Мы пытаемся выяснить, есть ли способ создать поток / предупреждение, которое будет определять, когда адрес электронной почты был в журнале более X раз. Насколько мы можем судить, я могу только подсчитать общее количество сообщений, соответствующих потоку.
Например, мы хотели бы предупреждать поле с именем «почтовый адрес», если значение было таким же более 10 раз за последнюю минуту. У кого-нибудь есть идеи, как это сделать?
Доступен ряд инструментов, предназначенных для сканирования журналов. fail2ban
один из них. Вам нужно будет настроить выражение для соответствия и настроить соответствующее действие. Это может включать временное занесение пользователя в черный список брандмауэра.
Вы можете обнаружить плохо настроенные серверы, у которых начальное время повтора настроено в секундах, а не в минутах или часах. Спам-боты, вероятно, будут часто менять свои адреса отправки, поэтому вы можете их пропустить.
Я видел, как несколько массовых рассылок повторяют запросы с высокой скоростью, используя разные IP-адреса для каждого запроса. Соответствующие домены обычно согласованы на первых двух или трех уровнях.
Я бы исправил отправляемые дубликаты, исправив данные списка рассылки. У вас будут дубликаты временных отказов, которые ваш почтовый сервер должен повторить. Используйте разумную начальную попытку, например 1 час, и следите за своей очередью на предмет записей, которые находились в очереди некоторое время. Доменная часть адреса электронной почты всегда нечувствительна к регистру, а левый сайт почти всегда нечувствителен к регистру.
Большинство почтовых серверов удаляют повторяющиеся адреса в одном сообщении. Однако это не помогает, если сообщения индивидуализированы.
Мой сервер будет откладывать доставку более чем на час для каждого обнаруженного мной нарушения RFC. Сюда входят rDNS, ELHO name match DNS, SPF и другие. Есть и другие причины задержки сообщения. Причина задержки доставки должна быть зарегистрирована.