Estamos tentando descobrir se existe uma maneira de criar um fluxo/alerta que detecte quando um endereço de e-mail estiver em um log mais de X vezes. Pelo que sabemos, posso contar apenas o número total de mensagens que correspondem ao fluxo.
Por exemplo, gostaríamos de alertar em um campo chamado 'mailaddress' se o valor foi o mesmo mais de 10 vezes no último minuto. Alguém tem ideias de como fazer isso?
Há várias ferramentas disponíveis projetadas para verificar logs.
fail2bané um desses. Você precisaria configurar uma expressão para corresponder e configurar a ação apropriada. Isso pode incluir a inclusão temporária do usuário na lista negra do firewall.Você pode detectar servidores mal configurados com tempos de repetição inicial configurados em segundos, em vez de minutos ou horas. É provável que os spambots mudem seus endereços de envio com frequência, então você pode perdê-los.
Já vi vários remetentes em massa tentarem rapidamente usando um IP diferente em cada solicitação. Os domínios correspondentes tendem a ser consistentes nos primeiros dois ou três níveis.
Eu consertaria duplicatas sendo enviadas corrigindo os dados da lista de discussão. Você terá duplicatas de rejeições temporárias que devem ser repetidas pelo seu servidor de e-mail. Use uma tentativa inicial razoável como 1 hora e monitore sua fila para entradas que estão na fila há algum tempo. A parte do domínio de um endereço de e-mail sempre não diferencia maiúsculas de minúsculas, e o site esquerdo quase sempre não diferencia maiúsculas de minúsculas.
A maioria dos servidores de correio eliminará endereços duplicados na mesma mensagem. No entanto, isso não ajuda se as mensagens forem individualizadas.
Meu servidor irá adiar a entrega por mais de uma hora para cada violação de RFC que eu detectar. Isso inclui rDNS, DNS correspondente a nomes ELHO, SPF e outros. Há outras razões pelas quais uma mensagem será adiada. O motivo pelo qual a aceitação da entrega foi adiada deve ser registrado.