Окей, сегодня у меня был отличный пример того, что я называю ЛУЧШИМ СПОСОБОМ! У меня есть 3 правила (две последние постепенно убираю), чтобы блокировать отправителей. Думаю, создавать сразу 3 правила — это перебор и неэффективно, но давайте двигаться дальше.

Код:

Who Object: BL-WO-RDomains -  
.*@(\w+\.)?mediaware-news\.com  

What Object: BL-WT-MFrom - Match Field from  
.*@(\w+\.)*mediaware-news\.com  

WHAT Object OLDER, but still active  
BL-WHAT-MatchFrom - Match field from  
.+@mediaware-news.com  

Who Object - BL-WO-RDomains - Регулярное выражение (2 записи)  
.*@(\w+\.)?embluejet\.com  
.*@(\w+\.)?embluemail\.com  

Не будем сейчас разбираться в синтаксисе выше и в том, как это делают все остальные — синтаксис верный, давайте просто поймём концепцию, на которой основан наш метод блокировки.

Вот ключевые строки из заголовка, сгруппированные по совпадению либо с доменом, который я пытаюсь заблокировать, либо с отправляющим сервером, который у меня в поле зрения как спамера.

Строка 16: header.d=mediaware-news.com; dmarc=pass action=none  
Строка 17: header.from=mediaware-news.com; compauth=pass reason=100  
Строка 34: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=epexo; d=mediaware-news.com;  
Строка 36: Message-ID:Date; i=itwarelatam@mediaware-news.com;  
Строка 52: =?utf-8?q?a?= <itwarelatam@mediaware-news.com>  
Строка 56: reply-to: itwarelatam@mediaware-news.com  

Строка 15: smtp.mailfrom=emark9.embluejet.com; dkim=pass (signature was verified)  
Строка 19: emark9.embluejet.com discourages use of 138.9.12.150 as permitted sender)  
Строка 27: Received-SPF: pass (emark9.embluejet.com: Sender is authorized to use 'emblue3prd_user2@emark9.embluejet.com' in 'mfrom' identity (mechanism 'include:_spf.embluemail.com' matched)) receiver=mgw.myproxmox.net; identity=mailfrom; envelope-from="emblue3prd_user2@emark9.embluejet.com"; helo=tnt30.embluetnt.com; client-ip=5.83.1.33  
Строка 28: Received: from tnt30.embluetnt.com (tnt30.embluetnt.com [5.83.1.33])
Строка 41: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=epexo; d=embluetnt.com;  
Строка 59: List-Unsubscribe: <https://app.embluemail.com/Services/Interaccion.svc/DesuscribirContactoEnvio?datos=6g5d-R-ixfxyrxBKuwhhgbr,  
Строка 61: Message-ID: <1RP-ac98e03bbd-p@embluemail.com>  
Строка 63: Return-Path: emblue3prd_user2@emark9.embluejet.com  

Конечно, в Outlook это выглядит так:  
ITware Latam - Noticias de Tecnología en Latinoamérica < itwarelatam@mediaware-news.com >

Я не добавлял синие домены выше в свои новые правила, так что обязательно сделаю это, но это на 100% доказывает мою мысль: я хочу просто в одном правиле ловить mediaware-news, и если оно встречается где угодно в заголовке — сразу матч. Если нет, то приходится делать WHO/WHAT from или Regex, потом то же для Reply-to, и в итоге у меня может набраться сотня записей — что явно неэффективно. И к тому же приходится создавать правила для каждой записи отдельно.

(Кстати, я написал быстрый скрипт: подаю в него домены — он выдаёт команду для добавления правил/объектов.)

Вот, собственно, вопрос: есть ли у нас более эффективный способ сделать то, что я описал?

@dcsapak Правило, которое я опубликовал, так же как и твоё, проходит проверку по регулярному выражению при добавлении правила для name@dom и name@sub.dom, но, к моему удивлению, даже после того, как это правило было применено, спам всё равно доходил. Какой метод, по твоему мнению, лучше всего использовать, чтобы заблокировать отправителя или envelope sender в одном месте, чтобы сократить количество правил? Или, может быть, что-то в заголовках... Добавлять 2 или 3 правила кажется просто замедлением доставки каждого сообщения.

Я использую следующий регулярное выражение для поиска основного домена и поддомена: .*(@|\.)darnspammer\.com. Все адреса электронной почты с основным доменом имеют вид @darnspammer.com, а все адреса с поддоменом — .darnspammer.com.

Если вы хотите заблокировать Envelope From, используйте WHO Who Objects > Create > Name: SpamSenders; Description: любое описание по вашему желанию. Затем нажмите SpamSenders, Add, Regular Expression >>> Regex: .*(@|\.)darnspammer\.com.

Если вы хотите заблокировать header From, используйте WHAT What Object > Create > Name: SpamHeaderFrom; Description: любое описание по вашему желанию. Затем нажмите SpamHeaderFrom, Add, Match Field >>> Field: From Value: .*(@|\.)darnspammer\.com.

В конце, в Mail Filter, добавьте SpamSenders и SpamHeaderFrom в ваши правила блокировки, чтобы всё работало.

@dcsapak У меня огромные логи, поэтому найти, задокументировать и замаскировать информацию немного сложно. Могу сказать, что я получил сообщение уже зная, когда применил правило. Думаю, всё зависит от того, с чем я сравниваю. В кратком описании, которое я видел ниже (на изображении), говорится, КТО отправитель или получатель, и ЧТО содержится в сообщении, но я видел несколько постов, где человек использовал поле WHAT Matchfield вместо WHO. Моя цель —, скажем так, сопоставить ЛЮБОЙ заголовок с доменным именем по регулярному выражению выше, вместо того чтобы выбирать from/reply-to и так далее. Чтобы максимально эффективно написать одно правило, которое будет одним элементом и остановит спам (магия, которую мы, как известно, найти сложно). Я прикрепил трекинг, который веду по своим правилам, чтобы знать, где у меня может быть 1000 правил, но отбрасывается всего 4 письма в месяц, и тогда эти правила можно выкинуть, или чтобы видеть, что новый метод лучше предыдущего. Я делаю это как для белых, так и для черных списков. Во всех случаях мои новые правила срабатывают первыми (WL-Who-DOMR, WL-WT-MFrom, BL-Who-DomR, BL-WT-MTo, BL-WT-MFrom).

ЧТО нужно сопоставить с информацией в заголовке письма, чтобы мой Proxmox применял нижеследующие правила для спама: HeaderFrom, HeaderTo, HeaderSubject, HeaderMessageID, HeaderReceived, HeaderReplyTo, HeaderXMailer, HeaderDisposition, HeaderOtherInfo. Можно добавить множество вариантов для каждого типа.