Wissensdatenbank:
Greylisting
Gepostet von Alexander Bechtold, Last modified by Alexander Bechtold an 22 March 2016 12:12

Die Filtersysteme von AntiSpam.Expert nutzen eine erweiterte Form des Greylisting, um eine erhebliche Menge an Spammails mit minimalem Ressourcenaufwand effektiv zu stoppen. Obwohl Greylisting eine umstrittene Technologie ist, ist sie immer noch eine der Wirksamsten, wenn sie denn richtig angewendet wird.

Zunächst ist der wichtigste Punkt, das bei AntiSpam.Expert alle Server des Clusters und der Appliances, die bereits hergestellten Verbindungsversuche kennen. Aus diesem Grund ist es auch unerheblich, auf welchem Server der nächste Versuch des Sendeservers zur Übermittlung der Nachricht, gestartet wird. Zusätzlich werden, zentral, alle Verbindungen von "zuverlässigen" Hostern und Servern gesteuert, so dass die bekannte Zeitverzögerung hier nicht mehr stattfindet.

Greylisting basiert auf einem sogenannten "Tripple" Prüfungsverfahren, bestehend aus sendender Server-IP-Adresse (/24er Subnetz), E-Mail-Adresse des Absenders und E-Mail-Adresse des Empfängers. Jedes Mal, wenn eine Anfrage an das System von AntiSpam.Expert gestellt wird und das "Tripple" nicht bekannt ist, wird die Verbindung vorübergehend (SMTP Code 4xx) abgelehnt, um zu sehen, ob diese Anfrage nach 10 Minuten erneut und mit den gleichen Komponenten des "Tripple" gestellt wird. Eine vorübergehende Ablehnung bedeutet, das der senden Server aufgefordert wird, die Mail in die Warteschlange zu stellen, um diese dann, nach kurzer Zeit, erneut zu zu stellen. Dies ist eine RFC-Konforme Standardkonfiguration, die jeder SMTP-Server beherrschen muss und regelkonform gehandhabt wird. Da dies ein vollautomatischer Prozess der Server untereinander ist, erhält der Absender hierüber auch keine Nachricht, dass die Mail noch nicht zugestellt wurde. Hierbei spielt es keine Rolle, wie oft der Sendende Server versucht, die Mail zu zu stellen, diese wird erst nach Ablauf der 10 Minuten akzeptiert werden. Wenn die Mail dann erneut zugestellt wird und alles soweit passt, wird das unbekannte "Trippel" zu einem bekannten "Tripple" (White Tripple) und bei zukünftig genauso aufgebauten Mails, ist keine Verzögerung durch das Greylisting mehr erforderlich. Sollten zusätzlich mindestens 5 verschiedene, erfolgreiche Zustellungen (White Tripple) von der gleichen IP (/24 Subnetz) oder mindestens zwei verschiedene White Tripple aus dem gleichen Subnetz und Absende E-Mail-Adresse bekannt sein, so wird die IP-Adresse auf eine "White List" gesetzt, die das Filtersystem von AntiSpam.Expert in einer grauen (Greylisting) und weißen Liste führt. Hiermit werden dann alle Anfragen, die auf der White List stehen, direkt an die nächsten Filter weiter gegeben und das Greylisting nicht mehr beachten, so das die Mail keine Verzögerung mehr hat. Nur neue, unbekannte Mailserver landen im Greylisting (grauen Liste). Sollte allerdings von einem Server, der auf der weißen Liste steht, eine Spam-Mail erkannt worden sein, so landet der Absende Server auf der schwarzen Liste und wird von der weißen Liste gelöscht. Hierauf beginnt ein erneuter Lernprozess für das Greylisting, wodurch es wieder zu der Zustellverzögerung kommt.

Greylisting Tripple Einträge werden nach 10 Minuten auf die White List gesetzt

IP-Subnetze werden in die graue/weiße Liste gesetzt, wenn 5 White Tripple bekannt sind

IP-Subnetze und zugehörige Absender werden in die graue/weiße Liste gesetzt wenn 2 IP-Subnetze auf der weißen Liste stehen und Abendeadressen hierzu passen

Greylisting Einträge werden nach 8 Stunden (ohne zweite Beantwortung) gelöscht

Einträge auf der weißen Liste werden nach 60 Tagen gelöscht, sollte innerhalb dieser Zeit kein weiterer Mailverkehr stattfinden

Tripple gelten nur für eine einzelne Empfängerdomain und nicht global

Empfänger auf der weißen Liste gelten für alle Domains/Empfängerdomains im AntiSpam.Expert-System

Uns erreichen oft Supportanfragen, weil Absender, wenn die Mail nach 2 Minuten nicht angekommen ist, in Ihre Warteschleife schauen und dort die Mail sehen. Hierauf wird dann vermutet, das Sie als Spam erkannt wurde, was aber zu diesem Zeitpunkt nicht geschehen ist und hierüber eine gesonderte Nachricht an den Absender gehen würde und diese auch nicht in der Warteschleife liegen bleiben würde, da es zu einer endgültigen Ablehnung gekommen ist.

Ein /24-Subnetz ist immer der erste Teil einer IP-Adresse. Wenn Ihr Mailserver die IP 111.222.333.444 hat, wird für das Tripple die 111.222.333 heran gezogen. Dies ist basierend auf der Tatsache, das die letzte Zahl 444 immer eine Zahl von 0 bis 256 sein kann und diese meist dann von einem Unternehmen stammen, da Provider zusammenhängende Mailadresse zuteilen.

Mehr Informationen über RFC und Greylisting finden Sie im Abschnitt 5.3.1.1 unter RFC1123. (http://www.ietf.org/rfc/rfc1123.txt)

(0 Stimme(n))
Hilfreich
Nicht hilfreich