[HSC MailInspector] - Detecção e pontuação para Fake Bounce

Owned by HSC - Suporte, created
Last updated: Feb 04, 2021
5 min read

A regra criada a seguir detectará emails que usam técnicas tentando se passar por Bounce Mail para enganar o sistema de email e ser aceito como email válido. Vale a pena salientar que isso não substitui o BATV (Bounce Attack Tag Verification)/Controle de Bounce.

Passo a Passo

Primeiramente vamos explicar a lógica:

Sabendo que um Fake Bounce tem as características:

  1. Começa com bounce ou bounces

  2. No meio do email tem o domínio da empresa que está recebendo o Fake Bounce, ficando sempre antes do ‘=' ou tendo o caractere '@’ depois do domínio.

    Ex: 19093273-08a5-roberto.chu=hscbrasil.com.br@emailmkt.daysinnriolapa.com.br

Procedimento:

  1. Em Configurações > Cadastros > Dicionário de Palavras crie um dicionário chamado Fake Bounce e insira a seguinte referência lá:

    1. (?i)^(bounce|bounces)

  2. Ainda em Configurações > Cadastros > Dicionário de Palavras crie um dicionário chamado Fake Dominio e insira as seguintes referências lá (vou considerar o domínio a ser protegido o hscbrasil.com.br, mude para o domínio que você deseja proteger):

    1. (?i)(=hscbrasil.com.br)

    2. (?i)(hscbrasil.com.br@)

  3. Em Configurações > Filtros de SPAM > Controle Avançado, crie a seguinte regra:

    1. Seleção de Controle: Cabeçalho

    2. Define o cabeçalho a ser utilizado: Customizado

    3. Cabeçalho Customizado: X-HSC-Mail_Inspector-From

    4. Dicionário de Palavras: Fake Bounce

    5. Número Mínimo de Ocorrências: 1

    6. Nome: Fake Bounce

    7. Pontuação: 1

    8. Clique em Salvar

  4. Em Configurações > Filtros de SPAM > Controle Avançado, crie mais uma regra:

    1. Seleção de Controle: Cabeçalho

    2. Define o cabeçalho a ser utilizado: Customizado

    3. Cabeçalho Customizado: X-HSC-Mail_Inspector-From

    4. Dicionário de Palavras: Fake Dominio

    5. Número Mínimo de Ocorrências: 1

    6. Nome: Fake Dominio

    7. Pontuação: 1

    8. Clique em Salvar

  5. Repare que você tem duas regras de Controle Avançado de SPAM

  6. Selecione as duas regras e clique em Conectar

    1. Fake Bounce: Casar

    2. Operador Lógico: E

    3. Fake Dominio: Casar

    4. Ações - Pontuação: 3

  7. Clique em Salvar

  8. Clique em Aplicar Configurações

Outro tipo de Fake Bounce que normalmente é encontrado é:

FROM do ENVELOPE que começam com bounce ou bounces e logo após o @ repete a palavra bounce ou bounces, seguido do ponto.

Como por exemplo:

Como já temos o cadastro no dicionário de dados de FROM do ENVELOPE com o Fake Bounce (que são emails do FROM do ENVELOPE que começam com a palavra bounce ou bounces), precisamos criar um dicionário para detectar @bounce. ou @bounces para o resto do cabeçalho (do ENVELOPE) do email.

Então vá em Configurações > Cadastros > Dicionário de Palavras

Clique em Adicionar

Vamos criar o dicionário de palavras chamado Fake Bounce2

A expressão regular que irá fazer parte do dicionário de palavras é a seguinte: (@bounce.)|(@bounces.)

Deve ficar como a imagem abaixo:

Clique no botão para incluir o termo indicado.

Clique em Salvar

Agora vamos para Configurações > Filtros de SPAM > Controle Avançado

Clique em Adicionar

A regra utilizada será a de Cabeçalho

 

Clique em Avançar

Preencha os campos:

Define o cabeçalho a ser utilizado: Customizado

Cabeçalho Customizado: X-HSC-Mail_Inspector-From

Dicionário de Palavras: Fake Bounce

Número Mínimo de Ocorrências: 1

Clique em Avançar

Preencha os campos:

Nome: Fake Bounce

Pontuação: 1

Clique em Avançar

Clique em Salvar

Novamente clique em Adicionar

Agora vamos adicionar a segunda regra e na sequencia iremos Conectar as duas.

Selecione novamente a Seleção de Controle como Cabeçalho

Clique em Avançar

Preencha os campos:

Define o cabeçalho a ser utilizado: Customizado

Cabeçalho Customizado: X-HSC-Mail_Inspector-From

Dicionário de Palavras: Fake Bounce2

Número Mínimo de Ocorrências: 1

Clique em Avançar

Preencha os campos:

Nome: Fake Bounce2

Pontuação: 1

Clique em Avançar

Clique em Salvar

Na tela de Controle Avançado terão dois registros similares ao da imagem abaixo:

Selecione as duas regras

Clique em Conectar

Preencha os campos:

Fake Bounce: Casar

Operador Lógico: E

Fake Bounce2: Casar

Pontuação: 5

Clique em Salvar

O sistema irá “juntar” as duas regra em uma única casando as duas condições, ficando similar a:

Para finalizar, basta clicar no botão Aplicar Configurações, para que as regras criadas fiquem vigente.

Essa regra é excelente para detectar quem manda emails para o seu domínio fingindo-se de bounce mail. Só tem que tomar cuidado para não acabar pegando “indevidamente” emails de sistemas de newsletter que usam indevidamente esse tipo de envio de emails.