Czy greylisting jest nadal skuteczną metodą zapobiegania spamowi?

50

Używam greylistingu na moich serwerach od wielu lat, ale nie wiem, jak skuteczna jest obecnie.

Czy nadal jest dobry do walki ze spamem w 2012 roku?

A może typowy spamer MTA jest w stanie ponownie wysyłać e-maile z szarej listy?

neu242
źródło
2
@Michael: Do walki ze spamem. Przeczytaj pytanie :)
neu242,
1
Z
plusami i minusami szarej listy
1
Lekko zmieniłem tytuł. Czy teraz wygląda lepiej?
neu242
2
@MichaelHampton Uh, punkt zainteresowania ... jakie środki zapobiegania spamowi stosujesz, aby nie narzekać prezesa? A może, jeśli bardziej odpowiednie, jaki masz prezes, który nie jest zepsutym, płaczliwym $ # ^ & * @, który znajdzie coś, na co może narzekać absolutnie cokolwiek?
HopelessN00b
1
@ HopelessN00b Nasz CEO tak nie jest. Nie oceniałbym czyjejś osobowości lub zachowania wyłącznie na podstawie ich zawodu.
darvids0n 10.10.12

Odpowiedzi:

6

Aktualizacja z 2018 roku:

Zawsze byłem wielkim fanem greylistingu. Z tych powodów:

  • Nie tylko oznacza spam, ale go blokuje.
  • W Niemczech jest dozwolone korzystanie z usług jako usługodawca (w przeciwieństwie do usuwania spamu po otrzymaniu)
  • To jest proste i skuteczne.
  • Dodaje obciążenie do spamera, a nie do serwera poczty odbierającej. Więc nawet jeśli spamerzy mogą przejść przez szarą listę, zmusiłeś ich maszynę do cięższej pracy, dzięki czemu mogą w sumie wysłać mniej spamu.
  • Nie blokuje prawie żadnej legalnej poczty, w przeciwieństwie do RBL opartych na IP itp.
  • Wprowadza opóźnienia, ale możesz dodać klientów z białej listy (serwery wysyłające) do częstych kontaktów i odbiorców z białej listy, którzy naprawdę potrzebują e-maila z minimalnym opóźnieniem. Pamiętaj, że użycie filtra spamu, takiego jak Spamassasin bezpośrednio na całej twojej poczcie (bez szarej listy), może również powodować opóźnienia w sprawdzeniu prawidłowej poczty: Niektórzy spamerzy wysyłają tyle wiadomości na twój serwer, że filtr spamu zostaje przeciążony. W ten sposób wyśle ​​tymczasową awarię (np. 451) do serwera wysyłającego kolejnych przychodzących wiadomości e-mail. Powoduje to takie same efekty, jak szara lista, tzn. E-maile są opóźniane, z tym wyjątkiem, że biała lista nie jest taka łatwa. Oczywiście możesz użyć filtru spamu w chmurze, który skaluje się do dowolnej mocy spamera, ale może być droższy.
  • Ograniczona konserwacja lub jej brak. Brak czarnej listy, która musi być aktualizowana i zmieniana z czasem. Brak reguł opartych na wzorach, które wymagają aktualizacji.

Niestety, w moich statystykach widzę, że w tym roku szara lista staje się coraz mniej skuteczna. Liczba opóźnionych wiadomości naprawdę szybko zbliża się do liczby wiadomości z szarej listy, co oznacza, że ​​ilość zablokowanego spamu zmniejsza się.

W ostatnim roku (365 dni) 55% wiadomości z szarej listy trafiło ostatecznie do szarej listy, tj. 45% zostało zablokowanych.

rok statystyki mailgraph

rok statystyki mailgraph

Zauważ, że ta tabela zawiera ramy czasowe, w których wiadomości z szarej listy nie zostały zliczone z powodu błędu konfiguracji mailgraph, tylko te opóźnione. Oznacza to, że te obliczenia nieco przeceniają opóźnione wiadomości, w rzeczywistości nieco więcej wiadomości zostało zablokowanych.

W ostatnim miesiącu 64% zostało opóźnionych, a tylko 36% zostało zablokowanych.

statystyki mailgraph miesiąc

statystyki mailgraph miesiąc

W ostatnim tygodniu 75% opóźniło się, a tylko 25% zostało zablokowane.

tydzień statystyki mailgraph

tydzień statystyki mailgraph

Co więcej, patrząc na całkowitą liczbę zablokowanych wiadomości: w tym miesiącu szara lista zablokowała 4 411 wiadomości, ale Amavisd (spamassasin) zablokował 22 763 wiadomości. Oznacza to, że tylko 16% spamu jest blokowane przez szarą listę, a cała reszta przez amavisd.

Co więcej, coraz więcej dostawców usług przesyłania w chmurze wysyła z kilkuset adresów IP. Próbują każdej próby transmisji z innego adresu IP. Greylisting może więc blokować te maile nawet przez kilka dni. Dlatego musisz dodać do białej listy wszystkich „dobrych” dostawców poczty. Wprowadza to nowy wysiłek konserwacyjny.

Zawsze byłem wielkim fanem greylistingu, ale niestety widzę, że staje się on coraz mniej skuteczny i myślę, że wkrótce go wyłączę, ponieważ zaczyna niepotrzebnie opóźniać tylko 14% moich e-maili bez blokowania dużej ilości spamu .

Statystyki wprowadzające w błąd

Ilość zablokowanych maili w moich (i twoich) statystykach również może być w dużej mierze myląca. Weźmy jeden e-mail, który pochodzi od dużego dostawcy poczty w chmurze (takiego jak Microsoft * .outbound.protection.outlook.com), który nie jest jeszcze na białej liście. Pierwsza próba kończy się niepowodzeniem. Druga i trzecia próba transmisji pochodzą z dwóch innych serwerów (IP), więc znów się nie udaje, ponieważ triplet nie pasuje. Czwarta próba pochodzi od pierwszego serwera i kończy się powodzeniem. Będzie to liczone jako jedna opóźniona transmisja i cztery wiadomości z szarej listy. Moje powyższe obliczenia wskazują, że 1/4 = 25% wiadomości z szarej listy było opóźnione, a 3/4 = 75% zostało zablokowane. Ale w rzeczywistości ani jedna wiadomość nie została zablokowana. Teraz umieszczamy na białej liście serwery tych dostawców poczty, aby nie byli już szarej listy. Stanie się to, że liczba wiadomości z szarej listy spadnie bardziej niż liczba wiadomości opóźnionych. Oznacza to, że liczba blokowanych wiadomości, które obliczamy, spadnie. Ale nie jest prawdą, że mniej wiadomości zostało zablokowanych.

W rzeczywistości to, co robiłem od lutego 2017 r., Dodaje coraz więcej dostawców usług chmurowych do białej listy, aby zwalczyć problem długich opóźnień spowodowanych szarą listą. To może wyjaśniać (częściowo?), Dlaczego liczba zablokowanych maili, które obliczam, gwałtownie spada. Może więc przez cały czas myślałem, że szara lista blokuje dużo spamu, ale ilość zablokowanego spamu była o wiele mniejsza przez cały czas, po prostu została obliczona niepoprawnie. Zachowaj ostrożność przy interpretacji statystyk.

Christopher K.
źródło
1
To bardzo interesujące - dziękuję za opublikowanie badania!
Jenny D mówi Przywróć Monikę
+1 ode mnie - czas na ponowne sprawdzenie moich danych. Zgadzam się, że te cholernie irytujące osoby, które odbijają pocztę wokół swojej wewnętrznej posiadłości serwerów, aby każda próba pochodziła z innego serwera, wypaczyły dane. Nie jestem pewien, czy kupuję twoją ostatnią sekcję, która wydaje się argumentować, że wszystkie lub najbardziej oczywiste korzyści z greylistingu są spowodowane nadmierną liczbą przychodzących wiadomości e-mail.
MadHatter
Statystyki mojego prywatnego serwera pocztowego za ostatni rok (od lipca 2019 r.) Pokazują, że tylko 15% wiadomości było opóźnionych, a 85% zostało zablokowanych. Spojrzałem na zablokowanych nadawców, którzy wyglądają jak spamerzy. Nie jestem jednak greylistą wszystkiego, ale tylko nadawców znajdujących się na czarnej liście RBL (zen.spamhaus.org, spam.dnsbl.sorbs.net i psbl.surriel.com). Dobrze skonfigurowana szara lista wciąż wydaje się wydajna.
michau
1
@michau Sure greylisting podejrzane maile jest bardziej wydajne niż greylists wszystko. Rspamd to interesujący raczej nowy filtr antyspamowy, który robi to całkiem dobrze. To maile greylists, które osiągają niski wynik spamu. Podobnie jak Ty, będzie to również szare listy e-maili od nadawców wymienionych na liście RBL (o ile poczta nie uzyska wystarczającej liczby punktów do odrzucenia). Ale byłoby to również szare listy e-mail, które pasują do kilku reguł dotyczących spamu, ale nie osiągają wystarczająco wysokich wyników, aby je odrzucić.
Christopher K.
55

Ostatnio spojrzałem na to ilościowo w lipcu tego roku (2012). W lipcu mój serwer poczty otrzymał około 46 000 prób dostarczenia poczty; spośród nich około 1750 osób zwróciło i zostało dopuszczonych przez szarą listę (i przeszło prawidłową domenę nadawcy, SPF i niektóre inne testy niezwiązane z treścią). Spośród nich około 1500 zostało przefiltrowanych przez moje filtrowanie oparte na treści.

Zakładając, że te 44 250 wiadomości e-mail były spamem (ponieważ nie mogły przejść do szarej listy, myślę, że to uczciwe założenie), gdyby nie szara lista, moje filtrowanie oparte na treści musiałoby poradzić sobie z 46 000 e-mailami zamiast 1750.

25-krotny wzrost obciążenia mojego filtrowania opartego na zawartości wymagałby ode mnie znacznie mocniejszych procesorów i większej ilości pamięci. To z kolei zwiększyłoby moje miesięczne koszty hostingu z powodu dodatkowego zużycia energii (i prawdopodobnie wielkości serwera).

Krótko mówiąc, ostatni raz, kiedy liczyłem, tak, greylisting nadal ma bardzo, bardzo dobry sens jako część kompletnego systemu filtrowania spamu . Aktywowałem go dla klientów w ciągu ostatnich kilku tygodni i wszyscy są bardzo zadowoleni ze zmniejszenia obciążenia ich systemów filtrowania opartych na zawartości.

Edycja : Zauważam, że nie odpowiedziałem na pytanie, czy z czasem staje się ono mniej skuteczne. Kiedy go włączyłem, pod koniec 2006 roku, szacowałem wtedy, że odfiltrowuje około 95% spamu. 1750 jako odsetek 46 000 to około 4%, więc moje dane sugerują, że nie będzie mniej skuteczny w tym okresie.

Szalony Kapelusznik
źródło
2
Właśnie takiej odpowiedzi szukałem. Dzięki!
neu242,
3
Myślę, że sensownie jest spojrzeć na to ilościowo w konkretnej sytuacji. Właśnie sprawdziłem, a mój serwer pocztowy widzi bardzo różne liczby: ogółem za sierpień i wrzesień, 460214 5xx odrzuceń, 12331 4xx odrzuceń i 22665 przyjmuje. Dlatego 4,6% zaakceptowało, a tylko 2,6% spamu (w najlepszym wypadku) zostało zablokowane przez szarą listę. Odrzuty 5xx są zdominowane przez 8,4% nieznanego użytkownika i> 90% RBL. (I nawet nie uruchamiam bardzo agresywnych RBL. Całkowicie przeważająca większość bloków RBL to XBL .) Z drugiej strony ruch przechwycony przez RBL nigdy nie dociera do szarej listy.
CVn
7
Interesujące, ale nie mogę dokonać bezpośredniego porównania, ponieważ z zasady nie użyję żadnego RBL jako jasnego testu do odbioru; Używam ich tylko jako elementów przyczyniających się do wyniku spamassassin. Sam zbyt często korzystam z RBL, z całkowicie fałszywych powodów, aby powierzyć działanie mojej poczty komuś innemu. Gdybyśmy jednak mieli założyć, że wszystkie te odrzucenia XBL pochodzą z botnetów typu „ogień i zapomnij”, to gdybyś był na szarej liście tak jak ja, zobaczyłbyś dla mnie porównywalne wartości procentowe.
MadHatter
1
Tak, zdecydowanie zastanawiałem się nad tym, aby zmienić go na pomocnika oceny spamu i polegać na szarej liście, z dokładnie wspomnianego powodu. Jednak to nie neguje tego, o czym mówiłem, że różne serwery mogą widzieć bardzo różne wzorce ruchu, a jedynym sposobem, aby naprawdę wiedzieć, czy greylists jest skuteczny, jest spojrzenie na to z punktu widzenia konkretnej konfiguracji.
CVn
1
Chciałem znowu się nie zgodzić, ale tak naprawdę całkowicie się z tobą zgadzam. Dla wszystkich użytkowników najlepszym sposobem, aby dowiedzieć się, czy jest to skuteczna technika w przepływie poczty, jest wypróbowanie jej w przepływie poczty i zmierzenie - Michael mówi mądrze!
MadHatter,
8

Spamboty zwykle nadal nie ustawiają się w kolejce wiadomości, ale niektóre z nich wysyłają spam dwukrotnie do każdego adresata z kilkuminutowym opóźnieniem, aby pokonać szarą listę. w dzisiejszych czasach spam od spamerów nie jest już prawdziwym problemem, spam z zainfekowanych kont Yahoo itp. jest znacznie trudniejszy do złapania.

Z tego punktu widzenia szare listy nie są tak skuteczne, jak kiedyś. W połączeniu z innymi technikami antyspamowymi nadal może to pomóc, na przykład jeśli Twoja domena często znajduje się w „pierwszej partii” kampanii spamowych, szare listy mogą opóźnić wiadomość na tyle długo, aby czarne listy domen / adresów IP mogły ją dogonić, więc jeśli spam prześlizgnąłby się przez filtry przy pierwszej próbie połączenia, być może zostanie wykryty przy drugiej próbie.

Gryf
źródło
Zdecydowana większość podejmowanych przeze mnie prób dostarczania spamu pochodzi od spamujących. Używam innych technik, aby zniechęcić Spamboty i większość z nich poddaje się, zanim można je usunąć z szarej listy. Na moim serwerze Greylisting wciąż blokuje około połowy nadawców, przetwarza. Zwalniam nadawców, którzy mogą zostać uznani za bardzo prawdopodobne, że przejdą szarą listę.
BillThor,
5

Jako problem styczny nie lubię być w stanie wdrożyć taką technikę, jak greylists, bez możliwości pomiaru jej skuteczności. Na Debianie, z postfiksem jako MTA i postgrey jako narzędziem polityki greylistingu, możesz po prostu apt-get install mailgraphuzyskać prosty wykres poczty akceptowanej i odrzuconej. Mailgraph jest nieco starą szkołą i całkowicie samodzielny, ale działa, a jego dane lub techniki można łatwo zintegrować z bardziej złożonym nowoczesnym systemem monitorowania.

Paul Gear
źródło
3

Uzyskaj filtr poczty oparty na reputacji. Greylisting jest nieco old-school i nie jest kompleksowym rozwiązaniem. Istnieją obejścia (z punktu widzenia spamera) i nieprzewidywalne czasy dostarczania poczty dla użytkowników ...

Przekazuj filtrowanie do usługi w chmurze lub kup urządzenie, które ma dostęp do takiej listy i ma inne metody sprawdzania poprawności spamu. Moje zalecenie to zazwyczaj Barracuda dla ich urządzenia lub rozwiązania do filtrowania w chmurze . Obie opcje mają ekonomię skali i dojrzałą heurystykę, które zapewniają czystsze ogólne rozwiązanie.

Patrząc na jeden z raportów Barracuda Spam Filter mojego klienta z września 2012 r., Spośród 98 457 wiadomości, 1623 zostało odciętych, zanim nawet trafiło na serwer pocztowy z powodu złych adresatów ... 34 488 zostało zablokowanych jako spam . Przeszło tylko 96 wątpliwych wiadomości. Oceniane jako SPAM to połączenie reputacji, wyniku, zamiaru, trzech RBL, filtrowania bayesowskiego i niestandardowych zestawów reguł. Wszystko w jednym urządzeniu ... Wszystko przetwarzane przed trafieniem na względnie mały serwer pocztowy.

wprowadź opis zdjęcia tutaj

Zobacz także: Walka ze spamem - Co mogę zrobić jako: Administrator poczty e-mail, właściciel domeny lub użytkownik?

ewwhite
źródło
2
Ciekawe, ale nie odpowiadasz na moje pytania dotyczące szarej listy. A twoje statystyki bez liczb greylistingu nie są tutaj bardzo przydatne :)
neu242,
@ neu242 Chodzi o to, że 1). Greylisting ma znane wady, 2). nie można uznać za całe rozwiązanie i 3). istnieją lepsze sposoby wykrywania spamu, ponieważ procesy ewoluowały w ciągu ostatnich kilku lat.
ewwhite
4
Greylisting jest oczywiście tylko częścią mojego zestawu narzędzi do zapobiegania spamowi. Moja konfiguracja jest bardzo podobna do @ MadHatter's. Ale ponieważ pytałem konkretnie o greylistę, w pewnym sensie oczekiwałem konkretnych odpowiedzi na greylistę.
neu242
1
@ewwhite: właściwie nie rozumiem, jak to nie było dość jasne. Dla odniesienia: sprawdziłem historię pytań. Nie zauważyłem zmiany, która w jakikolwiek sposób wpłynęła na to.
Jürgen A. Erhard
2
@ JürgenA.Erhard Trochę za późno na to. Twój post jest niegrzeczny. Żadne profesjonalne rozwiązanie do filtrowania spamu wdrożone dzisiaj nie powinno polegać wyłącznie na szarej liście. Jeśli masz inne obawy, zapoznaj się z kanonicznym pytaniem dotyczącym spamu związanego z awarią serwera tutaj .
ewwhite