已所不欲，勿施於人

上一篇談到 backscatter 問題的文章提到有些 antispam gateway 是 catch all 的，判斷電郵地址正確與否交了給下層的 delivery agent ，這種做法是不正確的。大家看了 Richi Jennings 的兩篇文章，便知道這麼做的嚴重性。如果你不能在 SMTP 層面 reject unknown user ，而要等到 delivery 層面時才 rebound message 的話，最大可能是 rebound 到一些無辜的第三者身上。

我前幾個星期替一個客戶安裝 email server，他不需要我安裝 anitspam 和 firewall function，因為他用上了一間香港「著名」的 antispam 公司的產品 (據講還得了獎)。
當天大家上 datacenter ，分別完成了各自的安裝工作，我奇怪的問那公司的工程人員為何從不問我電郵戶口的資料，他說不需要了，所有 incoming 來信 antispam gateway 都會接收，判斷是否有問題 (virus 或 spam)，無問題的就交給你的 email server ，由我的機器是否需要 rebound。
我跟着解釋這方法的問題所在，他才勉強的接受我 export 一個 text based account list ，好讓他能在 smtp 層面擋 dictionary attack。