#68 Estoy totalmente de acuerdo en tu planteamiento, pero... ¿y si no puedes pagar el sueldo del tipo de la puerta?
Google acepta todo y discrimina según su criterio, que encima es muy complejo y personalizado, con lo cual, pocos se pueden quejar, pero... tienes tu la infraestructura de google para poder manejar eso?
hombre, si te llegan de 4 clientes, evidentemente si, pero si manejas muchos datos, olvidate.

#71 DKIM es una patraña
una considerable y mayoritaria cantidad de SPAM que recibo, viene de proveedores con su DKIM puesto pulcramente, pero son basura, pura y dura, que solo demuestra que su basura ha salido de sus servidores.

#100 Yo creo que si se traducen en algo, y llevas razón en parte.
A ver.
Yo garantizo que mis usuarios y sus dominios tiene el correo autentificado y nadie puede suplantarles e incluso un análisis forense de un email puede acreditar la veracidad e integridad del mismo.
Si alguien intenta enviar un correo diciendo que es fulano@stash.com muchos servidores ( y sobre todo los grandes y los honeypots) rechazarán el correo.
El problema es a la inversa.
Te das cuenta, y es donde te doy toda la razón, que grandes empresas ni si quiera publican punteros SPF por lo que no puedes aplicar una política estricta para SPF y/o DKIM.
En nuestro caso los servidores solo rechazan un correo en caso de que el analisis de SPF resuelva a FAIL, pero como muchos ni siquiera tienen SPF en orden no te queda más que aceptar el correo.

Resultado: No bloqueas todo pero si bloqueas una parte del SPAM, lo que junto con todo lo anterior hace que se reduzca el SPAM que entregas a tus usuarios y no suelen bloquearte. Es una ayuda más que tambien cuenta.
Pero si, ya he tenido algun encontronazo con algun directivo que cuando rechazas un correo de un tercero te exige que aceptes todo.
Y lo hacemos.
Al tercer día de tener el buzón hasta arriba de mierda te vuelven a llamar para que eches el cerrojo.

#102 DKIM es como SPF. Sirve para evitar las suplantaciones y que otro servidor que no sea de tu empresa envíe mensajes haciendose pasar por ti. Evita el phishing, o al menos da herramientas para identificar un mensaje legítimo de otro fraudulento, pero si usan un usuario y contraseña correcto para enviar, ahí no puede hacer nada porque el mensaje está saliendo de tu servidor de forma legítima, aunque su contenido no lo sea.

#76 Para meter muchas IPs a capón en el firewall es mejor usar ipset. En iptables sólo tendrías una regla por cada grupo de IPs, y luego con ipset vas metiendo cada IP en el saco que le corresponda.

#104 Exacto.
Yo he sufrido un server "explotado" (#29)Y firmas todos y cada uno de los correos que evías, con sus virus, sus viagras, etc. Y desde tus direcciones.
#105 Los se perfectamente (ver #99) pero al ser un VPS con OpenVZ/Paralles no te deja usarla por temas de kernel del host y del contenedor. Tampoco podemos sincronizar por NTP, tenemos que fiarnos de la hora del host.