私は数千人のユーザーのためにメールサーバーを運営しています。 Postfix + Amavis(SpamAssassin + Clamを使用)を使用します。
ほとんどの場合、これはかなり満足のいく設定ですが、たとえば「管理者」というフィールドから「請求書が添付されています」などの件名で、次に悪意のあるZip/pdf添付ファイルなど、ウイルス/フィッシングメールが大量に届くことがあります。数時間(通常は深夜)の間に、おそらくこれらのうち5,000個(すべて異なるホストから)を受け取り、その後は終了します。おそらく、感染した家庭用PCから送信されたウイルスです。
SpamAssassinはそれらをキャッチするのにかなり良い仕事をしますが、それは正確に軽量ではなく、メールサーバーに大きな負担をかけるので、私はより良い解決策を探しています。
SAでの短絡は1つのオプションです。メッセージのスキャンをSA停止しませんが、少なくともチェックするルールの数を制限します。ただし、手動による介入が必要です(たとえば、+ 100を獲得するルールを追加してから、件名が/ ^ Incoming Fax /の電子メールを短絡します)。短絡ルールを自動的に追加するSAプラグインを作成した場合(たとえば、「同じ件名で60秒間に10通を超えるメールを受信した場合、その件名の今後のメールで+100を獲得」)悪用や誤検知が発生する可能性があります。
これらの電子メールをSMTPレベルでブロック/拒否/ドロップし、SAを介したスキャンのオーバーヘッドを取り除く良い方法があるかどうか疑問に思っています。 IPを自動的にブロックする(たとえば、iptablesまたはpostfixルールを介して)ことは、一般的に一意のアドレスからのものであるため、無意味に思えます。多くの場合、件名はわずかにランダム化されます。たとえば、「着信ファックス#1234」、「着信ファックス受信」、「#321新しいファックス待機中」などです。
何年もの間 postgrey は、スパム/マルウェアとの戦いにおいて私にとって非常に良い解決策です。 SA/ClamAVのトラフィック負荷を最大90%削減し、誤検知はほとんどありません。同様の良い解決策は policyd/cluebringer で、Webブラウザを介して設定を簡単に処理できるフロントエンドを備えています。 cbpolicydを使用すると、クライアントアカウントが侵害されてスパムを送信している場合に、送信メールのスロットルを処理することもできます。
偽のMX の設定も検討してください。これは、ダイヤルアップゾンビから送信されるスパムに対して役立つ可能性があります。
多分policd-weightはあなたのためのオプションです。 DNSサーバーに送信IPアドレスを照会するだけで、軽量のDNSBLルックアップを実行します。ブラックリストに複数のヒットがある場合は、このIPアドレスからのメール配信を拒否するだけで、これらのブロックされたメールがSpamAssassinに届きません。
Postfixの組み込みDNSBLルックアップメカニズムに対するポリシーウェイトの利点は、複数のDNSBLにクエリを実行し、DNSBLにあるスコアを追加したり、DNSWLにあるスコアを差し引いたりして、誤検知のリスクを減らすことができることです。
通常、次のDNSBLを使用することをお勧めします。 DNSWL: