В предыдущем материале я показывал базовый вариант ранней фильтрации входящего трафика на MikroTik через Spamhaus ZEN. Подход оказался рабочим - нагрузка на почтовые сервисы снизилась на 30-70%, а количество SMTP-сессий уменьшилось в несколько раз.

Но в процессе эксплуатации всплыли важные недостатки:

• Единая точка отказа - если DNS Spamhaus недоступен, фильтрация полностью прекращается, и новые вредоносные IP перестают блокироваться до восстановления сервиса.

• Ложное ощущение защиты - NXDOMAIN воспринимался скриптом как ошибка, из-за чего IP оставался в очереди навсегда.

• Нет понимания причин блокировки - невозможно определить, какой DNSBL и по какой причине сработал.

Эти проблемы подтолкнули к переработке скрипта.