Regla FUZZY_AMBIEN (spamassassin)

En el análisis de un correo contra un spamcheck nos podemos encontrar que nos da puntos por la regla FUZZY_AMBIEN. Vamos a ver porque:

La descripción de la regla es la siguiente:

1.0 FUZZY_AMBIEN           BODY: Attempt to obfuscate words in spam

La expresión regular es la siguiente:

body FUZZY_AMBIEN       /<inter W1><post P2>(?!ambien)<A><M><B><I><E><N>/i
describe FUZZY_AMBIEN   Attempt to obfuscate words in spam
replace_rules FUZZY_AMBIEN

La cual podemos expandir con las siguientes reglas:

replace_tag     A       [gra\@\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xe4\xe3\xe2\xe0\xe1\xe2\xe3\xe4\xe5\xe60o]
replace_tag     M       (?:m|rn)
replace_tag     B       [b8]
replace_tag     I       [il|!1y?\xcc\xcd\xce\xcf\xec\xed\xee\xef]
replace_tag     E       [e3\xc8\xc9\xca\xcb\xe8\xe9\xea\xeb\xa4]
replace_tag     N       [n\xd1\xf1]

Vemos como se pueden combinar varias letras para formar la palabra, por ejemplo para la A se puede usar la g, la r o la @.

Una de las palabras "inocentes" que pueden coincidir con esta expresión regular es:

Los sistemas antispam no son infalibles, pero aunque coincida esta palabra con una regla no debemos dejar de usarla. Por el resto de reglas ya se evitara que se catalogue como SPAM un correo legítimo, de la misma manera que uno que realmente es SPAM va a coincidir con muchas más reglas que no solo esta.

Relacionados

• Usar una base de datos MySQL como modo de almacenaje del clasificador bayesiano de SpamAssassin
• spamd: prefork: server reached –max-children setting, consider raising it
• Spamcheck para newsletters con qmail y spamassassin
• SpamAssassin Y2K10 Rule Bug: FH_DATE_PAST_20XX
• Olvidar un mensaje con SpamAssassin