Outras perguntas que você precisa fazer: qual é a sua taxa aceitável de falso positivo e falso negativo (quanto de legitimidade você está disposto a perder e quanto de lixo você está disposto a aceitar?)
Qual latência adicional você está disposto a aceitar? Algumas técnicas anti-spam muito eficazes e pouco faladoras (por exemplo, greylisting) podem atrasar o correio. Isso pode irritar alguns usuários que (sem realismo) esperam que o email seja uma comunicação imediata.
Reflita sobre o quanto você deseja externalizar seus custos ao planejar um sistema anti-spam. Por exemplo, as listas negras baseadas no ipfilter são implacáveis, mas não afetam materialmente nenhum outro sistema. A lista cinza preserva a largura de banda do remetente e do destinatário, mas mantém as mensagens em filas remotas por mais tempo. Mensagens de rejeição de email e sistemas de desafio / resposta podem ser (ab) usados para enviar um email a um terceiro não relacionado. Técnicas como tarpitting ativamente externalizam custos, mantendo intencionalmente conexões SMTP abertas por longos períodos de tempo. As DNSBLs exigem que você ceda uma certa quantidade de controle a terceiros (mantenedores de listas negras), mas, em última análise, como administrador de e-mail, você é responsável por explicar sua política de bloqueio a seus usuários & gestão. O resultado é que existem considerações éticas que acompanham cada tecnologia e é importante estar ciente de seu efeito sobre os outros.
Quão tolerante você será em relação aos sistemas externos mal configurados? ( por exemplo, aqueles sem FCrDNS, sequências HELO / EHLO quebradas, pipelining não autorizado, aqueles que não tentam novamente corretamente após um código de falha temporário 4xx, etc. )
Quanto tempo, dinheiro, largura de banda e hardware você deseja dedicar ao problema?
Nenhuma técnica é eficaz, mas uma abordagem de defesa em profundidade pode reduzir substancialmente o lixo recebido. DNSBLs, URIBLs, greylisting, filtragem de conteúdo e white-lists e blacklists ajustadas manualmente funcionam bem em meu pequeno domínio, mas posso me dar ao luxo de ser mais liberal naquilo que rejeito.
A menos que as coisas tenham mudado recentemente, a IP de lista negra por país de origem não é muito eficaz. Eu tive a idéia de usar impressão digital ASN e OS (via p0f) para julgar a qualidade de uma conexão de entrada, mas não segui-lo; as estatísticas seriam interessantes de se olhar, mas não estou convencido de que seria mais útil do que as técnicas padrão já descritas. A vantagem de usar as informações de impressão digital do GeoIP, ASN e OS é que, embora possam ser indicadores de qualidade de conexão, eles estão disponíveis no tempo de conexão TCP / IP, muito antes de você atingir a camada SMTP (fsvo "long"). combinação, eles podem provar ser úteis e isso seria útil porque o spam fica mais caro para bloquear quando se aproxima do usuário final.
Eu não estou tentando ser um pessimista; As codificações de caracteres 'excêntricos' e as informações do GeoIP provavelmente se correlacionam bem com o spam, mas podem não ser confiáveis o suficiente para serem usadas como critérios únicos para bloquear o correio. No entanto, eles podem ser indicadores úteis em um sistema como o Spamassassin. A conclusão é que a defesa contra spam é um problema complexo na análise custo-benefício-risco e é importante saber quais são seus valores antes de implementar ou alterar um sistema.