La greylisting SMTP a) blocca molto spam e b) blocca molta posta legittima?


10

Ho appena impostato un server SMTP su un dominio relativamente poco utilizzato utilizzando Postfix e abilitato il greylisting con SQLGrey . Finora sembra funzionare bene, e mentre c'è la leggera irritazione dei ritardi nelle e-mail dei nuovi mittenti, posso vedere dai registri che sta scoraggiando un numero di messaggi spam.

Nella tua esperienza il greylisting blocca efficacemente molto spam? È un'aggiunta utile ad esempio a SpamAssassin o lo sta aggiungendo in eccesso / inutile?

Se dovessi implementarlo per domini di uso più intenso (forse con utenti più esigenti) anticiperesti una porzione significativa di server di posta mal configurati che finirebbe per rimbalzare o perdere messaggi?


1
Per una versione aggiornata di questa domanda, consultare: serverfault.com/questions/436327/…
james.garriss

Risposte:


5

Nella tua esperienza il greylisting blocca efficacemente molto spam?

È molto efficace. L'ho usato per 3+ anni e ha avuto un impatto decisivo sul nostro processo di filtrazione.

È un'aggiunta utile ad esempio a SpamAssassin o lo sta aggiungendo in eccesso / inutile?

In realtà ridurrà il carico di lavoro di scansione. Consiglio di aggiungerlo.

Se dovessi implementarlo per domini di uso più intenso (forse con utenti più esigenti) anticiperesti una porzione significativa di server di posta mal configurati che finirebbe per rimbalzare o perdere messaggi?

L'ho visto accadere, anche se i server di posta erano gravemente mal configurati (il postmaster aveva deciso di rinunciare immediatamente alla consegna in caso di errore soft, piuttosto che riprovare l'invio). Questo si riduce a come il mittente gestisce un messaggio 4xx vs. 5xx. Se li trattano allo stesso modo, avrai alcuni problemi. Se li trattano correttamente , dove 4xx è un soft-fail e il mittente riproverà, non ci saranno problemi. Anche se lo hanno configurato male, la soluzione semplice è quella di aggiungere il dominio del mittente alla tua greylist come "già visto" e dargli un punteggio assurdo per evitare che cada dal database.


Sto accettando questa risposta ora, perché stiamo usando il greylisting da un po 'di tempo, e sembra essere molto efficace. Sono sicuro in parte dei suggerimenti qui, non abbiamo avuto problemi reali con mail fallite o ritardi eccessivi.
Sbatti il

9

Nella mia esperienza, il greylisting non offre abbastanza benefici per giustificare gli svantaggi. Mentre avevo impostato greylisting sul mio server, era abbastanza fastidioso ritardare ogni (nuova) e-mail in arrivo. So anche per certo che alcune email in arrivo si stavano perdendo.

Gli spammer erano abbastanza persistenti (e penso che anche allora stavano iniziando a fare automaticamente nuovi tentativi) che il loro spam venisse comunque superato. Ho disattivato il greylisting anni fa e non ho guardato indietro.


6
Generalmente la greylisting non ritarda ogni nuova email in arrivo. Ritarda solo i pattern ip-mittente-destinatario mai visti prima. Questo è lontano da tutte le email in arrivo.
Tony Meyer,

2
Capisco, ecco perché ho detto "nuove" email in arrivo. Immagino di non averlo spiegato abbastanza bene, ma presumibilmente chiunque capisca cosa fa il greylisting riconoscerebbe il problema. Indipendentemente da ciò, era ancora fastidioso.
Greg Hewgill,

1
Ho iniziato a utilizzare il greylisting 5 anni fa e, come la maggior parte delle tecniche anti-spam, è stato fantastico quando è uscito per la prima volta. Tuttavia, sono d'accordo che i benefici sono più minimi. Ho pensato seriamente di spegnerlo.
Aaron,

Ho trovato un elenco grigio come implementato in SmarterMail per bloccare e-mail più legittime (presumo, i mittenti rinunciano dopo essere stato negato) di quanto mi sentissi a mio agio. È stato particolarmente fastidioso fare cose come tentare di reimpostare una password, ecc. La spengo su tutti i miei domini, che sono più o meno a basso traffico, ma ancora attaccati dagli spammer. Non ho dettagli specifici su registri e statistiche, ecc.
qxotk,

5
Il segreto per un greylisting efficace è quello di (a) impostare una soglia abbastanza bassa da consentire ai mittenti principianti di superare i primi 2-3 giorni e (b) di scadere il database di voci molto vecchie. Gli spammer si noterà greylisters, e saranno riprovare di nuovo ad un certo punto. La scadenza del loro ingresso dopo circa una settimana li farà ripetere il processo, aumentandone l'efficacia. Prima di ciò, abbiamo intrappolato il 95%; dopo aver aggiunto la scadenza, abbiamo intrappolato più come il 99,99%. Altamente raccomandato.
Avery Payne,

3

Il greylisting bloccherà efficacemente molti spam prima ancora che colpisca il filtro dei contenuti.

È una dipendenza davvero utile perché ridurrà notevolmente il carico di lavoro della scansione, ridurrà i falsi negativi (parte dello spam che non verrebbe catturato dal filtro dei contenuti verrà preventivamente bloccato dal greylisting) e non può, per definizione, introdurre qualsiasi falso positivo (posta legittima bloccata).

Le e-mail che perdi sono dovute a mittenti smtp non conformi - sì, ci sono alcuni "big" che non giocano ancora bene, una breve whitelist si prenderà cura di loro fino a quando non ripareranno i loro sistemi. Alla fine, avere molti siti con greylisting su Internet avrà il piacevole effetto collaterale di costringere più persone a usare server di posta correttamente configurati.

Con una buona impostazione greylist (buona implementazione + buona configurazione / operazioni) verranno rimandate pochissime e-mail, e il più delle volte il ritardo sarà dell'ordine di pochi minuti. Inoltre, una buona impostazione greylisting è principalmente un sistema "distribuisci e dimentica", riducendo il flusso di spam, il carico dei sistemi senza aumentare il carico (sysadmin).

Prima di attivare il greylisting su domini esistenti, consiglio vivamente di implementarlo in "modalità di apprendimento", dove controllerà il flusso di posta senza ritardare nulla. Ciò consentirà di apprendere le terzine e di autorizzare i mittenti smtp.

Avere un sacco di posta bloccata prima dello scanner dei contenuti avrà una serie di buoni effetti collaterali. Mi piacciono particolarmente questi:

  1. a parte le whitelist manuali brevi e che cambiano raramente, un sistema greylisting non ha bisogno di alcuna conoscenza condivisa tra server, semplificando la distribuzione di più MX in posizioni / data center distribuiti geograficamente
  2. ridurre il carico di scansione significa che è possibile utilizzare meno hardware per la scansione del contenuto
  3. meno server per la scansione dei contenuti significa che puoi centralizzarli più facilmente, gestirli, eseguirne il debug (migliore rapporto segnale / rumore nei registri;)
  4. meno carico sui sistemi per rifiutare lo spam "ovvio" e più carico su un sistema spammer per riprovare la consegna significano entrambi un miglior rapporto carico / spammer del destinatario, che rende l'invio di spam più "costoso", e questa è una buona cosa a lungo termine

Tutto sommato, il greylisting si riduce a:

  1. costringendo i mittenti a conformarsi agli standard, ciò renderà più semplice il corretto funzionamento dell'intero sistema di posta elettronica e sarà più facilmente gestibile (-> più facilmente rintracciare gli spammer come effetto collaterale)
  2. aumentare (un po ') il costo dell'invio di e-mail, avere un piccolo impatto sui mittenti legittimi e uno maggiore sugli spammer (-> aumentare i costi di invio dello spam è sempre buono)

EDIT: mentre c'è un (piccolo, ma che è IMHO) impatto dei tempi di consegna della posta legittimi, potrebbe essere ridotto usando altri mezzi per aggirare il greylisting, come il tarpitting e SPF . Il primo è interessante, ma farei alcuni test del mondo reale prima di giudicare la sua efficacia / svantaggi, il secondo non è sempre disponibile.


1
Buon post, ma per favore correggi la riga "non può, per definizione, introdurre alcun falso positivo". Ciò non è vero, il greylisting può (e causerà) la perdita di posta legittima se il server di invio non è configurato correttamente. Sebbene ciò non accada in un mondo ideale, deve essere preso in considerazione.
sleske,

Tuttavia, +1 per un buon post, in particolare la "modalità di apprendimento".
sleske,

@Sleske, grazie per il tuo commento, ma non sono d'accordo. Non chiamo dati di "posta legittima" provenienti da un "server di invio configurato in modo errato" - non è ciò che viene definito come un messaggio di posta elettronica, ma qualcosa di simile ad esso. OTOH, è vero che devi tenerne conto come ti spiego nella mia risposta.
Luke404,

3
Bene, credo fermamente che le esigenze degli utenti dovrebbero sempre venire prima (dopo tutto, questo è ciò per cui siamo pagati). Quindi sono gli utenti che definiscono se una mail è legittima e non si preoccupano dei server configurati male. Se un utente vuole ricevere la posta, è legittimo, è così semplice.
sleske,

2

Sì, il greylisting può bloccare una quantità ragionevole di spam, a costi molto contenuti. Anche quando non blocca lo spam, il ritardo aggiunto concede ulteriore tempo affinché il messaggio o il mittente vengano elencati in DNSBL o in elenchi basati su hash.

Dovresti assicurarti di usare una buona implementazione (non ho familiarità con SQLGrey). In particolare, puoi generalmente trovare modi per fidarti delle terzine senza aver mai visto la terzina esatta prima (ad esempio se hai visto abbastanza terzine da un IP, allora probabilmente non ha senso greylisting ulteriori terzine da quell'IP). Dopo un breve lasso di tempo, vengono inseriti nella greylist pochissimi messaggi legittimi.


2

Un possibile problema con il greylisting è che gli utenti non riceveranno immediatamente la posta. Questo è molto frustrante per le mail di reimpostazione della password. Queste e-mail di solito vengono catturate nella greylist perché il mittente / destinatario / ip sarà nuovo.

raj


2

Per aggiungere alle altre risposte:

Una cosa che si dovrebbe prendere in considerazione durante la distribuzione greylisting è che sarà aumenterà ritardi per (alcuni) mail legittimi. Devi prima scoprire se questo è un problema per i tuoi utenti.

Ad esempio, se l'organizzazione dispone principalmente di posta interna e posta con pochi partner commerciali di lunga data, l'impatto sarà trascurabile.

OTOH, se scambi spesso posta con nuovi clienti, potrebbe essere doloroso. Una situazione in particolare potrebbe essere un problema: se parli con qualcuno al telefono e vuoi scambiare documenti rilevanti per la discussione via e-mail (cosa che faccio regolarmente nelle telefonate di tipo di supporto), anche un po 'di pochi minuti può essere inaccettabile.

Quindi, come sempre, prendi in considerazione le esigenze specifiche degli utenti.


1

Ho avuto un'ottima fortuna con il greylisting. Personalmente, non lo userei mai come unica misura anti-spam, ma quando incluso come parte di un sistema anti-spam a più livelli (incluso SpamAssassing, amavisd, clamav, RBLs, SPF / DKIM, ecc.), Fornisce un sacco di beneficiare.

Una nota importante, ci sono alcuni ISP là fuori (quelli principali) che non gestiscono con grazia una destinazione greylist (le mailing list di yahoo sono state un esempio ben noto). Ti consiglio di guardare alcune delle whitelist che le persone hanno messo insieme per assicurarti di non finire per bloccare la vera e-mail.

Nella mia esperienza, la stragrande maggioranza delle e-mail che ricevi da persona a persona (da una persona reale / utente) scorre attraverso uno dei principali server di posta (postfix, qmail, scambio, sendmail), che gestiscono il greylisting propriamente. Di tanto in tanto potresti imbatterti in un software di mailing list o in un programma di posta elettronica automatizzato che non lo gestisce correttamente, ma la mia esperienza suggerisce che questo è molto raro.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.