Detekce „kalendářové“ pošty, resp. body_checks

Detekce „kalendářové“ pošty, resp. body_checks
« kdy: 23. 06. 2021, 09:28:18 »
Ahoj, mám problém s detekcí řetězce v těle zprávy přes postfix, resp. s detekcí pošty týkající se kalendáře (pozvánky a odpovědi na ně).
V hlavičce e-mailu jsem nic nenašel, v těle zprávy je struktura začínající "BEGIN:CALENDAR", ale body_checks na daný řetězec mi nefunguje - zadal jsem i všechny 3 varianty v base64, něco opomíjím?
header_checks na slova v hlavičce normálně funguje.
díky moc
« Poslední změna: 23. 06. 2021, 09:31:30 od Petr Krčmář »


McFly

  • *****
  • 605
    • Zobrazit profil
    • E-mail
Re:Detekce „kalendářové“ pošty, resp. body_checks
« Odpověď #1 kdy: 23. 06. 2021, 10:59:32 »
Nešel by ukázat (anonymizovaný) příklad/e-mail, jak ta data vypadají?

McFly

  • *****
  • 605
    • Zobrazit profil
    • E-mail
Re:Detekce „kalendářové“ pošty, resp. body_checks
« Odpověď #2 kdy: 23. 06. 2021, 11:03:49 »
nebude to tím, že to začíná BEGIN:VCALENDAR a ne BEGIN:CALENDAR?

Re:Detekce „kalendářové“ pošty, resp. body_checks
« Odpověď #3 kdy: 23. 06. 2021, 11:19:42 »
díky moc za reakci - ten VCALENDAR jsem opomenul pouze tady, ve skriptech ho samozřejmě mám (omluva)
co se týče části zprávy - dávám začátek v textu a v base64 jak je poslaný:

BEGIN:VCALENDAR
METHOD:REQUEST
PRODID:Microsoft Exchange Server 2010
VERSION:2.0
BEGIN:VTIMEZONE
TZID:Central Europe Standard Time
BEGIN:STANDARD
DTSTART:16010101T030000
TZOFFSETFROM:+0200
TZOFFSETTO:+0100
RRULE:FREQ=YEARLY;INTERVAL=1;BYDAY=-1SU;BYMONTH=10
END:STANDARD
BEGIN:DAYLIGHT
DTSTART:16010101T020000
TZOFFSETFROM:+0100
TZOFFSETTO:+0200
RRULE:FREQ=YEARLY;INTERVAL=1;BYDAY=-1SU;BYMONTH=3
END:DAYLIGHT
END:VTIMEZONE
BEGIN:VEVENT

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McFly

  • *****
  • 605
    • Zobrazit profil
    • E-mail
Re:Detekce „kalendářové“ pošty, resp. body_checks
« Odpověď #4 kdy: 23. 06. 2021, 12:39:13 »
Tak jsem mrknul na http://www.postfix.org/BUILTIN_FILTER_README.html a tam píší o BASE64:

    Header/body checks do not decode message headers or message body content. For example, if text in the message body is BASE64 encoded (RFC 2045) then your regular expressions will have to match the BASE64 encoded form. Likewise, message headers with encoded non-ASCII characters (RFC 2047) need to be matched in their encoded form.

Tak by mne napadlo v těle hledat řetězec QkVHSU46VkNBTEVOREFS


Re:Detekce „kalendářové“ pošty, resp. body_checks
« Odpověď #5 kdy: 23. 06. 2021, 13:37:26 »
jak jsem psal, verze v base64 je tam zadaná též - ve všech 3 variantách (v závislosti na posunu), jinými slovy body_checks vypadá:
/BEGIN:VCALENDAR/   DISCARD
/QkVHSUVkNBTEVOREFS/   DISCARD
/R0lOOlZDQUxFTkRBUg/   DISCARD
/RUdJTjpWQ0FMRU5EQVI/   DISCARD


McFly

  • *****
  • 605
    • Zobrazit profil
    • E-mail
Re:Detekce „kalendářové“ pošty, resp. body_checks
« Odpověď #6 kdy: 23. 06. 2021, 14:09:58 »
/QkVHSUVkNBTEVOREFS/   DISCARD - správně je ale QkVHSU46VkNBTEVOREFS, nemáte tam jen typo chybu? ;)

Re:Detekce „kalendářové“ pošty, resp. body_checks
« Odpověď #7 kdy: 23. 06. 2021, 15:48:14 »
takže se strašně stydím, máte pravdu, strávil jsem takových hodin experimentů na přiblblém typu, které jsem prostě neviděl, ach jo :-(
díky moc za pomoc