Greylisting – Sinn und Unsinn
Verfahren für die Spamabwehr gibt es viele. Die meisten basieren auf irgendeine Art von Black- oder Whitelist, seien es nun RBLs, SURBLs, body checksum filter und wie sie nicht alle heissen. Greylisting hebt sich hier etwas ab (obwohl es letztlich auch nur Listen erzeugt die Gut und Böse trennen sollen), denn der dahinterstehende Aufwand ist sehr gering und macht sich den Umstand zu nutzen, das Spammer meist nur einmal versuchen ihren Müll loszuwerden.
Normalerweise (jede Implementierung macht da ihr eigenes Ding) schaut ein mit Greylisting ausgerüsteter MTA in einer Datenbank nach, ob es eine Freigabe für die gerade eintreffene Kombination aus IP-Adresse des anderen MTA, sowie Absender- und Empfänger-Adresse gibt. Wird nichts gefunden lehnt er die Annahme mit einer Fehlermeldung ab, eine ganz normale Sache die auch aus anderen Gründen passieren kann. Nun läuft ein Zeitintervall, der in der Regel zwischen 15-30 Minuten liegt, nach der es der andere MTA wieder probieren darf seine Mail loszuwerden. Stimmt die Kombination aus IP und Email-Adressen überein, wird sie durchgelassen und ein Eintrag in der Whitelist(!) gemacht, um zukünftige Mails der gleichen Kombination ungestört zustellen zu können, wobei viele der hier genannten (Zeit-)Parameter zumeist einstellbar sind.
Vorteile:
- Einfach zu Implementieren
- Braucht wenig Rescourcen
- Kaum Wartung nötig
Nachteile:
- ‘Schick ich dir eben per Email, ist sofort da’ gilt unter Umständen nicht mehr. Man muss evtl. erst auf den Resend warten
- Wer viel Mail über Weiterleitung erhält wird nicht von Greylisting profitieren
Fazit: Für Leute die Wissen was Greylisting ist und die nicht darauf angewiesen sind Email sofort zu haben durchaus ein gute, schlanke Lösung. Unbrauchbar ist es hingegen, wenn Mails hauptsächlich über Weiterleitungen reinkommen.
Greylisting kann auch ziemlich ecklig werden im Zusammenhang mit Mailinglisten. Letzten Endes muss man da auch händisch nachpflegen.
Im Grunde ein weiterer zweifelhafter Versuch, dem Problem Spam mit technischen Mitteln beizukommen :-(
Greylisting hat bei mir eingeschlagen wie eine Bombe. Ich halte es zwar für Flickschusterei und gehe davon aus, daß die Zombie-PCs irgendwann einfach mit Queueing arbeiten werden, aber Tatsache ist, daß es bei mir den Anteil an False Negatives auf ein Minimum gedrückt hat.
Beschwerden über die “verspätete Mailzustellung” hatte ich bisher bei meinen ca. 100 Usern erst zweimal: Einmal hat jemand genau 5 Minuten Verzug gegenüber Mails an seine T-Online-Adresse gemessen (was Wunder!) und einmal hat eine Gegenstelle die Auslieferung erst nach 75 Minuten wieder versucht.
“Ich schick Dir das mal eben per Mail” funktioniert bei halbwegs wiederkehrenden Kommunikationspartnern einwandfrei.
Wirklich hakelig wird es, wenn man Greylisting zusammen mit der Sender Verification von Postfix einsetzt und die Greylister sich erst einmal eine Weile gegenseitig annerven bevor die Mail durchgeht.
Tim, welche nichttechnischen Alternativen hast Du denn anzubieten? Gesetze?
Die bessere Alternative: http://www.policyd-weight.org
Also ich finde greylisting grossartig. Habe es vor genau einem Monat bei uns in der Firma aktiviert und bin sehr zufrieden. Die Zahlen sprechen für sich:
Of 26080 items that were initially greylisted:
– 808 ( 3.1%) became whitelisted
– 25272 ( 96.9%) expired from the greylist
Greylisting war ja der Hammer, der Postmaster unserer TU schwört darauf und hat ja auch viele Artikel dazu verfasst. Nur mittlerweile ist der Hype vorbei, der Spam steigt wieder trotz Greylisting.
Das Ganze hat ja noch einen Haken, Mails die zum Beispiel von Webseiten generiert werden, muss der Empfänger auf die Whitelist setzen, sonst landen die unweigerlich im Spam. Ebenso Mailinglisten nachteilig ist auch die doch hohe Zeitverzögerung.
Für mich ist Greylisting ein bereits stumpfes Schwert. Nichts destotrotz, wird es eine Waffe bleiben, hält sie doch die “Billigspammer” wenigstens draussen
Ich finde greylisting nicht tragbar. Die Verzoegerung der Mails ist z. B. bei einer Firma die mit dem Internet ihr Geld verdient nicht tragbar. Wir haben SLAs und entsprechende Response Zeit die wir dem Kunden gegenueber einzuhalten haben. Schickt ein Kunde uns eine Mail auf die wir innerhalb von 30 min. reagieren muessen – die Mail dank Greylisting (und der Konfiguration des “gegnerischen” Mailservers) aber erst nach einer Std. eintrudelt ist das kurz und buendig _Muell_.
Wir setzen jetzt seit ca. einem 1 Jahr auf den policyd-weight von Robert Felber und dies erfolgreich. Bei einem Mailaufkommen (aufs letzte Jahr gesehen) auf den Mailservern eines unserer Top-Kunden von ca. 20 Mio Mails wurden erfolgreich >19 Mio. Mails als SPAM rausgefiltert. False Positives hatten wir in der Zeit ca. 50 Mails.
@Doomshammer:
>Schickt ein Kunde uns eine Mail auf die wir innerhalb von 30 min. reagieren muessen – die Mail dank >Greylisting (und der Konfiguration des “gegnerischen” Mailservers) aber erst nach einer Std. eintrudelt ist >das kurz und buendig _Muell_.
Warum hast du nicht die Mailserver deiner Kunden in die ‘whitelist-hosts’-Datei eingetragen? Dafür ist die doch da.
@jens: Mein Beitrag ist weder Positiv noch Negativ. Ich wollte es einfach nur vorstellen, ein Meinung dazu soll sich jeder selbst bilden. Das das auch geschieht sieht man ja auch an den Kommentaren.
Wichtig ist beim Greylisting noch, das jede Implementierung anders arbeitet, daher läuft man schnell Gefahr Äpfel mit Birnen zu vergleichen.
@kremin: Aus zwei Gruenden:
a) Haben wir solche und solche Kunden. Die einigen die feste Netzbereiche haben und solche die ueber irgendwelche 1&1 Server ihre Mails versenden. Soll ich jetzt jeden 1&1 Mailserver freischalten, damit die schoen weiterspammen koennen?
b) Gehts hier ums Prinzip. Wir haben mehr als 20.000 Kunden – wenn ich da jetzt eine Whiteliste pflegen muesste, dann haette ich den ganzen Tag nur Arbeit damit die Liste zu pflegen.
Ich will eine Loesung die funktioniert, effektiv ist und die sich ohne grossen Wartungsaufwand pflegen laesst – das kann ich mit policyd-weight.
Hier ein Bsp. eines Webservers mit eingeschaltetem und ausgeschaltetem policyd-weight: http://www.policyd-weight.org/graphs.html
@Doomshammer: gegen SPAM von irgendwelchen regulären Mailservern hilft Greylisting doch eh nicht – also kannst Du die auch auf die Whitelist setzen, von denen Du die Mails sofort haben willst. Oder noch einfacher: setz die Ziel-Adressen bei denen es keine Verzögerung geben darf auf die Whitelist. Und fertig…
@Carsten: Wozu? Ich hab’ eine Loesung die besser arbeitet (zumindest fuer mich) warum sollte ich dann noch Greylisting aufsetzen? Alles was am policyd-weight vorbei kommt, wird i. d. R. vom SA gefangen somit hab’ ich sehr wenig Last mit SPAM.
@joern: Ich hatte den Eindruck, als fändest du Greylisting gut… falls dem nicht so ist/war, bin ich beruhigt. ;)
@Doomshammer: Du darfst gerne verwenden was auch immer Du möchtest, Du musst auch kein Greylisting verwenden, keine Frage :-) Wenn Du mit policyd zufrieden bist brauchst Du nichts anderes und ich will Dich auch sicher nicht von irgendwas überzeugen. Aber Deine anderen Argumente gegen Greylisting (außer dem “ich brauche es nicht”) waren eben unpassend – darum ging es…
Anscheinend hat hier einige vergessen dass die Verzögerung von Mails in Greylisting nur *einmal* passiert. Wenn der sender, recipient und die sender ip address schon mal in der datenbank gelistet ist (automatisch), werden die email nicht mehr verzögert.
Ich habe greylist schon seit circa 2 jahren bei unsere firma eingesezt, und diese leistet ganz exzellente arbeit. Wir haben tausende von mitarbeiter mit normale eingehende mail traffic zwischen 50.000 – 60.000 taeglich. Und die Greylist hat ungefaehr 97% von der spams aufkommen reduziert (diese prozent zahl ist also fast exact wie die statistic von kremin) . Der rest von spams kann der Spamassassin viel leichter erledigen. Ohne Greylist wuerden wir mehr als 300.000 emails taegleich bekommen und 80% davon nur spams :(
Bei meiner greylist implementation habe ich nur weniger als 20 addresse in whitelist, also nur solche die uns bekannte organisationen und solche die keine richtige retry macht. Und bisher hab ich nur sehr selten complain von unsere users wegen der verzögerung bekommen, weil ich zuerst ein monat lang die greylist in lern modus laufen lassen habe, und die hat alle email corespondenz (sender,recipient,ip address) in der datenbank gelistet ohne zu verzoegern. und als ich sie richtig eingesetzt habe, gab es fast keine verzögerung von wichtige emails weil die meistens sind ja schon bekannt.
Und eine sehr gute neben effekt von greylist ist dass ein moegliche spam die zuerst verzoegert wurde und dann wieder reinkommt, ist moeglicherweise dazwischen in RBL schon gelistet, das erhoeht die spams erkennungsrate von Spamassassin .
Also kurz gesagt Greylisting ist eine sehr effiziente waffe gegen spams , auch nach 2-3 jahren seiner vorstellung in http://projects.puremagic.com/greylisting/
Zunächst mal sind alle Überlegungen, wie Spam einzudämmen ist ja sinnvoll.
Ich bin in dieser Beziehung Endbenutzer/Laie, habe aber insbesondere seit ca. einem halben Jahr Probleme mit restriktiven Mail-Policys, die ich inzwischen fast als existenzbedrohlich empfinde.
1) Meine Mails landen in Spam-Ordnern der Kunden (obwohl jahrelang keine Probleme in der E-Mail-Kommunikation bestanden haben) oder schlimmer werden gar nicht zugestellt (weil ich keinen eigenen Mail-Server mit fester IP habe, sondern über 1&1 DSL ins Internet gehe), habe Ärger, weil die Mails bei Postlaufzeiten von mehreren Stunden nach dem vereinbarten Liefertermin eingehen. Das betrifft auf Grund der immensen Verbreitung dynamischer IPs dem entsprechend wirklich viele Privatleute und Kleinunternehmer.
Keine Probleme habe ich hingegen mit gänzlich ungeprüften yahoo-Adressen, von denen ich mir täglich unter falschem Namen ne neue holen könnte.
2) Mails von Kunden werden nicht angenommen (dyn. IP, fehlende MX-RR und was weiß ich sonst noch) oder erreichen mich mit unglaublicher Verspätung
3) Spam kriege ich in unveränderter Menge von gefälschten Absenderadressen weiterhin.
Zusammenzufassend kann ich als Betroffene nur sagen: Eine Herangehensweise die davon ausgeht, dass alles zunächst als potenziell gefährlich anzusehen ist, schadet mehr als sie nutzt.
Ob man das Greylist nennt, um zu vermeiden Klartext zu reden – völlig egal – schließlich steht erst einmal alles, was nicht auf ner Whitelist steht in der Praxis auf der Blacklist. Sie treffen zwar Spammer aber eben auch zahllose völlig unbescholtene E-Mail-Nutzer.
Das wäre so als würde ich als Ladenbesitzer zum Schutz vor Ladendiebstahl von jedem neuen Kunden erst einmal Ausweis und mindestens ein Leumundszeugniss verlangen würde, bevor ich ihn hineinlasse.
Problematisch ist auch, dass mich mein Hoster sozusagen “zwangsschützt” und mir ohne mein Einverständnis E-Mails, die an mich gerichtet sind vorenthält.
Es schrieb hier jemand, dass Spamaufkommen habe sich um 97% verringert, – warum so sicher, dass alles Spam war, – imho ist vor allem sicher, dass man auf diesem Weg das Mail-Aufkommen zuverlässig verringern kann.
Nur meine Meinung…
Dagmar