Re: exim и greylist (!DKIM)

[Ivan Shmakov <ivan@siamics.net>]

>>>>> Andrey Jr Melnikov <temnota.am@gmail.com> writes:
>>>>> Eugene Berdnikov <bd4@protva.ru> wrote:
>>>>> On Mon, Sep 18, 2017 at 11:03:19PM +0300, Andrey Jr. Melnikov wrote:

[…]

 >>> Впрочем, я тебя расстрою — еще больше спама ходит с валидным DKIM.
 >>> Спаммеры, они не исповедуют принцип «работает — не тронь», они все
 >>> новомодные фичи внедряют на раз-два не задумываясь, особенно если
 >>> это увеличивает количество проскочивших через фильтры писем.

 >> А вот с этим полностью согласен.  И добавлю, что одной из таких фич
 >> является применение полноценных MTA для рассылки.  Так что те письма,
 >> которые преодолевают традиционный грейлистинг (на стадии RCPT), с
 >> гораздо большей вероятностью могут быть иметь валидные DKIM/SPF и
 >> даже нижние Received:, имитирующие рилеи домена, нарисованного во
 >> From:, чем те письма, которые через грейлистинг на стадии RCPT не
 >> прошли.

 > Я тебе открою страшную тайну — со времен «центра американского
 > английского» обычные MTA не применялись в спамометах.  Они слишком
 > умные и тормозные.

	Не уверен.

	Был тут один настойчивый нарушитель.  Последняя активность была
	с адресов AS24875 (вроде 77.220.213.13 IN PTR fastmstart.bid.,
	185.213.209.120 IN PTR valdis-k.bid., etc.); до этого — AS48666,
	AS201094.

	Было очень похоже, что на используемых IP работал именно
	полновесный MTA.  (Если верить 220 — Exim.)

 > А то, что пробивает грейлистинг на стадии rcpt to — умнее,
 > т. к. похоже парсит ответ и приходит ровно через 5/10 минут после.

	То, что мне приходило в обход greylisting, в основном шло через
	бесплатные ресурсы — вроде Google Mail, Yahoo, etc.

	Адреса Yahoo пришлось перечислить в local_host_blacklist,
	поскольку ценной корреспонденции с них я не припоминаю вовсе.

[…]

-- 
FSF associate member #7257  http://am-1.org/~ivan/    7D17 4A59 6A21 3D97 6DDB