[HSC MailInspector] - Detecção e pontuação para Fake Bounce
A regra criada a seguir detectará emails que usam técnicas tentando se passar por Bounce Mail para enganar o sistema de email e ser aceito como email válido. Vale a pena salientar que isso não substitui o BATV (Bounce Attack Tag Verification)/Controle de Bounce.
Passo a Passo
Primeiramente vamos explicar a lógica:
Sabendo que um Fake Bounce tem as características:
Começa com bounce ou bounces
No meio do email tem o domínio da empresa que está recebendo o Fake Bounce, ficando sempre antes do ‘=' ou tendo o caractere '@’ depois do domínio.
Ex: 19093273-08a5-roberto.chu=hscbrasil.com.br@emailmkt.daysinnriolapa.com.br
Procedimento:
Em Configurações > Cadastros > Dicionário de Palavras crie um dicionário chamado Fake Bounce e insira a seguinte referência lá:
(?i)^(bounce|bounces)
Ainda em Configurações > Cadastros > Dicionário de Palavras crie um dicionário chamado Fake Dominio e insira as seguintes referências lá (vou considerar o domínio a ser protegido o hscbrasil.com.br, mude para o domínio que você deseja proteger):
(?i)(=hscbrasil.com.br)
(?i)(hscbrasil.com.br@)
Em Configurações > Filtros de SPAM > Controle Avançado, crie a seguinte regra:
Seleção de Controle: Cabeçalho
Define o cabeçalho a ser utilizado: Customizado
Cabeçalho Customizado: X-HSC-Mail_Inspector-From
Dicionário de Palavras: Fake Bounce
Número Mínimo de Ocorrências: 1
Nome: Fake Bounce
Pontuação: 1
Clique em Salvar
Em Configurações > Filtros de SPAM > Controle Avançado, crie mais uma regra:
Seleção de Controle: Cabeçalho
Define o cabeçalho a ser utilizado: Customizado
Cabeçalho Customizado: X-HSC-Mail_Inspector-From
Dicionário de Palavras: Fake Dominio
Número Mínimo de Ocorrências: 1
Nome: Fake Dominio
Pontuação: 1
Clique em Salvar
Repare que você tem duas regras de Controle Avançado de SPAM
Selecione as duas regras e clique em Conectar
Fake Bounce: Casar
Operador Lógico: E
Fake Dominio: Casar
Ações - Pontuação: 3
Clique em Salvar
Clique em Aplicar Configurações
Outro tipo de Fake Bounce que normalmente é encontrado é:
FROM do ENVELOPE que começam com bounce ou bounces e logo após o @ repete a palavra bounce ou bounces, seguido do ponto.
Como por exemplo:
Como já temos o cadastro no dicionário de dados de FROM do ENVELOPE com o Fake Bounce (que são emails do FROM do ENVELOPE que começam com a palavra bounce ou bounces), precisamos criar um dicionário para detectar @bounce. ou @bounces para o resto do cabeçalho (do ENVELOPE) do email.
Então vá em Configurações > Cadastros > Dicionário de Palavras
Clique em Adicionar
Vamos criar o dicionário de palavras chamado Fake Bounce2
A expressão regular que irá fazer parte do dicionário de palavras é a seguinte: (@bounce.)|(@bounces.)
Deve ficar como a imagem abaixo:
Clique no botão para incluir o termo indicado.
Clique em Salvar
Agora vamos para Configurações > Filtros de SPAM > Controle Avançado
Clique em Adicionar
A regra utilizada será a de Cabeçalho
Clique em Avançar
Preencha os campos:
Define o cabeçalho a ser utilizado: Customizado
Cabeçalho Customizado: X-HSC-Mail_Inspector-From
Dicionário de Palavras: Fake Bounce
Número Mínimo de Ocorrências: 1
Clique em Avançar
Preencha os campos:
Nome: Fake Bounce
Pontuação: 1
Clique em Avançar
Clique em Salvar
Novamente clique em Adicionar
Agora vamos adicionar a segunda regra e na sequencia iremos Conectar as duas.
Selecione novamente a Seleção de Controle como Cabeçalho
Clique em Avançar
Preencha os campos:
Define o cabeçalho a ser utilizado: Customizado
Cabeçalho Customizado: X-HSC-Mail_Inspector-From
Dicionário de Palavras: Fake Bounce2
Número Mínimo de Ocorrências: 1
Clique em Avançar
Preencha os campos:
Nome: Fake Bounce2
Pontuação: 1
Clique em Avançar
Clique em Salvar
Na tela de Controle Avançado terão dois registros similares ao da imagem abaixo:
Selecione as duas regras
Clique em Conectar
Preencha os campos:
Fake Bounce: Casar
Operador Lógico: E
Fake Bounce2: Casar
Pontuação: 5
Clique em Salvar
O sistema irá “juntar” as duas regra em uma única casando as duas condições, ficando similar a:
Para finalizar, basta clicar no botão Aplicar Configurações, para que as regras criadas fiquem vigente.
Essa regra é excelente para detectar quem manda emails para o seu domínio fingindo-se de bounce mail. Só tem que tomar cuidado para não acabar pegando “indevidamente” emails de sistemas de newsletter que usam indevidamente esse tipo de envio de emails.