A regexpek alapján grepelgettem néhány a mai és tegnapi mailözönben és csupa legitim emailt találtam. Az egyik juzer a paypaltól kap értesítést, a másik saját rendszere küldi így a számlát stb. Ezek a malware küldő arcok nagyon ráéreztek a nehezen szűrhetőségre.
Ami egy-egy ilyet megfogott az a kiterjesztés alapú szabálycsoport clamavba (eximesként azzal tudok belenézni a tömörített csatolmányba) és a clamavhoz bekapcsolt sanesecurity szabályok letöltése. Ezen kívül csináltam szabályt, ami a klienst rögtön visszacsapja ha a szerver saját IP címét mondja helo name-nek, bár biztos lesz olyan, aki szerint ezt már 20 éve is be kellett volna vezetni. :P Ez viszont ma 111 nev1_nev2@valami.com szerű mailt vágott vissza önmagában. Végre a reverze nélküli arcokat is folyamatos deferrel csapom vissza, nincs kegyelem és nagyon hasonló a minta az előzőhöz. A bónusz az lett, hogy csináltam egy szabálycsoportot, ami az N-nél több blacklisten szereplő klienseket visszacsapja.
Ami a nagy problémám, hogy rendszeresen szednek össze elhanyagolt gépről SMTP juzert+jelszót és megindul az áldás mindenféle vonalon. Ez ellen perpill a ratelimit szigorítását tudtam megtenni és geoip2 alapú szűrést tervezek. Ez inkább csak védőháló/hatáscsökkentő szerű lesz, mert nincsenek illuzióim, de legalább az egzotikus IP-ket kizárja a darálásból.