Vladimir Sharun wrote on 22.06.2021 09:54: > если речь о последнем примере в этой теме, то marketinge.website - это > не домен отправителя. это $sender_host_name. там их небольшая кучка > созвучных > > marketinge.website > \N^marketinge\d+\.website$\N > marketinge.ru > marketinge.space > marketinger.website > \N^marketinger\d+\.website$\N > protomarketing.website > promarketing.website > marketinge.tech > > а адреса отправителя у них вообще из домена gmail.com > > > Этот момент покрывается правилом @gmail.com без DKIM gmail'а. > Ложных срабатываний - сайты-самоучки.
плюс фильтрация по этим именах хостов в helo позволит отсеять и те письма, которые они будут слать с другим доменом в адресе отправителя. > в данном конкретном случае они просто как пример того, что в ответ на > запрос к http://$sender_host_name/ прилетает ответ с Content-Length: 0 > > > Если взять статистику чуть поширше, то окажется, что мир поделится > где-то пополам. Я именно по-этому и спросил "ну как успехи", потому что > тестировал (безуспешно) этот функционал в 2017 летом, время от времени > возвращаюсь и результат где-то один и тот же (ложных срабатываний > существенно больше 1%). Еще фактор анализа - это новые домены: у > рассыльщиков десятки-сотни технических доменов и всё честно, но домены > новые, хотя их и прогревают какое-то время. Т.е. если отталкиваться от > "домен новый" - это не поможет, как решающий фактор, скорее как элемент > скоринга. новый домен обычно не характеризуется пустой страницей на титульной странице сайта, адрес которого соответствует адресу домена. ну... по крайней мере она будет пустой с точки зрения html, а не с точки зрения ответа нулевой длины. хоть какие-то там <html> и </html> с горсткой тегов между ними скорее всего будут. на хостингах по дефолту вообще обычно какие-то заглушки стоят с вполне себе ненулевой длины html кодом. я это не к тому, что нужно на каждое письмо в ответ сыпать http запросами. нюансов там слишком много (http/https, www/без www, редиректы и т. д.), а выхлоп будет явно небольшой. я к тому, что для разборок (скорее всего ручных) критерий пустой страницы вполне себе пригодится как дополнительный. > На каком-то этапе надоест руками разделять: этого в исключения, этого в > блеклист, а самое важное, что это стратегически ошибка: ты всегда на шаг > позади. > > # exim -be '${readsocket{inet:marketinge.website:80}{GET / > HTTP/1.0\r\nHost: marketinge.website\r\n\r\n}{4s:shutdown=no}{\n}{socket > failure}}' > HTTP/1.1 200 OK > Server: nginx > Date: Mon, 21 Jun 2021 10:38:51 GMT > Content-Type: text/html; charset=UTF-8 > Content-Length: 0 > Connection: close > X-Powered-By: PHP/8.0.1RC1 -- Best wishes Victor Ustugov mailto:[email protected] JID: [email protected] GnuPG/PGP key: https://victor.corvax.kiev.ua/corvax.asc _______________________________________________ Exim-users mailing list [email protected] http://mailground.net/mailman/listinfo/exim-users
