Pessoal,

No inicio da madrugada de ontem (dia 16/09/2025) meu sistema de bloqueios de spam tinha as seguintes estatisticas:

=== Relatorio de Verificacao RBL - 16/09/2025 ===

IPs bloqueados:       952 (+0)
Hosts bloqueados:     112 (+0)
Dominios bloqueados:  305 (+7)

-- Ultimos 25 dominios adicionados --
  - lojaprecofacil.com
  - pizzariaprime.com
  - sapatariaterra.com
  - sapatariaurbana.com
  - sapatariareal.com
  - cafedaterra.com
  - casaeferramenta.com
  - pastelariapopular.com
  - confeitariaencanto.com
  - lojaecon.com
  - mercadonobre.com
  - petshopcentralbr.com
  - pastelariareal.com
  - vieirahomecenter1.com
  - elizamama.com
  - smtphamptonsstyle.live
  - recebentovouchers.org
  - vieirahomecenter2.com
  - sentboxmailq14.ukrsky.com.ua
  - sentboxmailq17.ukrsky.com.ua
  - sentboxmailq4.ukrline.com.ua
  - sentboxmailq9.ukrline.com.ua
  - 5oan70m0.echellecorp.com
  - o1hha50j.echellecorp.com
  - w5qxz1g6.echellecorp.com

Alguns dias antes, eu notei que alguns spams estavam usando subdomínios em diferentes servidores, então fiz alguns ajustes para quando detectar esse padrão, priorizar esses domínios na pesquisa e fazer o bloqueio, exemplo:

bloquear:

*.ukrline.com.ua
*.echellecorp.com

No final de noite, os bloqueios eram em boa parte dos subdomínios, veja esse exemplo das 21:49

=== Relatorio de Verificacao RBL - 16/09/2025 ===

IPs bloqueados:       952 (+0)
Hosts bloqueados:     112 (+0)
Dominios bloqueados:  356 (+7)

-- Ultimos 25 dominios adicionados --
  - docs3019.magicstrands.hair
  - docs46.magicstrands.hair
  - docs92.magicstrands.hair
  - cpnet78.nudeart.makeup
  - procnet4406.flawlessyou.makeup
  - docs190.magicstrands.hair
  - dcs30.nauticwave.yachts
  - dcs66.nauticwave.yachts
  - dcs22.nauticwave.yachts
  - dcs3809.nauticwave.yachts
  - dcs52.nauticwave.yachts
  - contato.ldfinance.com.br
  - brightcraft.za.com
  - suasetiquetas.com.br
  - formulario.space
  - wetalkie.info
  - thriveloop.space
  - liberoudesconto.com.br
  - sory.lojasmanduvicenter.store
  - adwsocial.com.br
  - servicertificado001b.bdbetterpay.com
  - servicertificado7g8l.bdbetterpay.com
  - servicertificado4fj3.bdbetterweb.com
  - servicertificado72ec.bdbetterweb.com
  - servicertificadolg14.bdbetterweb.com

Por volta das 22:15 eu notei um aumento no recebimento de emails (delegacia virtual) passando pelo filtro e os bloqueios em um nivel que eu não tinha visto ainda por aqui:

=== Relatorio de Verificacao RBL - 16/09/2025 ===

IPs bloqueados:       952 (+0)
Hosts bloqueados:     112 (+0)
Dominios bloqueados:  394 (+38)

-- Ultimos 25 dominios adicionados --
  - mailtime.lojasuniversal.com
  - routing.lojasuniversal.com
  - secureimap.lojasuniversal.com
  - servicehub.lojasuniversal.com
  - autodiscovermail.pastelariapresto.com
  - fastdelivery.pastelariapresto.com
  - mail2.pastelariapresto.com
  - mtransfer.pastelariapresto.com
  - virtualmail.pastelariapresto.com
  - exchsrv.petshopreal.com
  - mnode.petshopreal.com
  - relay.petshopreal.com
  - replymail.petshopreal.com
  - turbo.petshopreal.com
  - accountancy.confeitariafina.com
  - mailbox4.confeitariafina.com
  - mserv2.confeitariafina.com
  - sending.confeitariafina.com
  - mailtime.padariacerta.com
  - mxrelay.padariacerta.com
  - pushmail.padariacerta.com
  - svcemail.padariacerta.com
  - email.acouguenova.com
  - mailroute.acouguenova.com
  - routegateway.acouguenova.com

20 minutos depois:

=== Relatorio de Verificacao RBL - 16/09/2025 ===

IPs bloqueados:       952 (+0)
Hosts bloqueados:     112 (+0)
Dominios bloqueados:  438 (+44)

+20 minutos depois

=== Relatorio de Verificacao RBL - 16/09/2025 ===

IPs bloqueados:       952 (+0)
Hosts bloqueados:     112 (+0)
Dominios bloqueados:  473 (+35)

Por volta da 1h da manhã eu decidi bloquear o tld store porque poderia ter um vazamento ainda maior de emails:

=== Relatorio de Verificacao RBL - 17/09/2025 ===

IPs bloqueados:       1190 (+20)
Hosts bloqueados:     120 (+0)
Dominios bloqueados:  578 (+65)

-- Ultimos 25 dominios adicionados --
  - lnrnp.superdescontosbr.store
  - hfpur.mailpower.lat
  - mhcsn.superdescontosbr.store
  - hzdwr.mailpower.life
  - nxgou.superdescontosbr.store
  - zbfvz.mailpower.site
  - oapxa.superdescontosbr.store
  - fwham.mailpremium.space
  - qbvax.superdescontosbr.store
  - uphnz.maxmail.store
  - smlsy.superdescontosbr.store
  - vrexi.prodescontos.store
  - bqigd.cloud-email.store
  - wwipk.proofertas.store
  - ffdec.cloud-email.store
  - hilzz.mailnetwork.club
  - kkcrd.mailnetwork.club
  - sujsu.emailtop.store
  - oxwaj.globemail.store
  - kygnt.universalmailer.store
  - jxwnd.mailinghub.store
  - scmap.universalmailer.store
  - tuvko.mailinghub.store
  - rdhuh.universmail.store
  - twdel.mailinghub.store

bloqueios no inicio dessa manhã, relatorio das 8:30

=== Relatorio de Verificacao RBL - 17/09/2025 ===

IPs bloqueados:       1267 (+2)
Hosts bloqueados:     122 (+0)
Dominios bloqueados:  810 (+5)

-- Ultimos 25 dominios adicionados --
  - suanovanf.com
  - oljak.lacomuneonline.org
  - qywsy.lacomuneonline.org
  - txrgb.lacomuneonline.org
  - byult.lacomuneonline.org
  - fnmfs.josyaneboulos.com
  - jspsm.josyaneboulos.com
  - tfcja.josyaneboulos.com
  - epriu.slowear.me
  - hgndv.slowear.me
  - rrmcn.slowear.me
  - vdvpa.ttoopazio.help
  - zszvs.ttoopazio.help
  - fgfgq.ttoopazio.help
  - smcjp.france-terrains.net
  - wxbqs.france-terrains.net
  - apj-corporate.com.br
  - maqui18.especialistasegdesaude.com.br
  - pzxny.wtf-etienne.com
  - xfkyg.wtf-etienne.com
  - goodjobrd.com
  - avintiq.space
  - fzznm.peridottoo.help
  - joaso.conflictpreemption.org
  - vttsl.conflictpreemption.org

Além disso, notei que os servidores teve um aumento de carga com processos nos emails, ou seja, força bruta nos emails.

Tive algumas contas de emails com senha comprometida...

É a primeira vez que vejo um ataque de spam pode se dizer

Vocês tiveram recebimento fora do normal por ai?

Eu tive um bom incremento de e-mails vindo de .com e .org porque o resto eu bloqueio tudo pelo tld (cfd, yatchs, etc..) no primeiro filtro que tenho (PMG) e o que passa o SPFBL bloqueia.

Em paralelo, gostei da maneira que foi gerada os registros.
É um script próprio? Caso não, poderia compartilhar?

É um sistema antispam que criei (fiz com IA), no momento não tenho interesse em compartilhar.

Mas basicamente processo emails recebidos nos spams dos servidores, extraio o ip, host e domínio, então bloqueio eles de acordo com analises e volume de emails recebidos...

Eu faço todo esse processamento em um servidor e distribuo para os servidores os arquivos de bloqueio atualizado.

Quando é feito bloqueios fora da normalidade eu configurei para envio de email para o admin para entender como está a situação e ao longo do dia quase não tive bloqueios, todo o arsenal foi utilizado na madrugada kkkk

Apenas uma curiosidade

Eu testei alguns domínios desses que colei aqui e todos domínios .com que testei estão no cloudflare

Não que isso tenha alguma relevância