Wissen, was gut ist. Studieren in Chemnitz.

Spamschutz: Greylisting

Greylisting ist eine neue, effektive Methode zur Abwehr von unerwünschter Massenmail (Spam). Sie wird bereits vor dem Empfang des E-Mail-Inhaltes (im SMTP-Dialog) angewendet. Details sind beschrieben in The Next Step in the Spam Control War: Greylisting von Evan Harris.

Für Ihre E-Mail-Adresse wird seit 29.4.2004 Greylisting angewendet, wenn Sie den automatischen Schutzfilter "Spamschutz Administrator" eingeschaltet haben.

Funktionsweise im Überblick

Bei einem Mail-Zustellversuch erhält der Mail-Server drei Informationen:

  • IP-Adresse des Senders, Absende-Adresse, Empfängeradresse
Diese werden als Tripel mit einem Zeitstempel abgespeichert.

Ist dieses Tripel unbekannt, wird die Annahme der E-Mail für eine Weile mit temporärem Fehler abgewiesen. Ist das Tripel schon bekannt, wird die E-Mail wie gewohnt angenommen (und evtl. weitere Schutzfilter werden angewendet). Dazu wird das Tripel mit langer Gültigkeit versehen, so dass ein weiterer E-Mail-Austausch ohne Verzögerung stattfinden kann.

Beispiel: SMTP-Verbindung von IP 1.2.3.4 

-> MAIL FROM: <sender@somedomain.com>
<- 250 2.1.0 Sender ok
-> RCPT TO: <recipient@tu-chemnitz.de>
  Prüfen: Kennen wir das Tripel (1.2.3.4, sender@..., recipient@...) 
             schon, ist initiale Wartezeit abgelaufen?
     NEIN:
<- 451 4.7.1 Please try again later
  ... und tschüss!
     JA:
<- 250 2.1.5 Recipient ok
-> DATA
<- 354 Enter mail
-> ...
<- 250 2.0.0 Message accepted for delivery
  Tripel mit langer Gültigkeit versehen

Auswirkungen

  • Reguläre Mail-Server werden eine zunächst zurückgewiesene E-Mail später erneut senden → E-Mail wird verzögert zugestellt.
  • Spam- (und Viren-) Sender haben i.a. keine Queue-Verwaltung → Zustellung wird nicht wieder versucht - weniger Spam!

Parameter an der TU Chemnitz

An den Mail-Relays der TU Chemnitz verwenden wir die Implementation für Exim von Alun Jones, University of Wales, Aberystwyth (many thanks for this excellent work!) mit folgenden Parametern:

  • Initiale Wartezeit bei unbekanntem Tripel: 15 Minuten
  • Lebenszeit eines Tripels ohne Mailaustausch: 2 Tage
  • Lebenszeit eines Tripels mit erfolgtem Mailaustausch: 36 Tage

Werden über einen Mail-Server sehr viele E-Mails ordnungsgemäß eingeliefert, wird dessen IP-Adresse automatisch auf eine Whitelist gesetzt, so dass dann keine Verzögerungen mehr auftreten. Täglich prüfen wir jede dieser privilegierten IP-Adressen: Steht sie auf einer Blacklist, entfernen wir sie von unserer Whitelist und Greylisting wird wieder aktiv.

Seit 2010 wird die initiale Wartezeit dynamisch vergeben. So erhöhen wir diese in folgenden Fällen:

  • IP-Adresse kann nicht in einen Namen aufgelöst werden - schlecht gepflegte Domain.
  • IP-Adresse stammt aus einem Dial-Up-Netz - diese sollten über Mail-Server der Server Provider versenden.
  • durchschnittlicher Spam-Score der eingelieferten E-Mails ist über 10 - wer uns Spam sendet, muss länger warten.

Erfahrungen

Das Spam-Aufkommen hat sich seit Einführung von Greylisting deutlich verringert, was viele unserer Benutzer sehr begrüßen. Die wenigen trotzdem durchkommenden Spam-Mails können wieder gezielt "behandelt" werden.

Problematisch kann die initiale Wartezeit sein. Durch das automatische Mitlernen des Systems über die Whitelists entschärft sich dies jedoch deutlich. Bei E-Mails, auf die man wartet, z.B. bei telefonischer Ankündigung oder bei Passwort-Erinnerungen, bleibt dies jedoch etwas ärgerlich. Der positive Effekt überwiegt jedoch, zumal Greylisting auch gegen plötzliche Viren-Ausbreitung per E-Mail effektiv wirkt.

Dies unsere Statistik:

Reguläre MTAs, die kein erneutes Versenden versuchen (z.B. Yahoo Groups), übernehmen wir in eine manuell gepflegte Whitelist.

Für E-Mails, die an eine Adresse eines Online-Dienstes (wie web.de, GMX o.ä.) gesendet und von dort an die TU-Adresse weitergeleitet wird, funktioniert Greylisting natürlich nicht "spameindämmend", da deren Mailserver immer auf der Whitelist stehen. Bitte verwenden Sie die Spamschutz-Filter des jeweiligen Anbieters.

Artikel

Zur 2. Mailserver-Konferenz 2005 haben wir über unsere positiven Erfahrungen berichtet.