In che modo gli spammer verificano la validità di un'enorme quantità di indirizzi e-mail?

Non lo fanno, ci vuole meno lavoro per loro semplicemente per inviare email a indirizzi non validi di quanto non faccia per eliminare quelli non validi.

Nella mia esperienza, la maggior parte degli MTA non verificherà effettivamente gli indirizzi di posta elettronica se ci si connette per il motivo esatto che consente alle persone di enumerare indirizzi validi. Normalmente rifiuteranno il comando VRFY e / o accetteranno la posta per qualsiasi utente specificato nella riga RCPT e quindi interromperanno silenziosamente la posta per quelli non validi.

Per quanto riguarda i servizi che dicono che convalideranno gli indirizzi, prenderei quel reclamo con un pizzico di sale. Mentre è possibile fare cose come mandare mail a tutti sulla lista e contare i rimbalzi, provare ad usare altri metodi (ad esempio web bug) per verificare gli indirizzi live, nessuno di questi approcci è infallibile.

Un altro approccio che possono adottare è quello di convalidare gli indirizzi forniti contro gli elenchi che hanno ricevuto da altrove, ma ancora una volta non un metodo infallibile.

La maggior parte delle campagne di spam si basano sulle botnet per fare il vero lavoro, quindi avere i singoli nodi nella lista nera come spammer a causa dell'invio di molte e-mail a indirizzi inesistenti non è un grosso problema per loro. Spesso raccolgono solo più indirizzi possibili e impazziscono, senza alcuna verifica vera e propria.

Uno degli approcci più intelligenti che ho visto è quello di inviare newsletter "legittime", che probabilmente non verranno contrassegnate come spam e includere alcuni collegamenti alle pagine dei prodotti e un link di annullamento dell'iscrizione. Gli utenti che fanno clic su uno qualsiasi dei link vengono immediatamente contrassegnati come attivi. Questo riduce la possibilità di avere i messaggi nella lista nera dei filtri antispam e rende gli sforzi di spam più efficienti.

Ci sono molti metodi. È possibile inviare messaggi di posta elettronica con un link di iscrizione e sottoscrizione, che di fatto vi registreranno come validi e attivi. È possibile creare un servizio reale che richiede e-mail agli utenti (newsletter, iscrizione al forum) con un metodo di conferma, quindi utilizzarli per altri scopi. Il mio preferito sarebbe la creazione di un sito Web che possa inviare un'immagine per tutte le richieste che gli fai. Invia messaggi HTML che includono un'immagine e utilizza un link personalizzato. Quando il client di posta scarica l'immagine per la visualizzazione, registra la posta associata al link. Questo metodo può essere utilizzato con immagini di grandi dimensioni e immagini 1x1px per la modalità invisibile. Alcuni antivirus potrebbero rilevare alcuni di questi attacchi.