Czy szara lista SMTP a) zatrzymuje dużą ilość spamu i b) zatrzymuje wiele legalnej poczty?

10

Właśnie skonfigurowałem serwer SMTP w stosunkowo mało używanej domenie za pomocą Postfix i włączyłem szarą listę w SQLGrey . Do tej pory wydaje się, że działa OK, i chociaż istnieje lekkie podrażnienie opóźnień w wiadomościach e-mail od nowych nadawców, z dzienników widzę, że powstrzymuje on wiele wiadomości spamowych.

Czy według Pana greylists skutecznie zatrzymuje wiele spamu? Czy jest to przydatny dodatek do np. SpamAssassin, czy też dodawanie go do nadmiaru / niepotrzebnego dodawania?

Gdybym miał to wdrożyć do intensywniejszego korzystania z domen (być może z bardziej wymagającymi użytkownikami), czy spodziewałbyś się znacznej części źle skonfigurowanych serwerów pocztowych, które ostatecznie odbijałyby się lub gubiły wiadomości?

Śmigać
źródło
1
Aby uzyskać zaktualizowaną wersję tego pytania, zobacz: serverfault.com/questions/436327/…
james.garriss

Odpowiedzi:

5

Czy według Pana greylists skutecznie zatrzymuje wiele spamu?

To jest bardzo skuteczne. Używam go od ponad 3 lat i ma to zdecydowany wpływ na nasz proces filtracji.

Czy jest to przydatny dodatek do np. SpamAssassin, czy też dodawanie go do nadmiaru / niepotrzebnego dodawania?

To faktycznie zmniejszy obciążenie skanowaniem. Polecam dodanie tego.

Gdybym miał to wdrożyć do intensywniejszego korzystania z domen (być może z bardziej wymagającymi użytkownikami), czy spodziewałbyś się znacznej części źle skonfigurowanych serwerów pocztowych, które ostatecznie odbijałyby się lub gubiły wiadomości?

Widziałem to, chociaż serwery pocztowe były poważnie źle skonfigurowane (postmaster postanowił natychmiast zrezygnować z dostarczania, jeśli wystąpił błąd programowy, zamiast ponawiać próbę wysłania). Sprowadza się to do sposobu, w jaki nadawca obsługuje wiadomość 4xx vs. 5xx. Jeśli będą traktować je tak samo, będziesz mieć kilka problemów. Jeśli potraktują je poprawnie , gdy 4xx jest błędem, a nadawca spróbuje ponownie, nie będzie problemu. Nawet jeśli są źle skonfigurowane, łatwym rozwiązaniem jest dodanie domeny nadawcy do szarej listy jako „już widziane” i nadanie jej absurdalnej oceny, aby nie spadła z bazy danych.

Avery Payne
źródło
Akceptuję teraz tę odpowiedź, ponieważ od jakiegoś czasu używamy szarej listy i wydaje się ona bardzo skuteczna. Jestem pewien, że częściowo sprowadzam się do sugestii tutaj, nie mieliśmy żadnych prawdziwych problemów z nieudanymi wiadomościami e-mail lub nadmiernymi opóźnieniami.
Ubij
9

Z mojego doświadczenia wynika, że ​​szara lista nie oferuje wystarczających korzyści, aby uzasadnić wady. Chociaż na moim serwerze skonfigurowano szarą listę, było to na tyle denerwujące, że opóźniał się każdy (nowy) przychodzący e-mail. Wiem też na pewno, że część przychodzących wiadomości e-mail gubiła się.

Spamerzy byli wystarczająco wytrwali (i myślę, że nawet wtedy automatycznie zaczynali ponawiać próby), że i tak przeszedł ich spam. Wiele lat temu wyłączyłem szarą listę i nie oglądałem się za siebie.

Greg Hewgill
źródło
6
Ogólnie szara lista nie opóźnia każdego nowego przychodzącego e-maila. Opóźnia jedynie wzorce ip-nadawca-odbiorca, których wcześniej nie widziano. To daleko od wszystkich przychodzących wiadomości e-mail.
Tony Meyer
2
Rozumiem, dlatego powiedziałem „nowy” przychodzący e-mail. Chyba nie wyjaśniłem tego wystarczająco dobrze, ale prawdopodobnie każdy, kto rozumie, co robi greylistowanie, rozpoznałby problem. Niezależnie od tego wciąż było to denerwujące.
Greg Hewgill
1
Zacząłem używać greylistingu 5 lat temu i podobnie jak większość technik antyspamowych, było fantastycznie, kiedy pojawiło się po raz pierwszy. Zgadzam się jednak, że korzyści są już minimalne. Poważnie myślałem o wyłączeniu tego.
Aaron
Znalazłem szarą listę zaimplementowaną w SmarterMail, aby zablokować bardziej wiarygodne wiadomości e-mail (zakładam, że nadawcy poddają się po odmowie), niż mogłem. Było to szczególnie denerwujące, gdy robiłem takie rzeczy, jak próba zresetowania hasła itp. Wyłączam je na wszystkich moich domenach, które są mniej lub bardziej obciążone ruchem, ale wciąż są atakowane przez spamerów. Nie mam szczegółowych danych na temat dzienników i statystyk itp.
qxotk
5
Sekret skutecznej szarej listy polega na (a) ustawieniu progu na tyle niskim, aby nadawcy po raz pierwszy przeszli przez pierwsze 2-3 dni i (b) wygaśnięciu bazy danych naprawdę starych wpisów. Spamerzy będą zauważyć greylisters i będzie ponownie ponownie w pewnym momencie. Wygaśnięcie wpisu po około tygodniu spowoduje, że ponownie przejdą proces, zwiększając jego skuteczność. Wcześniej uwięziliśmy 95%; po dodaniu terminu ważności uwięziliśmy bardziej jak 99,99%. Wysoce polecany.
Avery Payne
3

Szara lista skutecznie zatrzyma wiele spamu, zanim jeszcze trafi on na filtr treści.

Jest to naprawdę przydatne uzależnienie, ponieważ znacznie zmniejszy obciążenie skanowaniem, zmniejszy liczbę fałszywych negatywów (część spamu, który nie zostałby złapany przez filtr zawartości, zostanie wcześniej zablokowany przez szarą listę) i z definicji nie może wprowadzić wszelkie fałszywie pozytywne (zablokowana jest legalna poczta).

Utracone przez Ciebie wiadomości e-mail wynikają z niezgodności nadawców smtp - tak, niektóre „duże” nadal nie działają dobrze, krótka biała lista zajmie się nimi, dopóki nie naprawią swoich systemów. W końcu posiadanie wielu witryn z szarą listą w Internecie przyniesie przyjemny efekt uboczny, zmuszając więcej osób do korzystania z poprawnie skonfigurowanych serwerów pocztowych.

Przy dobrej konfiguracji greylist (dobra implementacja + dobra konfiguracja / operacje) bardzo niewiele wiadomości zostanie opóźnionych, a przez większość czasu opóźnienie będzie rzędu kilku minut. Ponadto, dobra konfiguracja greylistingu to przeważnie system „wdróż i zapomnij”, zmniejszający przepływ spamu, obciążenie systemów, ale nie zwiększający obciążenia (sysadmin).

Przed faktycznym włączeniem szarej listy w istniejących domenach zdecydowanie sugeruję, aby wdrożyć ją w „trybie nauki”, gdzie będzie obserwować przepływ poczty bez opóźniania czegokolwiek. To da mu czas na nauczenie się trojaczków i automatyczne dodawanie do listy dobrych nadawców smtp.

Zablokowanie wielu wiadomości e-mail przed skanerem zawartości będzie miało szereg dobrych skutków ubocznych. Szczególnie mi się podobają:

  1. oprócz krótkich i nierzadko zmieniających się ręcznych białych list system szarej listy nie potrzebuje żadnej wspólnej wiedzy między serwerami, co upraszcza wdrażanie wielu MX w geograficznie rozproszonych lokalizacjach / centrach danych
  2. zmniejszenie obciążenia skanowania oznacza, że ​​możesz zużywać mniej sprzętu do skanowania treści
  3. mniej serwerów do skanowania treści oznacza, że ​​łatwiej można je scentralizować, zarządzać nimi, debugować (lepszy stosunek sygnału do szumu w logach;)
  4. mniejsze obciążenie systemów, aby odrzucić „oczywisty” spam i więcej obciążenia systemu spamującego w celu ponownej próby dostarczenia oznacza zarówno lepszy współczynnik obciążenia odbiorcy / obciążenia spamera, co sprawia, że ​​wysyłanie spamu jest „droższe”, i to jest dobra rzecz na dłuższą metę semestr

Podsumowując, szara lista sprowadza się do:

  1. wymuszając na nadawcach zgodność ze standardami, ułatwi to poprawne działanie całego systemu poczty elektronicznej i łatwiejsze zarządzanie (-> łatwiejsze śledzenie spamerów jako efekt uboczny)
  2. zwiększenie (nieznacznie) kosztów wysyłania wiadomości e-mail, wywierając niewielki wpływ na legalnych nadawców, a większy na spamerów (-> zwiększenie kosztów wysyłania spamu jest zawsze dobre)

EDYCJA: chociaż istnieje (niewielki, ale taki jest IMHO) wpływ legalnego czasu dostarczania poczty, można go zmniejszyć za pomocą innych środków w celu obejścia szarej listy , takich jak plandeka i SPF . Ten pierwszy jest interesujący, ale zanim ocenię jego skuteczność / wady, przeprowadzę kilka testów w świecie rzeczywistym, ten drugi nie zawsze jest dostępny.

Luke404
źródło
1
Dobry post, ale proszę poprawić wiersz „z definicji nie może wprowadzić żadnego fałszywego pozytywu”. To nie jest prawda, szara lista może (i będzie) powodować utratę prawidłowej poczty, jeśli serwer wysyłający zostanie źle skonfigurowany. Chociaż nie byłoby to możliwe w idealnym świecie, należy to wziąć pod uwagę.
sleske
Mimo to +1 za dobry post, szczególnie „tryb nauki”.
sleske
@sleske, dziękuję za komentarz, ale muszę się nie zgodzić. Nie nazywam danych „legalnej poczty” pochodzących z „źle skonfigurowanego serwera wysyłającego” - to nie jest to, co jest zdefiniowane jako e-mail, tylko coś podobnego do niego. OTOH, to prawda, że ​​musisz to wziąć pod uwagę, jak wyjaśniam w mojej odpowiedzi.
Luke404
3
Cóż, głęboko wierzę, że potrzeby użytkowników powinny zawsze być na pierwszym miejscu (w końcu to za co płacimy). Dlatego to użytkownicy określają, czy poczta jest legalna, i nie dbają o źle skonfigurowane serwery. Jeśli użytkownik chce otrzymać pocztę, jest to uzasadnione, to takie proste.
sleske
2

Tak, szara lista może zatrzymać niedrogą ilość spamu, bardzo tanio. Nawet jeśli nie zatrzymuje spamu, dodatkowe opóźnienie daje dodatkowy czas na umieszczenie wiadomości lub nadawcy na liście DNSBL lub listach opartych na haszowaniu.

Powinieneś upewnić się, że używasz dobrej implementacji (nie znam osobiście SQLGrey). W szczególności możesz ogólnie dowiedzieć się, jak ufać trojaczkom, nie oglądając wcześniej dokładnej trojaczki (np. Jeśli widziałeś wystarczająco dużo dobrych trojetów z adresu IP, prawdopodobnie nie ma sensu dodawać kolejnych trojetów z tego adresu IP). Po krótkim czasie bardzo niewiele prawdziwych wiadomości jest wyświetlanych na szarej liście.

Tony Meyer
źródło
2

Jednym z możliwych problemów z szarą listą jest to, że użytkownicy nie otrzymają maili natychmiast. Jest to najbardziej frustrujące w przypadku wiadomości e-mail z resetowaniem hasła. Wiadomości te zwykle zostają złapane na szarej liście, ponieważ nadawca / odbiorca / ip będzie nowy.

raj

Rajkumar S.
źródło
2

Aby dodać do innych odpowiedzi:

Jedną rzeczą, którą należy wziąć pod uwagę podczas wdrażania greylisting jest to, że będzie zwiększać opóźnienia w (niektórych) legalnych maili. Najpierw musisz dowiedzieć się, czy jest to problem dla twoich użytkowników.

Na przykład, jeśli Twoja organizacja ma głównie wewnętrzne wiadomości e-mail z kilkoma długoletnimi partnerami biznesowymi, ich wpływ będzie znikomy.

OTOH, jeśli często wymieniasz pocztę z nowymi klientami, może to być bolesne. Jedna sytuacja może w szczególności stanowić problem: jeśli rozmawiasz z kimś przez telefon i chcesz wymieniać dokumenty związane z dyskusją za pośrednictwem poczty e-mail (coś, co regularnie robię w rozmowach telefonicznych typu pomocniczego), nawet kilka minut może być gorszący.

Tak więc, jak zawsze, uwzględniaj specyficzne potrzeby użytkowników.

Śleske
źródło
1

Miałem wielkie szczęście z greylistowaniem. Osobiście nigdy nie użyłbym go jako jedynej miary antyspamowej, ale gdy jest włączony jako część warstwowego systemu antyspamowego (w tym SpamAssassing, amavisd, clamav, RBLs, SPF / DKIM itp.), Zapewnia wiele zasiłek.

Jedna ważna uwaga, istnieje kilka dostawców usług internetowych (głównych), którzy nie radzą sobie z szarą listą odbiorców w sposób wdzięczny (listy dyskusyjne Yahoo są dobrze znanym przykładem). Radzę spojrzeć na niektóre z białych list, które ludzie stworzyli, aby upewnić się, że nie zablokujesz prawdziwej poczty e-mail.

Z mojego doświadczenia wynika , że ogromna większość wiadomości e-mail otrzymywanych od osoby do osoby (od prawdziwej osoby / użytkownika) przepływa przez jeden z głównych serwerów pocztowych (postfix, qmail, exchange, sendmail), z których wszystkie obsługują szarą listę prawidłowo. Czasami możesz natknąć się na oprogramowanie do obsługi list dyskusyjnych lub zautomatyzowany program pocztowy, który nie obsługuje go poprawnie, ale z mojego doświadczenia wynika, że ​​jest to bardzo rzadkie.

Christopher Cashell
źródło