>Есть почтовик с sendmail на борту, так же стоят SpamAssassin и Clamav.
>
>Стали приходить странные письма. По заголовку адресованные не нам, но приходят на
>конкретных людей.
>Путем анализа логов и tcpdump выяснил, что используется обман:
>На этапе RCPT TO указывается правильный адрес. Но в заголовке fake.
>Аутлук и Бат видят этот самый fake.
>Задача - отбивать такие письма.
примерно так (за точность не ручаюсь):
HTo $>checkhdr_TO
Scheckhdr_TO
R $* $: $( syslog "DEBUG: TO header is: " $1 $) $1
R $* $: $1 $| $>CheckLocalNet $&{client_name}
R $* $| CONN_LOCAL $@ $1
R $* $| CONN_REMOTE $: $1 | $>canonify $1
R $* $| $* < @ $* . > $: $1 | $>CheckLocalNet $3
R $* $| CONN_REMOTE $#error $@ 5.1.2 $: "553 Invalid address"
R $* $| $* $1
R $* $@ $1
SCheckLocalNet
R $=w $@ CONN_LOCAL
R $=R $@ CONN_LOCAL
R $+. $=R $@ CONN_LOCAL
R $* $@ CONN_REMOTE
или через Milter