Greylisting

Greylisting

Der Begriff Graue Liste bzw. Greylisting (brit.) oder Graylisting (USA) bezeichnet eine Form der Spam-Bekämpfung bei E-Mails, bei der die erste E-Mail von unbekannten Absendern zunächst abgewiesen und erst nach einem weiteren Zustellversuch angenommen wird.

Greylisting ist zweierlei: eine Methode Spam zu erkennen, und eine Methode den Absender aussortierter E-Mails zu benachrichtigen.

Inhaltsverzeichnis

Funktionsweise

Wird ein SMTP-Server kontaktiert, damit dieser eine E-Mail in Empfang nimmt, so sind diesem Mailserver folgende drei Daten bekannt, bevor der Mail-Server die E-Mail annehmen muss (der "SMTP-Envelope"):

  1. IP-Adresse des absendenden Mailservers
  2. E-Mail-Adresse des Absenders
  3. E-Mail-Adresse der Adressaten

Wurde eine E-Mail mit dieser Kombination von Adressen noch nie empfangen, dann wird der Zustellversuch durch den SMTP-Server abgeblockt mit einer Meldung, dass ein temporärer Fehler aufgetreten sei, der SMTP-Client die Zustellung also später noch einmal versuchen soll. Wird ein nächstes Mal versucht, eine E-Mail mit derselben Kombination von Daten zuzustellen (was ein regulärer und RFC-konform konfigurierter SMTP-Server auf jeden Fall tun sollte), so wird diese E-Mail (nach einem konfigurierbaren Zeitintervall) akzeptiert. Ob und wann ein erneuter Zustellversuch unternommen wird, hängt einzig und allein vom Versender ab. Es gibt auch Greylisting-Implementierungen, die die Regeln ein wenig lockern, indem z.B. die beteiligten Domains statt der E-Mail-Adressen eingetragen und überprüft werden.

Vorteile

Typische Software für den Massen-Versand von E-Mails (insbesondere Würmer oder Trojaner) versucht oft nicht, eine (Spam-)E-Mail ein zweites Mal an denselben SMTP-Server zuzustellen. Solche E-Mails werden durch „Greylisting“ erfolgreich gefiltert. Zurzeit ist damit eine sehr effektive Spambekämpfung möglich, die den Spam auf bis zu ein Zehntel reduziert.

Durch die verzögerte Zustellung greifen auch Verfahren zur Spamerkennung, die auf Netzwerkprüfungen basieren, effektiver (wie z.B. RBLs, Vipul’s Razor und DCC), da zwischen erstem und zweitem Zustellungsversuch die Spamwelle evtl. bereits erkannt und auf den entsprechenden Blacklisten eingetragen wurde.

Eine E-Mail kann bereits abgelehnt werden, wenn lediglich der Mail-Envelope mit Absender- und Empfängerdaten empfangen wurde und nicht erst nachdem die komplette E-Mail (mit Body und ggf. Anhängen) erhalten wurde. Auf diese Weise werden weitere Spamfilter wie z.B. Spamassassin nicht mit einer abgewiesenen Mail belastet, was erheblich Ressourcen spart.

Anders als bei heuristischen Spam-Bekämpfungs-Verfahren geht durch „Greylisting“ im Normalfall keine E-Mail verloren. Die meisten Greylisting-Implementierungen führen eine dynamische Whitelist. Nach einer erfolgreichen Mailzustellung wird die Kombination Sender, Empfänger und Mailserver in die Whitelist eingetragen. Kombinationen, die in der Whitelist vermerkt sind, umgehen das Greylisting, wodurch die E-Mail bereits beim ersten Versuch zugestellt wird. Findet zwischen 2 Personen wiederholt ein E-Mail-Versand statt, wird dieser also nicht durch das Greylisting behindert.

Nachteile

(Fehlerhaft konfigurierte) Mailserver-Programme könnten bei temporären Fehlern keinen weiteren Zustellversuch unternehmen. Der zuständige Administrator des versendenden Mailservers sollte angehalten werden, diese grobe Fehlkonfiguration seines Systems zu beheben. Des Weiteren bieten viele Greylisting-Implementationen eine Whitelist, die allerdings eher für legitime als für fehlerhafte Absender genutzt werden sollte, beispielsweise zum Whitelisting großer Provider wie AOL, GMX, T-Online oder WEB.de. Eine brauchbare Whitelist ist beispielsweise die DNSWL [1]. Der durch den hohen Anteil gefälschter Absender-Adressen wieder erhöhte Spam-Anteil kann durch Verwendung von SPF negiert werden.

Ein weiterer Nachteil ist die Zeitverzögerung. Eine erwünschte E-Mail kann durch das Greylisting einige Minuten oder Stunden später eintreffen.

Einige Mailserver-Programme generieren bereits beim ersten Versuch einer durch Greylisting abgewiesenen E-Mail einen vorläufigen Zustellbericht an den Absender. Dieser Bericht wird oft nicht genau gelesen bzw. nicht verstanden und somit oft als Bericht über eine endgültig fehlgeschlagene Zustellung behandelt.

Wie alle Methoden der Spambekämpfung verliert Greylisting durch Weiterentwicklung der Spam-Software an Effizienz. Zurzeit ist noch nicht viel zu bemerken: Durch zweite Zustell-Versuche benötigen Spam-Versender mehr Ressourcen und können weniger Spam pro Zeiteinheit ausliefern. Die zeitliche Verzögerung kann zudem dazu benutzt werden, Spam-Versender zu erkennen. Je mehr sich Greylisting verbreitet, desto mehr werden sich die Spammer anpassen. Es ist daher sinnvoll, gleichzeitig auch andere Verfahren wie beispielsweise SPF oder DKIM einzusetzen.

Weiterhin ist zu beachten, dass nach Möglichkeit alle für eine Domain zuständigen Mailserver Greylisting aktiviert haben, da Spamversender bereits heute häufig direkt den – oft schlechter geschützten – MX mit der geringsten Priorität zur Einlieferung benutzen.

Bei Implementierungen auf Cluster-Servern ist zu beachten, dass die Greylist-Datenbank auf alle Serverknoten repliziert wird, da sonst der Mail-Empfang stark verzögert werden kann.

Neben der prinzipbedingten Verzögerung der Zustellung um wenige Minuten bis einige Stunden kam es Mitte Juni 2009 bei E-Mails von T-Online-Kunden zu starken Verzögerungen[2]. So erfolgte seitens T-Online bei einem durch Greylisting abgelehnten Zustellversuch die zweite Zustellung erst mit Verzögerung von 12 Stunden bis über 5 Tagen. T-Online verwies hierbei zunächst auf das nicht RFC konforme Verhalten des ablehnenden Mailservers, beseitigte dann aber doch die Verzögerungen.

Anwendungsgebiet

Zur Unterscheidung der Begriffe Massen-E-Mail (UBE) und kommerzielle E-Mail (UCE) siehe Arten von Spam.

Greylisting ist gegen UBE anwendbar, weil in der Regel zu Botnetzen zusammengeschlossene infizierte PCs dahinter stecken. Gegen diese Zielgruppe hilft auch, E-Mails von Einwahlzugängen generell abzulehnen. Listen von Einwahlzugängen müssen aber ständig gepflegt werden.

Gegen UCE ist Greylisting in der Regel nicht anwendbar. Da es eine persönliche Entscheidung sein kann, was davon Spam ist oder nicht, ist Blacklisting die genaueste Lösung; relativ gut helfen automatische Spam-Filter.

Wechselnde Serveradresse

Wechselnde Serveradressen sind für Greylisting kein ernsthaftes Hindernis:

Große Mail-Server-Betreiber müssen die Last der zu versendenden E-Mails auf mehrere Server verteilen. Bei wenigen kommt jede Wiederholung von einem anderen Server. Bei vielen kommen zumindest alle Wiederholungen vom gleichen Server. Die gleiche Kombination von IP-Adresse und E-Mail-Adresse des Absenders kommt also nicht immer gleich beim zweiten Versuch, aber auf jeden Fall nach einer Weile.

Vereinzelt machen Server zunächst nur einen Zustellversuch. Alle Wiederholungen finden mit der gleichen, neuen Mail-ID statt (= inhaltlich andere Nachricht).

Der Einwurf von Mail-Servern über einen Einwahlzugang (und damit mindestens täglich wechselnder IP-Adresse) kommt kaum noch vor, denn Einwahladressen werden von fast allen SMTP-Servern abgelehnt.

Anpassung der Spammer

Im Zeitraum 03/2008 bis 08/2009 waren unwesentliche Spam-Wellen über Botnetze unterwegs, die den Einwurf von Spam wiederholten, möglicherweise für Testzwecke. Sie haben sich anscheinend nicht durchgesetzt. Merkmale der mehrfach-Einwürfe waren:

  1. 3-fach parallel und/oder nacheinander vom gleichen PC
  2. 3-fach parallel von mehreren weltweit verteilten PC
  3. Einwurf mit permutierten Absendern und Inhalten
  4. 2-fach nacheinander in größerem Abstand vom gleichen PC

Zufällig oder absichtlich - keine der Wellen war geeignet, ein Greylisting wie hier beschrieben zu umgehen. Die Kombination gleicher PC mit gleichem Absender und zeitlichem Abstand war einfach nicht dabei. Dennoch ist damit zu rechnen, dass genau dies eines Tages geschieht. Deshalb ist es zur Spam-Bekämpfung unbedingt ratsam, Greylisting durch andere Methoden zu ergänzen. Greylisting war bis Oktober 2010 der genaueste Spamfilter für UBE.

Seit Ende Oktober 2010 wird ein kleiner Anteil des UBE-Spam aus Botnetzen auch mehrfach versendet. Greylisting bleibt damit ein wichtiges Kriterium für den Spamfilter, ist aber nicht mehr die alleinige Lösung.

RFC-Konformität

RFC 2821 sieht einen generellen temporären Fehler nicht vor. Die konforme Methode wäre also, beim ersten Einwurf die Bestätigung bis zur Prüfung der E-Mail zu verzögern. Beim üblichen Greylisting (Bestätigung durch den zweiten Einwurf) müsste die Verbindung also generell vor der Bestätigung des Eingangs getrennt werden.

Es hat sich statt dessen durchgesetzt, die E-Mail mit einem temporären Fehler 4xy abzulehnen. Das ist zwar im Sinne von RFC 2821 falsch, ermöglicht aber dem sendenden Mailserver, die Ursache der „vorübergehenden Störung“ zu protokollieren.

Benachrichtigung des Absenders

Nimmt ein SMTP-Server E-Mails zunächst an, und filtert dann erst Spam, kann er den Absender nicht benachrichtigen: Die Absenderangabe in fast allen Spam-E-Mails ist gefälscht, und die Benachrichtigungen würden an unschuldige Opfer gehen.

Der SMTP-Server kann jedoch die Mail zunächst mit Umschlag, Kopf und Inhalt annehmen und statt der Bestätigung einen temporären Fehler liefern. Hat er bis zum nächsten Zustellversuch die Spam-Prüfung abgeschlossen, liefert er eine Antwort 250 (OK) oder 5xy (Fehler).

Es ist sogar denkbar, dass der Empfänger persönlich die Mails sortiert, und damit die Prüfung erst nach Stunden stattfindet.

Durch die Ablehnung beim Einwurf der E-Mail wird normalerweise der wahre Absender der E-Mail benachrichtigt. Folglich ist der Empfänger nicht mehr gezwungen, einen Spam-Ordner durchzusehen. Bei einer irrtümlichen Ablehnung wird sich der Absender nach evtl. Hinweisen in der Fehlermeldung richten, oder zum Telefon greifen.

Siehe auch

Weblinks

Einzelnachweise

  1. dnswl.org: "DNS Whitelist – Protect against false positives"]
  2. t-online.de: Stellungnahme T-Home-Team zu Zustellproblemen bei aktivem Greylisting vom 14. und 24. Juni 2009

Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Greylisting — (or graylisting) is a method of defending e mail users against spam. A mail transfer agent (MTA) using greylisting will temporarily reject any email from a sender it does not recognize. If the mail is legitimate, the originating server will try… …   Wikipedia

  • Greylisting — Saltar a navegación, búsqueda Greylisting es una técnica para el control de mensajes spam. Es un método de defensa que bloquea la mayoría de los spam que se reciben en un MTA. En inglés marcado en lista gris , por analogía con una lista negra ,… …   Wikipedia Español

  • Greylisting — Le greylisting (le mot anglais signifie : « inscription sur liste grise ») est une technique anti spam très simple qui consiste à rejeter temporairement un message, par émission d’un code de refus temporaire au serveur émetteur… …   Wikipédia en Français

  • Greylisting — …   Википедия

  • Graylist — Der Begriff Graue Liste bzw. Greylisting (brit.)/Graylisting (USA) bezeichnet eine Form der Spam Bekämpfung bei E Mails, bei dem die erste E Mail von unbekannten Absendern temporär abgewiesen und erst nach einem zweiten Zustellversuch angenommen… …   Deutsch Wikipedia

  • Graylisting — Der Begriff Graue Liste bzw. Greylisting (brit.)/Graylisting (USA) bezeichnet eine Form der Spam Bekämpfung bei E Mails, bei dem die erste E Mail von unbekannten Absendern temporär abgewiesen und erst nach einem zweiten Zustellversuch angenommen… …   Deutsch Wikipedia

  • Greylist — Der Begriff Graue Liste bzw. Greylisting (brit.)/Graylisting (USA) bezeichnet eine Form der Spam Bekämpfung bei E Mails, bei dem die erste E Mail von unbekannten Absendern temporär abgewiesen und erst nach einem zweiten Zustellversuch angenommen… …   Deutsch Wikipedia

  • Lista gris — Una lista gris o greylist es una técnica para el control de mensajes spam. Es un método de defensa que bloquea la mayoría de los spam que se reciben en un servidor de correo. En inglés marcado en lista gris , por analogía con una lista negra, fue …   Wikipedia Español

  • Blog-Spam — Dieser Artikel befasst sich mit dem massenhaften unerwünschtem Versand von Nachrichten. Zum gleichnamigen Dosenfleisch der Firma Hormel Foods Inc. siehe Frühstücksfleisch. Ferner ist SPAM der Name der Satire Rubrik bei Spiegel Online. Als Spam… …   Deutsch Wikipedia

  • Blog-Spamming — Dieser Artikel befasst sich mit dem massenhaften unerwünschtem Versand von Nachrichten. Zum gleichnamigen Dosenfleisch der Firma Hormel Foods Inc. siehe Frühstücksfleisch. Ferner ist SPAM der Name der Satire Rubrik bei Spiegel Online. Als Spam… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”