С нынешним засильем спама блэклисты не особо эффективны, слишком высокий процент false-positive.

rbl.rbldns.ru пользуюсь

Серый список

и проверка отправителей очень помогают отцу русской демократии

Нынче модно машинным обучением обмазываться и на основе жалоб юзверей дообучать свою модельку. Но этим жиртресты занимаютсы заниматься могут, потому что данных надо много. Но можно типичные письма спамеров пособирать при желании. Которые гарантированно спам. Скоро простые админы не смогут со спамом бороться.

Расизд! Denyлисты!

Нынче модно машинным обучением обмазываться и на основе жалоб юзверей дообучать свою модельку.

В бытность, когда я админил почту в небольшой конторе, некоторые дамы утром выделяли подряд зараз десятка два - три писем и отправляли их на антиспам. И наплевать, что там среди спама были несколько хороших писем, которые нельзя было отправлять на обучалку. Еще и обижались, когда им высказывал все что об этом думаю. Пришлось отказаться от такой фигни. Нельзя юзерам такие важные вещи доверять.

А можно создать фейковые аккаунты с популярными именами, которые никогда на этом сервере не существовали, наподобие elena, ivan, petrov и почту им приходящую сразу отправлять на обучалку антиспама.

есть еще вайтлисты, которые wl. их мало и в вайтлистах прячется очень немного доменов, но иногда они очень неплохо выручали

и припоминаю еще маленький нюанс. гугловские dns серверы типа 8.8.8.8 плохо работали с вайтлистами. они (dns) часто блокировали положительные ответы от вайтлистов. причем эта багофича там заложена специально. не припоминаю, чтоб была похожая реакция была на блеклисты, но давно это было.

короче, не советую использовать гугловские dns на почтовике.

Можно. Просто имей ввиду, что данные грязные.

прикрути уже rspamd. я с ним про спам забыл. письма три за месяц может и пролезает..

Precedence: Bulk - в мусор. Половины спама уже нет. Проверка DKIM/SPF - ещё четверть. Смотреть подсети, с которых идёт спам, если китай и т.п. - сразу в бан. Завести honeypot аккаунт с «популярным» именем, типа info@domain,com или т.п., ИП с которых туда пришло что-либо в бан. В итоге остаётся очень небольшое количество спама, рассылаемое со всяких яндексов и мейлру которое не особо заметно и легко банится по содержимому.

Антивирусник clamav с дополнительными базами для спама.

Требуется настройка. Ставь только спец базы и LOW.

Письмо уходит обратно отправителю с указанием «названия виря»

rspamd поставь.

rspamd при установке на релей толку от него будет?

opendkim+opendmarc срезают часть совсем уж тупых спамеров. Но не панацея, да. Со спамом нынче серебряной пули нет - только комплексные решения.

Со спамом нынче серебряной пули нет

Надо базу спама для российского сегмента сообща поддерживать в формате YARA.

Посту и так на вирусы сварить надо. К антивирусным базам рядом ложишь базы для спама + российскую базу для спама.

Блэклисты актуальны больше для фильтрации интернет трафика на прокси чем для спама.

s/Посту и так на вирусы сварить надо./Почту и так на вирусы сканить надо./

https://inclusivenaming.org/language/word-list/

Ну и как нам с тобой быть?

Посему попали в немилость юзеры отправляющие с mail.ru и gmail.com. Пришлось отключить. Поделитесь какие листы вы юзаете и насколько они эффективны?

Вот мои rbl:

smtpd_client_restrictions = permit_sasl_authenticated,
                        check_client_access hash:/etc/postfix/list/vip_ip,
                        check_client_access regexp:/etc/postfix/list/regexp_client,
                        reject_rbl_client bl.spamcop.net,
                        reject_rbl_client zen.spamhaus.org,
                        reject_rbl_client dnsbl.sorbs.net,
                        reject_rhsbl_client rhsbl.sorbs.net,
                        reject_unknown_client,
                        reject_unknown_client_hostname

Да всё это есть. И спамотсосин и collerID, задержка приветсвия smtp, список пользовательских правил. Ну и конечно у хостера настроид SPF, DKIM и DMARK записи. Уже отправляю в баню целыми доменами типа *.nl, *.ch, *.eu и.т.д. А вот с грязными IP, бороться только блеклистами. Сейчас меня опять обвинят в расизме, хотя я интернационалист! )) Добавил это web.dnsbl.sorbs.net, тем самым отрезал рассылку с зараженных www серверов. Сразу счастья немного прибавилось. Еще буду целыми странами прибивать us.countries.nerd.dk br.countries.nerd.dk и.т.д

С блеклистами засада.

С ними всегда засада. Блочить по блэклистам - это лютое ССЗБ. По ним можно немного спамскора накинуть, либо принять решение о проверках пожёстче, но никак не сразу отлуп.

Вот мои rbl:
reject_rbl_client bl.spamcop.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client dnsbl.sorbs.net,
reject_rhsbl_client rhsbl.sorbs.net,

dnsbl.sorbs.net Этот лучше отруби. Чемпион по ложным срабатываниям. Дело в том что это лист верхнего уровня. Он банит всё что числится в других листах, уровнем ниже. Например в dul.dnsbl.sorbs.net - это список динамических адресов, где присутсвует много добропорядочных граждан. Вместо dnsbl.sorbs.net лучше выбери сам из списка ниже, что заюзать

http.dnsbl.sorbs.net - в эту зону попадают серверы, работающие как open proxy
socks.dnsbl.sorbs.net - список серверов, работающих как open socks
misc.dnsbl.sorbs.net - open proxy, не попавшие в первый список
smtp.dnsbl.sorbs.net - open SMTP relay
web.dnsbl.sorbs.net - WWW-серверы, с которых может рассылаться спам, используя те или иные "дырки" в безопасности, например, через скрипты FormMail
spam.dnsbl.sorbs.net - "список хостов, которые замечены в рассылке спама администраторам SORBS. В том числе в этот список попадают сети провайдеров, поддерживающих спам" (почти дословный перевод)
dul.dnsbl.sorbs.net - список динамических адресов

Нельзя юзерам такие важные вещи доверять.

Разумеется нельзя, контроль нужен.

dnsbl.sorbs.net Этот лучше отруби.

Не замечал за много лет глюков.

А вот с грязными IP, бороться только блеклистами.

Что за грязные? Приведите пож пример.

И желательно заголовки (исходник). Винт всегда найдется.

Что за грязные? Приведите пож пример.

Ну эт я так обозвал те ip, которые когда либо были замечены в реальных спам рассылках. По собственной воле или нет.

Я баню не грязные IP, а грязные домены. Эти домены имеют до сотни IP, сыпят рассылками. А в списки rbl никогда не попадают. вот некоторые:

.sndsy.ru       REJECT
.change.org     REJECT
.centr-corp.ru REJECT
.getresponse.com        REJECT
.mtasmtp.net    REJECT
.mcsv.net       REJECT
.emlone.com     REJECT
macpsp.ru       REJECT
.directcrm.ru   REJECT
.sendgrid.net   REJECT
.mlsendru.com   REJECT
.rsgsv.net      REJECT
.snta.ru        REJECT
.smtp-pulse.com REJECT
.osvb.ru        REJECT
.spsndr.com     REJECT
.msndr.net      REJECT
.charter.net    REJECT
.profitcon.msk.ru       REJECT
.mlgn2ca.com    REJECT
.email.otc.ru   REJECT
.send-box.ru    REJECT
.edu-st.ru      REJECT
.bitrix24.com   REJECT
smtp.on-ed.com  REJECT
.subscribe.ru   REJECT

Я баню не грязные IP, а грязные домены. Эти домены имеют до сотни IP, сыпят рассылками. А в списки rbl никогда не попадают. вот некоторые:

Я тоже так делаю. Наваял кучу правил. Отправляю в баню не только гнилые домены, но и по различным правилам: шаблоны анализируют темы письма, содержимое в теле письма (подозрительные фразы напоминающие спам). Про SPF, DKIM, DMARK, Spamasasin, задержку приветсвия SMTP я уже писал. Только что поднял fail2ban, блочит подозрительные ip нацеленые на брутфорс. Итоговый результат должен быть приличным. Будем теперь просмотреть. Всем спасибо за помощь!