最近、tarpittingを抜けてくるスパムがぼちぼちいて、それらは主に株スパムなのですが、そいつらの特徴をつかむためにトラップをしかけて調べていました。

で、そこで株スパムは(現時点では)再送はしてこないので、greylistingだと全部落とせそう、というのがわかりました。

ついでに、greylistingよけを施されたスパム送信ソフトの傾向がちょっとつかめました。

postfixやqmailといった、普通のMTAを使っている場合ではない場合、どうやら再送は1回のみ、という場合が大半のようです。
なので、greylistingサーバで、許可するまでのカウントを2回ではなく3回にしてやれば、現在のgreylisting対策がされたものも、ほとんど落とせるようです。

あと、時間は15秒とかすごい短い間隔のものがあり、まあこれは再送を許可しない時間の設定ですぐに対応出来ると思います。(postgreyだと標準設定で通らないはず)
あとは2分とか11分とかなので、再送を許可しない時間を1時間とかにしてしまことでも対応可能です。

前のエントリーで、IPの生存期間を24時間とかで見て対応、というのを書きましたが、今のところはこっちのほうがお手軽で確実かなあ、という感じですね。
なので、deoさんのアイデアで良さそうです。