Greylisting ist ein Verfahren, um Spam-Mails zu reduzieren. So gesehen zwar nicht die Mails direkt, jedoch die Zustellung ins Postfach. Dabei wird eine recht simple, aber auch sehr effektive Vorgehensweise genutzt:

Der Mailserver filtert zuerst folgende Daten aus dem Header der Email heraus: die IP Adresse des Absenders, die Email Adresse oder Domain des Empfängers und die des Absenders. Diese Daten werden samt eines Zeitstempels mit einer Datenbank, welche für die Speicherung dieser Daten durch das Greylisting Programm angelegt wurde, abgeglichen.

Gibt es noch keinen Eintrag in der Datenbank mit demselben Datensatz (abgesehen von dem Zeitstempel), so sendet der empfangende Emailserver eine Nachricht mit dem Inhalt, dass ein temporärer Fehler vorliegt an den sendenden Emailserver. Dies ist laut RFC 2821 ein konformes Vorgehen. Da eine bestimmte Zuverlässigkeit bei der Zustellung von Emails durch das Protokoll und den Standard vorgesehen ist, werden die sendenden Email Server, welche “sauber” konfiguriert sind, diese Nachricht entgegen nehmen und später eine erneuten Zustellungs versuchen.

Bei einem zweiten Zustellungsversuch erkennt der Emailserver die Nachricht also an und diese wird dann durch den Mail Transfer Agent an das Postfach des Empfängers weitergeleitet (natürlich können hier auf diesem Weg zum Postfach noch weitere Spamfilter und Virenfilter mit durchlaufen werden). Weiterhin wird über eine vorher konfigurierte Zeitspanne diese Kombination aus IP, Absender und Empfänger erlaubt. Sollte in dem erlaubten Zeitraum eine neue Email von demselben Absender eintreffen, so wird das Zeitfenster für die erlaubte Zustellung wieder auf den ursprünglichen Wert hochgesetzt.

Warum schützt dieses Verfahren nun so gut gegen Spam?
Es ist so, dass sehr viele Spam-Mails über gehackte Rechner und Server mit Hilfe von einfachen, oft selbstprogrammierten Mailservern versendet werden. Diese sind sehr oft nicht standardkonform. Vielmehr ist es das Ziel, so viel wie möglich Spam-Mails in kurzer Zeit zu versenden. Zum einen würde durch das wiederholte versenden die Anzahl der versendeten Emails sinken und zum anderen sind die Absenderadressen oder Domains auch oft gefälscht (somit ist eine Rückmeldung dass ein temporärer Fehler vorliegt und ein erneuter Versand kaum möglich).

Gibt es auch Nachteile?
Es gibt auch Nachteile beim Greylisting, diese sind jedoch zu vernachlässigen. Die erste Zustellung von einer unbekannten Adresse kann sich verzögern. Der Mailserver Admin kann konfigurieren, wieviel Zeit nach dem ersten Zustellversuch vergehen muss, bis ein zweiter akzetiert wird (hier sind Werte zwischen 5 Minuten und 15 Minuten sinnvoll, da einige Spam Versender Emails direkt zweimal hintereinander absenden). Eine Gegenmaßnahme dazu ist allerdings eine sogenannte Whitelist: hier können schon im Vorfeld ganze Domains oder einzelne Adressen eingetragen werden, welche immer akzeptiert werden.
Ein weiterer Nachteil ist, dass Emails von falsch konfigurierten Servern garnicht zugestellt werden. Dazu muss ich jedoch anmerken, dass der Fehler dann eindeutig beim Betreiber dieses Dienstes liegt.
Mailserver, welche nicht sauber konfiguriert sind, gehören nun mal nicht ans Netz!

Hier ein kleines Beispiel aus der Log Datei des Emailservers:

Apr 12 09:39:16 host02 postfix/smtpd[21806]: NOQUEUE: reject: RCPT from AToulouse-xxx-x-163-99.xxx-xxx.abo.wanadoo.fr[83.193.x.x]: 450 : Recipient address rejected: Greylisted for 300 seconds (see http://isg.ee.ethz.ch/tools/postgrey/help/hochwald-it.de.html); from= to= proto=SMTP helo=


Fazit:
Insgesamt betrachtet ist Greylisting eine sinnvolle Ergänzung im Kampf gegen Spam-Mails. Ergänzung aus dem Grund, da Greylisting alleine auf Dauer wohl keinen Spammer abhalten wird. Hand in Hand mit anderen Anti-Spam Programmen wie z.B. Spamassasin, erweitert um einen Virenscanner, welche Spam-Mails oder Viren-Mails markieren, damit der Empfänger gewarnt ist, ergibt sich ein ausgewogener und zuverlässiger Schutz.

So habe ich seit ich Greylisting einsetze von den ehemals ca. 60 erkannten Spam-Mails pro Tag meine Ruhe. Maximal eine bis zwei Mails kommen noch pro Woche bis zum Spamfilter und werden dort dann auch richtig erkannt und markiert. Der Mailserver filtert diese markierten Spam-Mails dann auch zuverlässig aus und schiebt sie in meinen Spam-Ordner um.

1 Kommentar zu „Greylisting scheint sich zu lohnen“