Greylisting
Aus Tuxfutter
Beim sog. Greylisting handelt es sich um einen Mechanismus zur SPAM-Bekämpfung.
Erstmals tauchte ein Whitepaper zu Greylisting im August 2003 auf.
Inhaltsverzeichnis |
[Bearbeiten] Arbeitsweise
Der grundlegende Gedanke des Greylistings liegt darin begründet, dass Spammer häufig keine Queue für ihre mails halten. Wenn eine mail nicht abgeliefert werden, verwirft er sie einfach.
Bei der Einlieferung einer Mail via SMTP erhält der Mailserver vor der Bekanntgabe der eigentlichen email folgende Informationen:
- Hostname (und damit implizit die IP-Adresse) des einliefernden Hosts
- Absender-Adresse (egal, ob korrekt oder gefälscht)
- Empfänger-Adresse
Aus dieser Information bildet der Mailserver ein sog. Tripel und versieht es mit einem Zeitstempel. Ist dieses Tripel dem Server unbekannt, weist er die email mit dem Hinweis, es in einer bestimmten Zeit erneut zu versuchen, ab. Nach Ablauf dieser Zeitspanne darf der Sender es erneut versuchen; die mail wird dann akzeptiert.
Der Mailserver merkt sich nun dieses Tripel und setzt es auf eine Whitelist. Ab diesem Zeitpunkt bleibt das Tripel eine bestimmte Zeitdauer gültig. Erst nach Ablauf diesr Zeitdauer ohne erneute Kommunikation wird dieses bekannte Tripel verworfen und eine erneute Kommunikation würde verzögert werden.
Sinnvolle Zeitrahmen sind bspw. eine Stunde für die initiale Verzögerung, nach der der Sender die email abliefern darf sowie zwei bis vier Wochen für die Gültigkeit der Tripel.
[Bearbeiten] Anpassung durch Spammer?
Was passiert nun, wenn Spammer auf die Idee kommen, doch Mail-Queues in ihre Spam-engines einzubauen?
Stellt ein betroffener Mailserver fest, dass von einem bestimmten Host innerhalb weniger Sekunden sehr viele Mails kommen (das ist bei Spam-Versuchen meist der Fall), kann er an eine Blacklist diese (bisher fehlgeschlagenen) Versuche melden. Dort können innerhalb der initialen Wartezeit die abgelehnten mails geprüft werden (z.B. indem der abweisende Mailserver per Zufallsauswahl eine der vielen tausend mails annimmt) und in eine Blacklist eingetragen werden.
Ist nun die initiale Wartezeit vorüber und der Spammer versucht erneut, seine mails abzuliefern, erkennt der betroffene Mailserver anhand eines Blacklist-Eintrags, dass es sich hierbei wohl um SPAM handelt und nimmt die mails nicht an.
[Bearbeiten] Erfahrungen
Zum Test wurde eine "Allerwelts-Adresse" genutzt, die keine besonderen Maßnahmen zur Geheimhaltung genießt und keine sehr hohe Verbreitung besitzt. Das durchschnittliche SPAM-Aufkommen betrug ca. 30/Tag. Im Testzeitraum wurde lediglich bei 9% der verzögerten Einlieferungsversuche nach dem Ablauf der initialen Wartezeit ein erneuter Versuch der Einlieferung versucht, was auf die seltene Nutzung einer Zustell-Queue bei den Sendern hindeutet. Weiterhin wurden etwa 80% dieser doch noch eingelieferten mails anschließend aufgrund eines Blacklist-Eintrags aussortiert. Zu beachten ist natürlich, dass unter den verbleibenden 20% auch noch reguläre email-Kommunikation zu finden ist.
Fazit: Seit der Einführung des Greylistings Ende April ist das SPAM-Aufkommen in dieser Mailbox von über 30/Tag auf weniger als 1/Tag gesunken. Speziell in Verbindung mit Blacklisting bieten sich hier sehr effiziente Möglichkeiten zur SPAM-Abwehr.
