-phishingIn Spamassassin kann nun die Konfiguration hinzugefügt werden.
loadplugin Mail::SpamAssassin::Plugin::Phishing
ifplugin Mail::SpamAssassin::Plugin::Phishing
phishing_openphish_feed /etc/mail/spamassassin/openphish-feed.txt
phishing_openphish_feed /etc/mail/spamassassin/phishing-links-ACTIVE.txt
phishing_phishtank_feed /etc/mail/spamassassin/phishtank-feed.csv
body URI_PHISHING eval:check_phishing()
describe URI_PHISHING Url match phishing in feed
score URI_PHISHING 5.0
endifNach dem Neustart vom Spamassassin kann diese Regel einfach getestet werden, indem man sich eine Mail mit einer URL, aus den Konfigurierten Listen, schickt.
Quellen
https://git.ispconfig.org/ispconfig/ispconfig3/-/issues/5596