¿Cómo verifican los spammers la validez de una gran cantidad de direcciones de correo electrónico?

No lo hacen, les lleva menos trabajo enviar correos electrónicos a direcciones no válidas que eliminar las que no son válidas.

En mi experiencia, la mayoría de los MTA no verifican realmente las direcciones de correo electrónico si se conecta a ellas por la razón exacta de que permite a las personas enumerar direcciones válidas. Por lo general, rechazarán el comando VRFY y / o aceptarán el correo para cualquier usuario especificado en la línea RCPT y luego soltarán el correo para los que no sean válidos.

En cuanto a los servicios que dicen que validarán las direcciones, tomaría esa afirmación con una pizca de sal. Si bien es posible hacer cosas como enviar correos electrónicos a todos en la lista y contar los rebotes, intente utilizar otros métodos (por ejemplo, errores de la red) para verificar las direcciones en vivo, ninguno de estos métodos es infalible.

Otro enfoque que pueden adoptar es validar las direcciones proporcionadas contra listas que obtuvieron de otros lugares, pero nuevamente no es un método infalible.

La mayoría de las campañas de spam se basan en botnets para hacer el trabajo real, por lo que tener nodos individuales en la lista negra como spammers debido al envío de muchos correos electrónicos a direcciones no existentes no es un gran problema para ellos. A menudo, simplemente cosecharán tantas direcciones como sea posible y se volverán locos, sin ninguna verificación real.

Uno de los métodos más inteligentes que he visto es enviar boletines "legítimos", que probablemente no se marcarán como spam, e incluirá algunos enlaces a páginas de productos y un enlace para cancelar la suscripción. Los usuarios que hacen clic en cualquiera de los enlaces se marcan inmediatamente como activos. Esto reduce la posibilidad de que los filtros de spam incluyan los mensajes en la lista negra y hace que los esfuerzos de spam sean más eficientes.

Hay muchos métodos. Puede enviar un correo con un enlace para revisar la suscripción, que de hecho lo registrará como válido y activo. Puede crear un servicio real que solicite un correo electrónico a los usuarios (boletín informativo, inscripción en el foro) con un método de confirmación y luego utilizarlos para otros fines. Mi favorita sería la creación de un sitio web que pueda enviar una imagen para todas las solicitudes que le haga. Envía mensajes HTML que incluyen una imagen y utiliza un enlace personalizado. Cuando el cliente de correo descargue la imagen para mostrarla, registre el correo asociado al enlace. Este método se puede usar con imágenes grandes, así como con imágenes de 1x1px para el sigilo. Algunos antivirus pueden detectar algunos de estos ataques.

En algunos casos, simplemente no dependen de los métodos SMTP. En su lugar, colocan un enlace personalizado en un correo no deseado, como http://example.com/news5/display.php?M=537686&C=eee9c997b0e958fa373533c5f4 . Si alguien hace clic en ese enlace, un spammer puede concluir que el correo electrónico se recibió y, por lo tanto, la dirección está funcionando.

Si un spammer proporciona el tipo de servicio de verificación que describiste, es posible que simplemente tenga una base de datos de direcciones de trabajo conocidas y verifique las direcciones proporcionadas con la base de datos.

Hoy en día, la mayoría de los servidores de correo tienen contramedidas para verificar si existen direcciones de correo electrónico. Así que asumo que esto no está funcionando en una escala más grande.