Eu corro um servidor de email para vários milhares de usuários. Ele usa o Postfix + Amavis (com SpamAssassin + Clam).
Na maioria das vezes é uma configuração muito feliz, mas de vez em quando recebemos uma enxurrada de e-mails de vírus / phising, por exemplo do campo dizendo 'Administrador', assunto algo como 'Fatura anexada', então um zip malicioso / anexo em pdf. Receberemos talvez 5.000 destes (todos de diferentes anfitriões) no espaço de poucas horas (geralmente no final da manhã), e então cairá. Presumivelmente, é um vírus enviado de PCs domésticos infectados.
O SpamAssassin faz um bom trabalho em pegá-los, mas não é exatamente leve, e isso sobrecarrega nosso servidor de e-mail, então estou procurando uma solução melhor.
Curto-circuito no SA é uma opção. Isso não impede que o SA escaneie a mensagem, mas pelo menos limita o número de regras que ela verifica. No entanto, ainda exigiria intervenção manual (por exemplo, adicionar uma regra para marcar +100 e, em seguida, causar um curto-circuito em qualquer e-mail com o assunto / ^ Fax de entrada /). Se eu escrevesse um plug-in SA para adicionar automaticamente uma regra de curto-circuito (por exemplo, 'se recebermos mais de 10 e-mails em 60 segundos com o mesmo assunto, marcar +100 para futuros e-mails com esse assunto'), ele estaria aberto a abusos e falsos positivos.
Gostaria de saber se haveria uma boa maneira de bloquear / rejeitar / descartar esses e-mails no nível do SMTP, removendo a sobrecarga de varredura e, em seguida, o SA. Bloqueio automático do IP (por exemplo, através de regras iptables ou postfix) parece inútil, como é geralmente a partir de endereços únicos. Muitas vezes, o assunto será um pouco aleatório, por exemplo, 'Fax de entrada # 1234', 'Fax de entrada recebido', '# 321 novo fax em espera'.