Stoppt SMTP-Greylisting a) viel Spam und b) viel legitime E-Mails?

Ich habe gerade einen SMTP-Server in einer relativ wenig genutzten Domain mit Postfix eingerichtet und Greylisting mit SQLGrey aktiviert . Bisher scheint es in Ordnung zu sein, und obwohl Verzögerungen bei E-Mails von neuen Absendern leicht irritieren, kann ich anhand der Protokolle erkennen, dass dies eine Reihe von Spam-Nachrichten abschreckt.

Stoppt Greylisting Ihrer Erfahrung nach effektiv viel Spam? Ist es eine nützliche Ergänzung zu zB SpamAssassin oder ist das Hinzufügen zu Overkill / unnötig?

Wenn ich dies auf Domains mit höherer Nutzung (möglicherweise mit anspruchsvolleren Benutzern) ausweiten würde, würden Sie einen erheblichen Teil der schlecht konfigurierten Mailserver erwarten, die am Ende Nachrichten abprallen oder verlieren würden?

Stoppt Greylisting Ihrer Erfahrung nach effektiv viel Spam?

Es ist sehr effektiv. Ich benutze es seit mehr als 3 Jahren und es hat einen deutlichen Einfluss auf unseren Filtrationsprozess.

Ist es eine nützliche Ergänzung zu zB SpamAssassin oder ist das Hinzufügen zu Overkill / unnötig?

Dadurch wird Ihre Scan-Arbeitslast tatsächlich reduziert . Ich empfehle es hinzuzufügen.

Wenn ich dies auf Domains mit höherer Nutzung (möglicherweise mit anspruchsvolleren Benutzern) ausweiten würde, würden Sie einen erheblichen Teil der schlecht konfigurierten Mailserver erwarten, die am Ende Nachrichten abprallen oder verlieren würden?

Ich habe gesehen, dass dies passiert ist, obwohl die Mailserver stark falsch konfiguriert waren (der Postmaster hatte beschlossen, die Zustellung sofort aufzugeben, wenn ein weicher Fehler auftrat, anstatt das Senden erneut zu versuchen). Dies läuft darauf hinaus, wie der Absender eine 4xx- oder eine 5xx-Nachricht behandelt. Wenn sie gleich behandelt werden, treten einige Probleme auf. Wenn sie sie richtig behandeln , wobei 4xx ein Soft-Fail ist und der Absender es erneut versucht, gibt es kein Problem. Selbst wenn sie es falsch konfiguriert haben, besteht die einfache Lösung darin, die Domain des Absenders als "bereits gesehen" zu Ihrer Grauliste hinzuzufügen und ihr eine absurde Bewertung zu geben, damit sie nicht aus der Datenbank fällt.

Nach meiner Erfahrung bietet Greylisting nicht genügend Nutzen, um die Nachteile zu rechtfertigen. Während ich Greylisting auf meinem Server eingerichtet hatte, war es ärgerlich genug, dass sich jede (neue) eingehende E-Mail verzögerte. Ich weiß auch mit Sicherheit, dass einige eingehende E-Mails verloren gingen.

Spammer waren hartnäckig genug (und ich denke schon damals, dass sie automatisch Wiederholungsversuche machten), dass ihr Spam trotzdem durchkam. Ich habe Greylisting vor Jahren deaktiviert und habe nicht zurückgeschaut.

Greylisting stoppt effektiv viele Spam-Mails, bevor sie überhaupt in Ihren Inhaltsfilter gelangen.

Es ist eine wirklich nützliche Sucht, da es Ihre Scan-Arbeitslast erheblich reduziert, falsche Negative reduziert (einige der Spam-Mails, die nicht von Ihrem Inhaltsfilter abgefangen werden, werden zuvor durch Greylisting blockiert) und per Definition nicht eingeführt werden können falsch positive (legitime Mail wird blockiert).

Mails, die Sie verlieren, sind auf nicht konforme SMTP-Absender zurückzuführen - ja, es gibt einige "Bigs", die immer noch nicht gut spielen. Eine kurze Whitelist kümmert sich um sie, bis sie ihre Systeme reparieren. Am Ende hat das Vorhandensein vieler Websites mit Graulisten im Internet den netten Nebeneffekt, dass mehr Benutzer gezwungen werden, korrekt konfigurierte Mailserver zu verwenden.

Bei einem guten Greylist-Setup (gute Implementierung + gute Konfiguration / Betrieb) werden nur sehr wenige E-Mails verzögert, und die Verzögerung liegt meistens in der Größenordnung von einigen Minuten. Ein gutes Greylisting-Setup ist meistens ein "Bereitstellen und Vergessen" -System, das den Spam-Fluss und die Systemlast reduziert, ohne die (Systemadministrator-) Last zu erhöhen.

Bevor Sie Greylisting für vorhandene Domains aktivieren, empfehle ich dringend, es im "Lernmodus" bereitzustellen, in dem der Nachrichtenfluss ohne Verzögerung überwacht wird. Das gibt ihm Zeit, Drillinge zu lernen und gute SMTP-Absender automatisch auf die Liste zu setzen.

Wenn viele Mails blockiert werden, bevor der Inhaltsscanner verwendet wird, hat dies eine Reihe guter Nebenwirkungen. Ich mag diese besonders:

1. Abgesehen von den kurzen und selten wechselnden manuellen Whitelists benötigt ein Greylisting-System kein gemeinsames Wissen zwischen Servern, was die Bereitstellung mehrerer MXs an geografisch verteilten Standorten / Rechenzentren vereinfacht
2. Wenn Sie die Scanlast reduzieren, können Sie weniger Hardware für das Scannen von Inhalten verwenden
3. Weniger Server für das Scannen von Inhalten bedeuten, dass Sie sie einfacher zentralisieren, verwalten und debuggen können (besseres Signal / Rausch-Verhältnis in den Protokollen;)
4. Eine geringere Belastung Ihrer Systeme, um "offensichtlichen" Spam zurückzuweisen, und eine höhere Belastung eines Spammersystems, um die Zustellung erneut zu versuchen, bedeuten ein besseres Verhältnis von Empfängerlast zu Spammer, was das Senden von Spam "teurer" macht, und dies ist auf lange Sicht eine gute Sache Begriff

Alles in allem läuft Greylisting auf Folgendes hinaus:

1. Wenn Absender gezwungen werden, sich an Standards zu halten, kann das gesamte E-Mail-System leichter ordnungsgemäß funktionieren und leichter verwaltet werden (-> Spammer als Nebeneffekt leichter aufspüren)
2. Erhöhung (ein wenig) der Kosten für das Versenden von E-Mails, ein wenig Einfluss auf legitime Absender und ein größerer Einfluss auf Spammer (-> Erhöhung der Kosten für den Versand von Spam ist immer gut)

BEARBEITEN: Zwar gibt es eine (kleine, aber meiner Meinung nach) Auswirkung legitimer E-Mail-Zustellzeiten, diese könnte jedoch durch andere Mittel zur Umgehung von Greylisting wie Tarpitting und SPF verringert werden . Ersteres ist interessant, aber ich würde einige Tests in der Praxis durchführen, bevor ich seine Wirksamkeit / Nachteile beurteile. Letzteres ist nicht immer verfügbar.

Ja, Greylisting kann eine angemessene Menge an Spam sehr kostengünstig stoppen. Selbst wenn Spam nicht gestoppt wird, bietet die zusätzliche Verzögerung zusätzliche Zeit, damit die Nachricht oder der Absender in DNSBL- oder Hash-basierten Listen aufgeführt wird.

Sie sollten sicherstellen, dass Sie eine gute Implementierung verwenden (ich persönlich bin mit SQLGrey nicht vertraut). Insbesondere können Sie im Allgemeinen Wege finden, um Drillingen zu vertrauen, ohne zuvor das genaue Triplett gesehen zu haben (z. B. wenn Sie genug gute Drillinge von einer IP gesehen haben, ist es wahrscheinlich sinnlos, weitere Drillinge von dieser IP zu graylieren). Nach kurzer Zeit werden nur sehr wenige legitime Nachrichten in die Greylist aufgenommen.

Ein mögliches Problem bei Greylisting ist, dass Benutzer keine E-Mails sofort erhalten. Dies ist am frustrierendsten für E-Mails zum Zurücksetzen von Passwörtern. Diese Mails werden normalerweise in der Grauliste abgefangen, da der Absender / Empfänger / die IP neu ist.

Raj

So ergänzen Sie die anderen Antworten:

Eine Sache , die man beachten sollte bei der Bereitstellung einer grauen Liste ist , dass es wird zu erhöhen Verzögerungen für (bestimmte) legitime Mails. Sie müssen zuerst herausfinden, ob dies ein Problem für Ihre Benutzer ist.

Wenn Ihre Organisation beispielsweise hauptsächlich interne E-Mails und E-Mails mit einigen langjährigen Geschäftspartnern hat, sind die Auswirkungen vernachlässigbar.

OTOH, wenn Sie häufig E-Mails mit neuen Kunden austauschen, kann dies schmerzhaft sein. Insbesondere eine Situation könnte ein Problem sein: Wenn Sie mit jemandem telefonieren und Dokumente, die für die Diskussion relevant sind, per E-Mail austauschen möchten (was ich regelmäßig bei Telefonanrufen vom Typ Support mache), kann dies sogar einige Minuten dauern inakzeptabel.

Berücksichtigen Sie daher wie immer die spezifischen Bedürfnisse der Benutzer.

Ich hatte sehr viel Glück mit Greylisting. Persönlich würde ich es nie als meine einzige Anti-Spam-Maßnahme verwenden, aber wenn es als Teil eines mehrschichtigen Anti-Spam-Systems (einschließlich SpamAssassing, Amavisd, Clamav, RBLs, SPF / DKIM usw.) enthalten ist, bietet es eine Menge Vorteil.

Ein wichtiger Hinweis: Es gibt einige ISPs (große), die ein Ziel auf der grauen Liste nicht ordnungsgemäß behandeln (Yahoo-Mailinglisten waren ein bekanntes Beispiel). Ich würde empfehlen, sich einige der Whitelists anzusehen, die die Leute zusammengestellt haben, um sicherzustellen, dass Sie keine echten E-Mails blockieren.

Nach meiner Erfahrung fließt die überwiegende Mehrheit der E-Mails, die Sie von Person zu Person (von einer realen Person / einem realen Benutzer) erhalten, über einen der wichtigsten Mailserver (Postfix, Qmail, Exchange, Sendmail), die alle mit Greylisting umgehen richtig. Gelegentlich stoßen Sie möglicherweise auf eine Mailinglistensoftware oder ein automatisiertes E-Mail-Programm, das nicht richtig damit umgeht, aber meiner Erfahrung nach ist dies sehr selten.