O greylisting do SMTP a) para muito spam e b) para muitos emails legítimos?

10

Acabei de configurar um servidor SMTP em um domínio relativamente pouco usado usando o Postfix e habilitado a lista cinza com SQLGrey . Até agora, parece estar funcionando bem, e embora haja uma ligeira irritação de atrasos para os e-mails de novos remetentes, vejo nos registros que isso está impedindo várias mensagens de spam.

Na sua experiência, a greylisting efetivamente interrompe muitos spams? É uma adição útil a, e. SpamAssassin ou está adicionando no overkill superior / desnecessário?

Se eu tivesse que implementar isso em domínios de uso mais pesado (talvez com usuários mais exigentes), você anteciparia uma parte significativa de servidores de e-mail mal configurados que acabariam saltando ou perdendo mensagens?

    
por Whisk 01.05.2009 / 00:40

7 respostas

5

In your experience does greylisting effectively stop much spam?

É muito eficaz. Eu usei por mais de 3 anos e isso teve um impacto definitivo no nosso processo de filtração.

Is it a useful addition to e.g. SpamAssassin or is adding it on top overkill/unnecessary?

Na verdade, reduzirá sua carga de trabalho de varredura. Eu recomendo adicioná-lo.

If I were to roll this out to heavier use domains (perhaps with more demanding users) would you anticipate a significant portion of poorly configured mail servers that would end up bouncing or losing messages?

Eu vi isso acontecer, embora os servidores de e-mail estivessem gravemente configurados (o postmaster havia decidido desistir imediatamente da entrega se houvesse um erro de software, em vez de tentar enviar novamente). Isso se resume a como o remetente lida com uma mensagem 4xx vs. 5xx. Se eles os tratarem da mesma forma, você terá alguns problemas. Se eles os tratarem corretamente , onde 4xx é uma falha temporária e o remetente tentará novamente, não haverá problema. Mesmo que eles tenham sido mal configurados, a solução mais fácil é adicionar o domínio do remetente à sua greylist como "já visto", e dar uma pontuação absurda para evitar que ele caia do banco de dados.

    
por 21.05.2009 / 20:36
9

Na minha experiência, greylisting não oferece benefício suficiente para justificar as desvantagens. Enquanto eu tinha greylisting configurar no meu servidor, era chato o suficiente para ter cada (novo) e-mail recebido atrasado. Eu também sei com certeza que alguns e-mails recebidos estavam se perdendo.

Os spammers eram persistentes o suficiente (e eu acho que, mesmo naquela época, eles estavam começando a fazer tentativas automaticamente) de que o spam chegava mesmo assim. Eu virei greylisting anos atrás e não olhei para trás.

    
por 01.05.2009 / 00:48
3

A lista de e-mails efetivamente interrompe muitos spams antes mesmo de chegar ao seu filtro de conteúdo.

É um vício muito útil, pois reduzirá bastante a carga de trabalho de varredura, reduzirá os falsos negativos (alguns dos spams que não seriam capturados pelo filtro de conteúdo serão bloqueados antecipadamente pela lista cinza) e não poderão, por definição, introduza qualquer falso positivo (correio legítimo bloqueado).

Os e-mails que você perdeu são devidos a não estarem em conformidade com os remetentes smtp - sim, existem alguns "bigs" que ainda não estão funcionando bem, uma pequena lista de permissões cuidará deles até que eles consertem seus sistemas. No final, ter muitos sites com greylisting na internet terá o efeito colateral de forçar mais pessoas a usar servidores de email configurados corretamente.

Com uma boa configuração de greylist (boa implementação + boa configuração / operações), muito poucos e-mails serão atrasados e, na maioria das vezes, o atraso será da ordem de alguns minutos. Além disso, uma boa configuração de greylisting é principalmente um sistema "implantar e esquecer", reduzindo o fluxo de spam, carregamento de sistemas e não aumentando sua carga (sysadmin).

Antes de ativar a greylisting em domínios existentes, sugiro implantar isso no "modo de aprendizado", onde ele assistirá ao fluxo de e-mails sem atrasar nada. Isso dará tempo para aprender trigêmeos e autowhitelist bons remetentes smtp.

Ter muitos e-mails bloqueados antes que o scanner de conteúdo tenha vários efeitos colaterais bons. Eu gosto particularmente destes:

  1. além das listas de permissões manuais curtas e pouco frequentes, um sistema de lista cinza não precisa de nenhum conhecimento compartilhado entre os servidores, simplificando a implantação de vários MX'es em locais / datacenters distribuídos geograficamente
  2. reduzir a carga de varredura significa que você pode usar menos hardware para a varredura de conteúdo
  3. menos servidores para verificação de conteúdo significa que você pode centralizá-los mais facilmente, gerenciá-los, depurá-los (melhor relação sinal / ruído nos logs;)
  4. menos carga em seus sistemas para rejeitar spam 'óbvio' e mais carga em um sistema de spam para repetir a entrega significam uma melhor taxa de carga de receptor / spammer, o que torna o envio de spam mais 'caro', e isso é uma coisa boa a longo prazo

Em resumo, greylisting se resume a:

  1. forçando os remetentes a se conformarem aos padrões, isso tornará mais fácil para todo o sistema de e-mail funcionar corretamente e ser mais facilmente gerenciável (- > mais facilmente rastreando spammers como um efeito colateral)
  2. aumentando (um pouco) o custo do envio de e-mails, tendo um pequeno impacto nos remetentes legítimos e um maior nos remetentes de spam (- > aumentando os custos de envio de spam é sempre bom)

EDIT: embora exista um impacto (pequeno, mas IMHO) de tempos de entrega de e-mail legítimos, pode ser reduzido usando outros meios para ignorar a lista cinza, como tarpitting e SPF . O primeiro é interessante, mas eu faria alguns testes do mundo real antes de julgar sua eficácia / desvantagens, o último nem sempre está disponível.

    
por 14.06.2010 / 11:51
2

Sim, greylisting pode interromper uma quantidade razoável de spam, de forma muito barata. Mesmo quando não pára de spam, o atraso adicionado dá tempo adicional para que a mensagem ou o remetente sejam listados em listas DNSBL ou baseadas em hash.

Você deve garantir que você use uma boa implementação (não estou pessoalmente familiarizado com o SQLGrey). Em particular, você geralmente pode descobrir maneiras de confiar em trigêmeos sem ter visto o tripleto exato antes (por exemplo, se você já viu bons trigêmeos a partir de um IP, então provavelmente não há nenhum ponto de greylisting triplets adicionais a partir desse IP). Após um pequeno período de tempo, poucas mensagens legítimas são exibidas com lista de cores.

    
por 01.05.2009 / 05:01
2

Um possível problema com greylisting é que os usuários não receberão emails imediatamente. Isso é mais frustrante para os e-mails de redefinição de senha. Esses e-mails geralmente são pegos na greylist porque o remetente / destinatário / ip será novo.

raj

    
por 15.05.2009 / 12:58
2

Para adicionar as outras respostas:

Uma coisa que você deve considerar ao implantar a lista cinza é que irá aumentar atrasos para (certos) e-mails legítimos. Você deve descobrir primeiro se isso é um problema para seus usuários.

Por exemplo, se sua organização tiver principalmente e-mails e e-mails internos com alguns parceiros de negócios de longa data, o impacto será insignificante.

OTOH, se você costuma trocar e-mails com novos clientes, pode ser doloroso. Uma situação em particular pode ser um problema: se você falar com alguém no telefone e quiser trocar documentos relevantes para a discussão via e-mail (algo que faço regularmente em chamadas telefônicas de suporte), até mesmo um minuto de alguns minutos pode ser inaceitável.

Portanto, como sempre, leve em conta as necessidades específicas dos usuários.

    
por 14.06.2010 / 12:18
1

Eu tive uma excelente sorte com greylisting. Pessoalmente, eu nunca usaria isso como minha única medida anti-spam, mas quando incluído como parte de um sistema anti-spam em camadas (incluindo SpamAssassing, amavisd, clamav, RBLs, SPF / DKIM, etc), ele fornece benefício.

Uma observação importante é que há alguns ISPs por aí (os principais) que não gerenciam um destino greylisted normalmente (as listas de discussão do yahoo têm sido um exemplo bem conhecido). Eu aconselharia a olhar para algumas das listas brancas que as pessoas colocaram juntas para garantir que você não acabe bloqueando o e-mail real.

Na minha experiência, a vasta maioria dos e-mails que você recebe de pessoa para pessoa (de uma pessoa / usuário real) flui através de um dos principais servidores de e-mail (postfix, qmail, Exchange, sendmail), todos os quais manipulam greylisting corretamente. Ocasionalmente, você pode se deparar com algum software de lista de discussão ou programa de e-mail automático que não lida corretamente, mas minha experiência sugere que isso é muito raro.

    
por 21.05.2009 / 20:31