summaryrefslogtreecommitdiffstats
path: root/rules/regexp
Commit message (Collapse)AuthorAgeFilesLines
* [Rules] Remove ancient and inefficient rulesVsevolod Stakhov2021-11-291-43/+0
|
* [Rules] Fix old rules to stop global functions usageVsevolod Stakhov2021-11-291-46/+72
|
* [Minor] Regexp: Extend upstream spam filter regexpSebastian Lipponer2021-08-211-1/+3
|
* [Rules] Micro-optimize X_PHP_EVALAnton Yuzhaninov2021-08-051-1/+1
| | | | | Remove /i flag from regexp string "eval()'d code" is always in lower case. While here use long string format for readability.
* [Rules] Extend OLD_X_MAILERAnton Yuzhaninov2021-05-221-3/+4
| | | | Add more old iPhone/iPad Mail versions to the regexp.
* [Rules] Extend FORGED_X_MAILERAnton Yuzhaninov2021-05-221-3/+10
| | | | | Match in FORGED_X_MAILER fake iPhone Mail header with a random string in place of iOS build number, e. g. iPhone Mail (WKN0M)
* [Minor] Make HAS_PHPMAILER_SIG regexps more specificAnton Yuzhaninov2021-04-271-1/+7
| | | | Use stricter regexp to avoid false matches.
* [Rules] Reduce default weight for R_MISSING_CHARSETVsevolod Stakhov2021-03-121-1/+1
|
* [Fix] Fix Mozilla Message-ID detectionAlexander Moisseev2021-02-051-1/+1
| | | The left part of the Mozilla Message-ID is a hexadecimal timestamp. The regexp was mistakenly limited to 2021-01-14.
* Fix typos in code commentsPavel Rochnyack2020-12-231-3/+3
|
* [Minor] Fix missing commaVsevolod Stakhov2020-12-221-1/+1
|
* [Minor] Add rule for forged X-Mailer: Internet Mail ServiceAnton Yuzhaninov2020-12-221-0/+15
|
* [Minor] Add {header} for header regexpsAnton Yuzhaninov2020-12-221-3/+3
|
* [Minor] Remove R_SAJDING and SUSPICIOUS_OPERA_10W_MSGIDAnton Yuzhaninov2020-12-211-22/+2
| | | | These rules are no longer relevant.
* [Minor] Add FORGED_X_MAILER rule for X-Mailer used by spambootsAnton Yuzhaninov2020-12-211-0/+20
|
* [Minor] Update regexp for R_UNDISC_RCPTAnton Yuzhaninov2020-12-141-2/+10
| | | | | Match more variations for undisclosed-recipients, but don't match when it is used as a lame real name.
* [Minor] Add rule for old MUA versionAnton Yuzhaninov2020-12-141-0/+25
| | | | | These versions are rarely used by real uses nowadays, but can be found in spam.
* [Minor] Remove FAKE_REPLY_C and move FAKE_REPLY rule to regexp moduleAnton Yuzhaninov2020-12-121-22/+5
| | | | | | | | | | | | | FAKE_REPLY_C rule no longer works because MUA it used are no longer used (and ones which are used changed headers they add). In theory one can test all popular modern MUA and see which add only References, which only In-Reply-To and which add both headers. But it will be a lot of work to maintain such rule up to date. It still has a small number of hits, but mostly because some spammers use old X-Mailer headers. This should be addressed separately. While here re-create FAKE_REPLY as a regexp module rule - this way it should be more efficient.
* [Minor] Remove AOL_SPAM ruleAnton Yuzhaninov2020-12-121-7/+0
| | | | | | Mail from AOL not longer have X-AOL-Global-Disposition header and this rule no longer works. AOL messages now have X-YMail-OSG header (like yahoo.com), but it is encrypted/obfuscated and cannot be used here.
* [Rules] Remove broken ruleVsevolod Stakhov2020-10-141-10/+0
| | | | Pointed by: @citrin
* [Minor] Optimize mailman_msgid regexpAnton Yuzhaninov2019-11-101-1/+2
| | | | | | | | | | | | | | | | | | | | | | | | | The old regexp is susceptible to exponential backtracking. pcretest benchmark: ``` PCRE version 8.43 2019-02-23 /^<mailman\.\d+\.\d+\.\d+\..+\@\S+>$/ <mailman.0.1037840296.16399.mailman-developers@example.org> Execute time 0.0006 milliseconds 0: <mailman.0.1037840296.16399.mailman-developers@example.org> <mailman.0.0.0.@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ > Execute time 9.8803 milliseconds No match /^<mailman\.\d+\.\d+\.\d+\.[-+.:=\w]+@[-a-zA-Z\d.]+>$/ <mailman.0.1037840296.16399.mailman-developers@example.org> Execute time 0.0003 milliseconds 0: <mailman.0.1037840296.16399.mailman-developers@example.org> <mailman.0.0.0.@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ > Execute time 0.0002 milliseconds No match ```
* [Minor] Remove another crapVsevolod Stakhov2019-10-251-1/+0
|
* [Minor] Cleanup crapVsevolod Stakhov2019-10-251-17/+0
|
* [Minor] Fix grammarAlexander Moisseev2019-10-101-2/+2
|
* [Conf] Make LEAKED_PASSWORD_SCAM a composite rule againVsevolod Stakhov2019-09-191-8/+6
|
* [Minor] Improve LEAKED_PASSWORD_SCAMVsevolod Stakhov2019-09-181-4/+7
|
* [Rules] Rework LEAKED_PASSWORD_SCAM rule one more timeVsevolod Stakhov2019-06-181-82/+3
|
* [Rules] Add more detection to LEAKED_PASSWORD_SCAMVsevolod Stakhov2019-06-171-2/+4
|
* Merge pull request #2850 from heraklit256/rule-descr-cleanupVsevolod Stakhov2019-04-161-5/+5
|\ | | | | [Minor] unify rule scores and weights and improve descriptions
| * unify rules scores and weightsheraklit2562019-03-051-5/+5
| |
* | [Rules] Add additional conditions to perform BTC checksVsevolod Stakhov2019-04-121-2/+3
| |
* | [Rules] Fix pay-to-hash addresses validationVsevolod Stakhov2019-04-121-3/+3
| |
* | [Minor] Header regexps: Add Postbox User-AgentAlexander Moisseev2019-03-251-2/+16
| |
* | [Minor] Another fix of leaked password scam ruleVsevolod Stakhov2019-03-221-1/+1
| |
* | [Minor] Sigh, another try to fix coroutines errorsVsevolod Stakhov2019-03-191-1/+0
| |
* | [Feature] Validate BTC addresses in LEAKED_PASSWORD_SCAMVsevolod Stakhov2019-03-191-2/+84
|/
* [Minor] Use more strict regex in LEAKED_PASSWORD_SCAMAlexander Moisseev2019-02-191-2/+2
| | | to avoid matching `passwordless`
* [Rules] Add more defs for LEAKED_PASSWORD_SPAMVsevolod Stakhov2019-01-211-3/+7
|
* [Rules] LEAKED_PASSWORD_SCAM: Improve images scam detectionVsevolod Stakhov2019-01-151-1/+18
|
* [Rules] Improve LEAKED_PASSWORD_SCAM detectionVsevolod Stakhov2019-01-111-3/+3
|
* [Minor] Add more mime flagsVsevolod Stakhov2019-01-071-11/+29
|
* [Minor] Check for Kaspersky Security for Mail Server spam flagAlexander Moisseev2018-12-251-0/+7
|
* [Minor] Pet luacheckVsevolod Stakhov2018-12-252-2/+4
|
* [Rules] Use bad_unicode flag for LEAKED_PASSWORD_SCAM ruleVsevolod Stakhov2018-11-301-4/+4
| | | | Issue: #2649
* [Minor] Add new Message-ID regexp for SeamonkeyAlexander Moisseev2018-11-221-1/+1
| | | | Resolves #2634
* [Minor] Make LEAKED_PASSWORD_SCAM rule more strictVsevolod Stakhov2018-11-121-3/+4
|
* [Minor] Increase of LEAKED_PASSWORD_SCAM scoreVsevolod Stakhov2018-11-121-1/+1
|
* [Rules] Reduce FP rate for LEAKE_PASSWORD_SCAM ruleVsevolod Stakhov2018-11-121-1/+1
|
* [Rules] Add LEAKED_PASSWORD_SCAM ruleVsevolod Stakhov2018-10-291-0/+12
|
* add HAS_ONION_URI ruleheraklit2562018-10-131-0/+9
|
generated by cgit v1.2.3 (git 2.39.1) at 2025-01-27 09:29:16 +0000