Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 27247 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

new spam trick by using url shortening

eelcodegraaff
Hi Guys, they (the bad guys) have found a new tick to bypass spamfilters. 

The emails send contain not the url what could be on a deny list but it contains an url from a url shortener like zipurl.fr Most spam is when you track down websites in russia. 

The email spamfilter should be more intelligent in the future, like examine this kind of url shorteners and dnsbl's or other smart algorithms to make sure the url should be denied and the message should be marked as spam. 

Regards

Eelco

Sample :
Pas plus un passe-temps riche man.s
D'autres paient une bombe de pièce d'horlogerie telle, vous avez maintenant une chance d'obtenir une à une fraction du prix de détail
http://zipurl.fr/2bcn6


This thread was automatically locked due to age.
Parents
  • 0
    I've been blocking them for quite some time.
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/56/t/49077

    I'm currently blocking 
    goo.gl
    bit.ly
    tinyurl.com
    tiny.cc
    ity.im
    tr.im
    mcaf.ee
    googlelink.php

    This list blocks 90% of the ones containing shorteners that hit my spam filter.
    Also, are you using greylisting, reject invalid HELO and perform SPF check? Those three settings eliminated a great deal of spam that was getting thru. Greylisting may not be for everyone, gmail does not always play well with it but it's fairly rare.
  • 0 in reply to kwyrick
    I've been blocking them for quite some time.
    http://www.astaro.org/astaro-gateway-products/mail-security-smtp-pop3-antispam-antivirus/35765-blocking-url-shorteners.html

    I'm currently blocking 
    goo.gl
    bit.ly
    tinyurl.com
    tiny.cc
    ity.im
    tr.im
    mcaf.ee
    googlelink.php

    This list blocks 90% of the ones containing shorteners that hit my spam filter.
    Also, are you using greylisting, reject invalid HELO and perform SPF check? Those three settings eliminated a great deal of spam that was getting thru. Greylisting may not be for everyone, gmail does not always play well with it but it's fairly rare.


    Yes. I have Greylisting, reject invalid helo, and spf check enabled.

    It has gotten so bad our CEO and CIO have taken notice and have complained. Not good since they approved the purchase of this appliance.[:(]

    I will try adding those tiny urls to the blacklist.
  • 0 in reply to MACH
    From Mail Security > SMTP > AntiSpam tab, 
    do you have any extra RBL lists defined? I have found zen.spamhaus.org to be reliable.
    Also,  What are your settings for the rest of that page? As an example, I have mine set as follows:
    Reject at SMTP Time:  Confirmed Spam
    zen.spamhaus.org as the additional RBL zone.
    Spam action:Quarantine
    Confirmed Spam action:Blackhole
    Spam marker: ***This may be spam***
    Blacklisted Addresses: I have a load of strings in here that would not apply to you. I use this section to block mailing lists and other mail that doesn't have unsubscribe links or I feel is spam, whether the user subscribed to them or not.
     That brings up an additional item. Not all spam is spam. If a use subscribed to a mailing list, that would not be spam.
    Expression filter: I posted this earlier but edited out the simple stuff like pharmacy items. 
    Reject invalid HELO, Greylisting and SPF check are checked.

    Initially, I had an unacceptable amount of spam getting through but between the manual and this forum, I have gotten it down to a very reasonable amount.

    What's your volume like? I handle an average of 4 thousand messages/600 Megs  a day of mail. Out of the 4000 messages, only 400 to 500 are valid. That's a pretty good filter rate but YMMV.
Reply
  • 0 in reply to MACH
    From Mail Security > SMTP > AntiSpam tab, 
    do you have any extra RBL lists defined? I have found zen.spamhaus.org to be reliable.
    Also,  What are your settings for the rest of that page? As an example, I have mine set as follows:
    Reject at SMTP Time:  Confirmed Spam
    zen.spamhaus.org as the additional RBL zone.
    Spam action:Quarantine
    Confirmed Spam action:Blackhole
    Spam marker: ***This may be spam***
    Blacklisted Addresses: I have a load of strings in here that would not apply to you. I use this section to block mailing lists and other mail that doesn't have unsubscribe links or I feel is spam, whether the user subscribed to them or not.
     That brings up an additional item. Not all spam is spam. If a use subscribed to a mailing list, that would not be spam.
    Expression filter: I posted this earlier but edited out the simple stuff like pharmacy items. 
    Reject invalid HELO, Greylisting and SPF check are checked.

    Initially, I had an unacceptable amount of spam getting through but between the manual and this forum, I have gotten it down to a very reasonable amount.

    What's your volume like? I handle an average of 4 thousand messages/600 Megs  a day of mail. Out of the 4000 messages, only 400 to 500 are valid. That's a pretty good filter rate but YMMV.
Children
  • 0 in reply to kwyrick
    My settings are set almost identical to yours. Here are my stats:

    More and more spam is getting through. Including a lot which do not use the tiny url trick.


    SMTP last 24 hours [ 9826 messages delivered. 48158 messages blocked (83%) ] 
     
    Malware quarantined/rejected: 4  SPF rejects: 289 
    Spam quarantined/rejected: 21817  RBL rejects: 8433 
    Blacklist rejects: 2  BATV rejects: 44 
    Address Verification rejects: 0  RDNS/HELO rejects: 8875
Cookie Information Banner