Szerintem ilyen esetekben már tényleg csak az a jó megoldás, hogy a userek reportolhatják a levelet (ld. protonmail phising report), amire te így-úgy-amúgy reagálsz. Mondjuk 3-5 ugyanolyan levélre érkezett report után az összes hasonlót tiltod/késlelteted manuális ellenőrzésig. Persze technikailag sohasem csináltam még ilyet, fogalmam sincs, hogy egyáltalán könnyen meg lehet-e valósítani, hogy tényleg használható lesz-e stb., csak elmélkedem.
Illetve még az a furcsa ötlet jutott eszembe, hogy a már verifikált, hasonló levél után még be lehetne nyúlni a fiókokba, és az illeszkedő mintákat "utólag" kivenni, törölni. Spam/phising utógondozás :D