Il greylisting è ancora un metodo efficace per prevenire lo spam?

Ho usato il greylisting sui miei server per molti anni, ma non so quanto sia efficace al giorno d'oggi.

È ancora buono per combattere lo spam nel 2012?

O il tipico spammer MTA è ora in grado di inviare nuovamente le e-mail greylist?

Un aggiornamento dal 2018:

Sono sempre stato un grande fan del greylisting. Per queste ragioni:

• Non segna solo lo spam, ma lo blocca.
• È legale utilizzare come fornitore di servizi in Germania (a differenza dell'eliminazione di posta indesiderata dopo la ricezione)
• È semplice ed efficace.
• Aggiunge carico allo spammer e non al server di posta ricevente. Quindi, anche se gli spammer possono superare il tuo greylisting, hai costretto la loro macchina a lavorare di più e quindi possono inviare meno spam in totale.
• Blocca quasi nessuna posta legittima, a differenza degli RBL basati su IP ecc.
• Introduce ritardi, ma è possibile inserire nella whitelist i client (server di invio) di contatti frequenti e i destinatari della whitelist che hanno davvero bisogno di e-mail con il minimo ritardo. Ricorda che l'uso di un filtro antispam come Spamassasin direttamente su tutta la tua posta (senza greylisting) può comportare ritardi anche nella posta legittima: alcuni spammer inviano così tante mail al tuo server che il filtro antispam viene sovraccaricato. Pertanto, invierà un errore temporaneo (ad es. 451) al server di invio di ulteriori messaggi di posta in arrivo. Ciò provoca gli stessi effetti del greylisting, vale a dire che la posta viene ritardata, ad eccezione del fatto che la whitelisting non è così semplice. Ovviamente, puoi utilizzare un filtro antispam cloud che si adatta a qualsiasi potenza abbia lo spammer, ma potrebbe essere più costoso.
• Manutenzione limitata o assente. Nessuna lista nera che deve essere aggiornata e modificata nel tempo. Nessuna regola basata su pattern che deve essere aggiornata.

Ma sfortunatamente, nelle mie statistiche vedo che in quest'anno il greylisting diventa sempre meno efficace. La quantità di messaggi ritardati si avvicina piuttosto rapidamente alla quantità di messaggi greylist, il che significa che la quantità di spam bloccato sta diminuendo.

Nell'ultimo anno (365 giorni), il 55% dei messaggi greylist è riuscito a passare attraverso la greylisting, ovvero il 45% è stato bloccato.

anno delle statistiche del mailgraph

Si noti che questo grafico includeva un lasso di tempo in cui i messaggi greylist non venivano conteggiati a causa di un errore di configurazione di mailgraph, ma solo di quelli in ritardo. Questo significa che questo calcolo sopravvaluta un po 'i messaggi in ritardo, in effetti un po' più di posta è stata bloccata.

Nell'ultimo mese, il 64% è stato ritardato e solo il 36% è stato bloccato.

mese delle statistiche del mailgraph

Nell'ultima settimana, il 75% è stato ritardato e solo il 25% è stato bloccato.

settimana delle statistiche del mailgraph

Inoltre, esaminando la quantità totale di messaggi bloccati: questo mese il greylisting ha bloccato 4 411 messaggi, ma Amavisd (spamassasin) ha bloccato 22 763 messaggi. Ciò significa che solo il 16% dello spam viene bloccato dal greylisting, tutto il resto da amavisd.

Inoltre, sempre più provider di invio di cloud inviano da un gruppo di diverse centinaia di indirizzi IP. Tentano ogni tentativo di trasmissione da un altro IP. Pertanto, il greylisting può bloccare queste mail per giorni pari. Pertanto, è necessario inserire nella whitelist tutti i "buoni" fornitori di posta. Questo introduce nuovi sforzi di manutenzione.

Sono sempre stato un grande fan del greylisting, ma purtroppo vedo che sta diventando sempre meno efficace e penso che lo disabiliterò presto, poiché inizia a ritardare inutilmente solo il 14% delle mie e-mail senza bloccare molto spam .

Le statistiche fuorvianti

La quantità di mail bloccate nelle mie (e tue) statistiche potrebbe anche essere in gran parte fuorviante. Prendiamo una e-mail che proviene da un grande provider di posta cloud (come Microsoft * .outbound.protection.outlook.com) che non è ancora nella whitelist. Il primo tentativo fallisce. Il secondo e il terzo tentativo di trasmissione provengono da altri due server (IP), quindi non riescono, poiché la tripletta non corrisponde. Ora il quarto tentativo proviene nuovamente dal primo server e ha esito positivo. Questo verrà conteggiato come una trasmissione ritardata e quattro messaggi greylist. I miei calcoli sopra indicherebbero che 1/4 = 25% di messaggi greylist era in ritardo e che 3/4 = 75% erano bloccati. Ma in realtà, non è stato bloccato un singolo messaggio. Ora inseriamo nella whitelist i server di questi provider di posta, in modo che non vengano più inseriti nella greylist. Quello che accadrà è che la quantità di messaggi greylist diminuirà più della quantità di messaggi ritardati. Ciò significa che la quantità di messaggi bloccati che calcoliamo diminuirà. Ma non è vero che sono stati bloccati meno messaggi.

In effetti, ciò che ho fatto da febbraio 2017 è l'aggiunta di un numero sempre maggiore di provider di cloud mail alla whitelist per combattere il problema dei lunghi ritardi dovuti al greylisting. Questo può spiegare (in parte?), Perché la quantità di mail bloccate che ho calcolato sta diminuendo rapidamente. Quindi, forse, ho sempre pensato che il greylisting stia bloccando molto spam, ma la quantità di spam bloccato è stata sempre molto inferiore, è stata calcolata in modo errato. Quindi fai attenzione quando interpreti le tue statistiche.

L'ho guardato per l'ultima volta quantitativamente nel luglio di quest'anno (2012). A luglio, il mio server di posta ha ricevuto circa 46.000 tentativi di recapito della posta; di questi, circa 1.750 sono tornati e sono stati autorizzati dal greylisting (e hanno superato il dominio del mittente valido, SPF e alcuni altri test non basati sul contenuto). Di questi, circa altri 1.500 sono stati filtrati dal mio filtro basato sul contenuto.

Supponendo che quelle 44.250 e-mail fossero spam (dal momento che non potevano passare al greylisting, penso che questo sia un presupposto equo), se non fosse stato per il greylisting il mio filtro basato sul contenuto avrebbe dovuto gestire 46.000 mail anziché 1.750.

Un aumento di venticinque volte del carico sul mio filtro basato sul contenuto mi richiederebbe di avere CPU molto più potenti e più memoria. Ciò a sua volta aumenterebbe i miei costi di hosting mensili, a causa del consumo energetico aggiuntivo (e, probabilmente, delle dimensioni del server).

Quindi in breve, l'ultima volta che ho contato, sì, il greylisting ha ancora molto, molto senso come parte di un sistema completo di filtro antispam . L'ho attivato per i clienti nelle ultime settimane e tutti sono estremamente soddisfatti della riduzione del carico anche sui loro sistemi di filtraggio basati sul contenuto.

Modifica : noto che non ho risposto alla domanda se sta diventando meno efficace nel tempo. Quando l'ho acceso, alla fine del 2006, la mia stima in quel momento era che stava filtrando circa il 95% dello spam. 1.750 in proporzione di 46.000 sono circa il 4%, quindi i miei dati suggeriscono che non sarà meno efficace in quel periodo di tempo.

gli spambots di solito non eseguono ancora l'accodamento dei messaggi, ma alcuni di essi inviano lo spam due volte a tutti i destinatari con qualche minuto di ritardo per sconfiggere il greylisting. inoltre, al giorno d'oggi, lo spam dagli spambots non è più il vero problema, lo spam da account yahoo compromessi ecc. è molto più difficile da catturare.

Da quel punto di vista, il greylisting non è più efficace come una volta. In combinazione con altre tecniche anti-spam, può comunque essere utile, ad esempio se il tuo dominio è spesso nel "primo lotto" di campagne spam, il greylisting può aiutare a ritardare il messaggio abbastanza a lungo da consentire il recupero delle blacklist di dominio / ip, quindi se il lo spam sarebbe scivolato attraverso i filtri al primo tentativo di connessione, forse verrà rilevato al secondo tentativo.

Come questione tangenziale, non mi piace essere in grado di aver implementato una tecnica come il greylisting senza essere in grado di misurarne l'efficacia. Su Debian, con Postfix come MTA e Postgrey come motore della politica greylisting, puoi semplicemente apt-get install mailgraphottenere un semplice grafico della posta accettata o rifiutata. Mailgraph è un po 'vecchio stile e completamente autonomo, ma funziona e i suoi dati o tecniche potrebbero essere facilmente integrati in un moderno sistema di monitoraggio più complesso.

Ottieni un filtro di posta basato sulla reputazione. Il greylisting è un po ' vecchio stile e non è una soluzione completa. Esistono soluzioni alternative (dal punto di vista dello spammer) e tempi di consegna della posta imprevedibili per i tuoi utenti ...

O esternalizzare il filtro a un servizio cloud o acquistare un'appliance che ha accesso a tale elenco e ha altri metodi per convalidare lo spam. La mia raccomandazione è di solito Barracuda per il loro dispositivo o per la loro soluzione di filtro cloud . Entrambe le opzioni hanno economie di scala e euristica matura che forniscono una soluzione globale più pulita.

Guardando uno dei rapporti Barracuda Spam Filter del mio cliente per settembre 2012, su 98.457 messaggi, 1.623 sono stati tagliati prima ancora di colpire il server di posta a causa di cattivi destinatari ... 34.488 sono stati bloccati come SPAM . Sono passati solo 96 messaggi discutibili . Quelli classificati come SPAM erano una combinazione di reputazione, punteggio, intento, tre RBL, filtro bayesiano e set di regole personalizzati. Tutto in un'unità ... Tutto elaborato prima di colpire il server di posta relativamente piccolo.

Vedi anche: Combattere lo spamming: cosa posso fare come amministratore della posta elettronica, proprietario del dominio o utente?