# Форум на русском языке  > Решения по информационной безопасности  > Антиспам  >  Новый метод обхода фильтров?

## kuznetz

с 12 февраля одна российская спамерская команда (довольно значительная по объемам) начала рассылать спам со следующей фичей:

написано, что кодировка Windows-1251, а на самом деле кодировка KOI-8. Примеры прилагаю, 3 штуки.

Тем не менее html-ную часть сообщения пользователь, естественно, видит нормально - потому что в html указано, что использовать шрифт кодировки KOI-8.

Вот такая военная хитрость. Полагаю, она не дает спам-фильтру анализировать ни тему письма, ни текст. То есть эта беда может быть на текущий момент взята только байесом (если конечно руками этот байес кормить регулярно).

Что думают по этому поводу разработчики антиспам-фильтров? будет ли что-нибудь по этому поводу? 30% русского спама идет с этой фичей (по крайней мере в нашей почте)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## DVi

Разработчики антиспам-фильтров стараются думать так же, как Outlook Express (самый распространенный на планете почтовый клиент) - отдают на обработку в ядро текст в том виде, в каком его отображает OE.

----------


## kuznetz

Спасибо.
Прошу извинить, не совсем точную информацию я дал. Как оказалось. Я был удивлен категоричностью ответа, и проверил всё еще раз. Потому что сомневался, что спамеры стали бы что-то делать зря.

Так вот, неверная моя информация в том, что Outlook Express отображает эти письма в нормальном читаемом виде. Я на самом деле открывал их html-ную часть как аттачи Интернет Эксплорером. И он действительно показывает правильно, читаемо. Хотя почему - не пойму.

Потому что моя начальная информация не верна и в том, что в html указано, что отображать шрифтом KOI. Нет, ничего там в html о шрифте не сказано, кроме размера, жирный и т.п.

Тем не менее Интернет Эксплорер открывает читаемо (кто скажет, почему, скажем большое спасибо). Я необоснованно подумал, что Outlook Express будет открывать так же. Но нет. Сейчас проверил специально поставил Outlook. Он открывает нечитаемо. Требуется руками поменять кодировку в меню на KOI - тогда появляется читаемый текст.

То есть расчет спамеров на то, что пользователи будут КОДИРОВКУ МЕНЯТЬ РУКАМИ. Поскольку кодировка KOI достаточно стандартна, то наверное расчет разумный. Ведь любой из нас, когда видит нечитаемые письма, идет перебирать кодировки в меню.

Таким образом, если спам-фильтр будет анализировать текст в том виде, в каком отображает Outlook - то ничего не возьмет. Надо что-то дорабатывать наверно

Если моя информация вызывает сомнения - легко проверить. Я проверял так: берем это письмо одно из тех трех штук которые прилагаются в виде файла MSG, и кладем в каталог пользователя на почтовом сервере. И получаем почту этого пользователя Outlook'ом. В результате имеем картину как я описывал - нечитаемый текст.
Можно наверно и по-другому (если нет доступа к почтовому серверу) - можно взять файл MSG и импортировать его в почтовый клиент, который это умеет импортировать (например TheBat), поменять адрес кому и отправить это письмо самому себе и получить Outlook'ом.
Можно как угодно еще. Главное не перекодировать текст и не менять заголовки частей.
Воспроизводимость результата гарантируется.
То есть проблему - имеем

----------


## Exxx

> Тем не менее Интернет Эксплорер открывает читаемо (кто скажет, почему, скажем большое спасибо).


Автовыбор кодировки наверное?

----------


## kuznetz

Возможно, автовыбор кодировки.
Но нигде не вижу в Интернет Эксплорере ни галки, ничего другого насчет автовыбора кодировки. Облазил все "Свойства обозревателя". Версия ИЕ 6.0.2800.1106

----------


## Exxx

> Но нигде не вижу в Интернет Эксплорере ни галки, ничего другого насчет автовыбора кодировки. Облазил все "Свойства обозревателя".


Вид --> Кодировка  :Wink:

----------


## kuznetz

Ну так...
орлы же мух не ловят
 :Smiley: ))
слонов тоже не замечают
ну я и дал маху

----------


## userr

> Разработчики антиспам-фильтров стараются думать так же, как Outlook Express


Мне понравилось.  :Smiley:

----------


## maXmo

попытаться разобрать сообщение на двух-трёх кодировках не так уж сложно.

----------


## RobinFood

> Спасибо.
> То есть расчет спамеров на то, что пользователи будут КОДИРОВКУ МЕНЯТЬ РУКАМИ.


Я думаю, все гораздо проще - кривой софт встречается часто, и спаммерский софт не исключение.

----------

