Коллеги, добрый день!
Либо я как-то неправильно гуглю, либо одно из двух:
Приходит такой спам:
в поле FROM: ГБУ «Агентство инноваций Москвы» <ic@develop.mos.ru>
Смотришь заголовки:
Received: from macka39.sndsy.ru (macka39.sndsy.ru [185.138.183.39])
Return-Path: gluck-414-378027-8223-cirinfo@mail.sendsay.ru
Даже DKIM-Signature присутствует.
Т.е., технически - письмо как бы полностью валидное.
Ну, и стандартно, какой-нибудь pdf или doc в аттаче.

Тот же gmail, например, обязательно предупреждает, что письмо может быть мошенническим.

Также, смутно вспоминаю, что это, вроде как, не нарушает RFC.

Но, хотелось бы отслеживать подобные письма и начислять им максимальные спам-очки. Либо, вообще не пропускать.

МТА: postfix-2.6.6

Собственно, ситуация примерно аналогична этой:
https://www.opennet.dev/openforum/vsluhforumID1/95042.html

• Помогите написать правило для postfix,PavelR, 14:13 , 23-Дек-16
  • Помогите написать правило для postfix,Alting, 14:46 , 23-Дек-16
    • Помогите написать правило для postfix,ALex_hha, 15:46 , 25-Апр-17
• Помогите написать правило для postfix,Bootmen, 14:40 , 23-Дек-16
  • Помогите написать правило для postfix,Alting, 14:46 , 23-Дек-16
    • Помогите написать правило для postfix,Bootmen, 14:50 , 23-Дек-16

> Но, хотелось бы отслеживать подобные письма и начислять им максимальные спам-очки. Либо,
> вообще не пропускать.

1) Так какой критерий?
2) Постфикс не занимается начислением спам-баллов.

>> Но, хотелось бы отслеживать подобные письма и начислять им максимальные спам-очки. Либо,
>> вообще не пропускать.
> 1) Так какой критерий?

Критерий: считать неспамом письма, в которых в этих полях совпадает имя домена.

> 2) Постфикс не занимается начислением спам-баллов.

этим будут заниматься всякие спамасассины и rspamd

> Критерий: считать неспамом письма, в которых в этих полях совпадает имя домена.

прощай большинство групп рассылок

> этим будут заниматься всякие спамасассины и rspamd

ну так в SA и настраивай, MTA тут не причем. А если учитывать, что у вас Postfix - то придется страдать.

>[оверквотинг удален]
> Даже DKIM-Signature присутствует.
> Т.е., технически - письмо как бы полностью валидное.
> Ну, и стандартно, какой-нибудь pdf или doc в аттаче.
> Тот же gmail, например, обязательно предупреждает, что письмо может быть мошенническим.
> Также, смутно вспоминаю, что это, вроде как, не нарушает RFC.
> Но, хотелось бы отслеживать подобные письма и начислять им максимальные спам-очки. Либо,
> вообще не пропускать.
> МТА: postfix-2.6.6
> Собственно, ситуация примерно аналогична этой:
> https://www.opennet.dev/openforum/vsluhforumID1/95042.html

Я этот .sndsy.ru уже как 2 месяца в режект внес.
в компанию с .emlone.com

>[оверквотинг удален]
>> Ну, и стандартно, какой-нибудь pdf или doc в аттаче.
>> Тот же gmail, например, обязательно предупреждает, что письмо может быть мошенническим.
>> Также, смутно вспоминаю, что это, вроде как, не нарушает RFC.
>> Но, хотелось бы отслеживать подобные письма и начислять им максимальные спам-очки. Либо,
>> вообще не пропускать.
>> МТА: postfix-2.6.6
>> Собственно, ситуация примерно аналогична этой:
>> https://www.opennet.dev/openforum/vsluhforumID1/95042.html
> Я этот .sndsy.ru уже как 2 месяца в режект внес.
> в компанию с .emlone.com

Я тоже внес, но они ж плодятся как кролики

>[оверквотинг удален]
>>> Тот же gmail, например, обязательно предупреждает, что письмо может быть мошенническим.
>>> Также, смутно вспоминаю, что это, вроде как, не нарушает RFC.
>>> Но, хотелось бы отслеживать подобные письма и начислять им максимальные спам-очки. Либо,
>>> вообще не пропускать.
>>> МТА: postfix-2.6.6
>>> Собственно, ситуация примерно аналогична этой:
>>> https://www.opennet.dev/openforum/vsluhforumID1/95042.html
>> Я этот .sndsy.ru уже как 2 месяца в режект внес.
>> в компанию с .emlone.com
> Я тоже внес, но они ж плодятся как кролики

Так до только домен вводить а не полный.
Их этих серверов немеренно у этих спамерюг. Причем сидят в разных сетях
.sndsy.ru
.emlone.com
   и т.д.