ha van olyan mailszervered, ami több domaint is kezel, akkor pflogsumm-al nézd meg, hogy adott időszakban milyen hosztokról jön sok levél, a spammerek rendszerint sok különböző domainen lévő címre küldenek hasonló tartalmú leveleket: "Host/Domain Summary: Messages Received" rész alatt
azokat a mailhosztokat, amiket nem ismersz és magas a levelek száma, vedd be pl. postfix levelező esetén a header_checks -be
/^Received:.*IPCIM.*/ DISCARD banned
---
emellett ha van mondjuk 30 másodperces greylisting a mailszervereden lehet automatizalni pl fail2ban-al a rosszcsontok kitiltását, akik mondjuk 5-10 percen belül sokszor próbálkoznak újraküldeni leveleket, mert mondjuk nagyvalószínűséggel spammerek:
filter: failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[\]: 450 4\.2\.0.*Greylisted.*$
action:
action = postfix-header_checks[file=/etc/postfix/header_checks]
actionban = IP= && DATE=`date` &&
printf %%b "/^Received:.*$IP.*/\tDISCARD\t banned on $DATE\n" >>
---
*.nav.gov meg banki szervereket érdemes nem tiltani :)
---
fail2ban-al meg lehet fejelni iptables port alapú átmeneti tiltással is, automatikus log analízisre alapozva, de ezzel a megoldással egy hónap múlva újra előjöhetnek a kukacos levelek...