Greylisting

Spammer ausbremsen mit Greylisting

Wie funktioniert Greylisting?

Beim Greylisting wird ausgenutzt, dass Spamming in der Regel nicht fehlertolerant ist. Um effektiv zu "spammen" müssen innerhalb kurzer Zeit viele Millionen Mails verschickt werden. Dabei wird nach der Maxime "fire and forget" nur ein einziges Mal versucht eine Mail an einen bestimmten Empfänger zu senden. Ein großer Teil der Spams geht ohnehin an nicht existierende Postfächer (geratene E-Mailadressen), so dass es (bisher) von Seite der Spammer nicht sinnvoll erschien fehlgeschlagene Versuche zu wiederholen. Hier setzt das Greylisting an. Bei jedem Verbindungsversuch zu unseren Eingangsservern werden drei Informationen gespeichert:

• Die IP-Adresse des kontaktaufnehmenden Mailservers
• Die E-Mailadresse des Senders (Envelope-Adresse)
• Die E-Mailadresse des Empfängers (Envelope-Adresse)

Tritt diese Kombination zum ersten Mal auf, wird der Zustellungsversuch mit der temporären Fehlermeldung "450 you are greylisted - try again later" abgewiesen. Dieses Verhalten ist konform mit dem SMTP-Standard (Simple Mail Transfer Protokoll). Der Standard fordert in einem solchen Fall, dass der Mailserver den Zustellungsversuch nach einer gewissen Zeit (etwa 30 Minuten) wiederholt. Die Kombination ist nun bekannt und die Mail darf passieren.

Um zu verhindern, dass eine Zustellung sofort nach dem ersten Fehlversuch wiederholt wird, wird die Kombination aus Sender-, Empfänger- und IP-Adresse erst nach einer definierten Zeit (z. Zt. 10 Minuten) freigeschaltet. Anderenfalls könnte das Greylisting durch Spammer zu einfach ausgehebelt werden. Erfolgt innerhalb der nächsten 12 Stunden ein weiterer Zustellungsversuch mit der selben Kombination, wird die Mail wie gewohnt zugestellt und das Informationstripel für die nächsten 36 Tage freigeschaltet.

Wenn kein weiterer Versuch unternommen wird, wird das Tripel nach dem Ablauf der 12 Stunden aus der Datenbank entfernt. Damit eine Mail erfolgreich ausgeliefert werden kann, muss der zweite Versuch (bzw. einer der nächsten Versuche) innerhalb dieses Zeitfensters erfolgen! Bei jeder erfolgreichen Zustellung wird der Gültigkeitszeitraum des Informationstripels verlängert, so dass bei regelmäßigen E-Mailkontakten lediglich die erste Mail von einer Verzögerung betroffen ist.

Was ist der Vorteil von Greylisting?

Seit Einführung des Greylistings ist der Spamanteil von über 90% auf etwa 30% gesunken. Die Mailrelays wurden dadurch spürbar entlastet. Das Mailaufkommen ist von etwa 200.000 Mails pro Tag auf nun etwa 50.000 Mails pro Tag gesunken. Ein positiver Nebeneffekt ist, dass Mail-Würmer wie Sobig weniger Schaden anrichten können. Auch diese Schädlinge, die sich selbst via E-Mail verbreiten, sind nicht auf Fehlertoleranz ausgelegt und werden vom Greylisting im Normalfall abgeblockt. Zwar werden Mail-Würmer von den zentralen Virenscannern des RZ abgefangen, zwischen dem Auftreten neuer Würmer und der Reaktion der Hersteller von Antivirensoftware vergehen aber in der Regel mehrere Stunden oder sogar Tage. In diesem Zeitraum können die neu aufgetretenen Würmer von den Virenscannern nicht entdeckt werden. Hier bietet Greylisting den einzigen Schutz.

Welche Probleme birgt Greylisting?

Im Zusammenhang mit Greylisting kann es gelegentlich auch mit legitimen Mailservern zu Problemen kommen. Dies liegt daran, dass diese sich nicht SMTP-konform verhalten. Die Ursachen hierfür liegen meist an einer schlampigen Konfiguration oder einfach an schlecht programmierter Software. Die Verantwortung liegt hier beim Betreiber des Mailservers.

Ein weiteres Problem stellen dynamische IP-Adressen (Modem-Verbindungen, DHCP) dar. Bei jedem neuen Einwahlvorgang bekommt man in der Regel eine neue IP-Adresse zugewiesen. Ein Rechner ist in der Regel nicht lange genug mit der gleichen IP-Nummer online, um die Erfolgskriterien des Greylisting zu erfüllen. Der Absender ist hier angehalten den Relay-Server (Smarthost) seines Providers zu verwenden. Dieser kümmert sich dann um die korrekte Zustellung der Mail.

Gibt es Ausnahmen?

Um die mögliche Beeinträchtigung des Mailverkehrs möglichst gering zu halten, wird das Greylisting nur auf Verbindungen angewendet, die als verdächtig eingestuft werden. Die Kriterien hierfür sind:

• Der Client ist ein potentieller Dialup-Rechner (mehr als 5 Ziffern im Hostnamen)
• Die HELO-Domain entspricht nicht der Client-Domain
• Die Sender-Domain entspricht nicht der Client-Domain
• Es wird kein Absender angegeben (MAILER-DAEMON, ohne Ausnahme!)
• Clientname ist nicht durch DNS auflösbar (ohne Ausnahme!)

Außerdem wurden Mailserver aus Domains, von denen bekanntermaßen wenig Spam zu erwarten ist, vom Greylisting ausgeschlossen. Es sind derzeit:

• große Provider (aol.com, hotmail.com, yahoo.com, lycos.com, t-online.com, t-dialin.net, t-ipconnect.de, web.de, freenet.de, gmx.de, gmx.net, kundenserver.de)
• internationale Bildungseinrichtungen (*.edu, *.ac.??)
• deutsche Hochschulen (uni-*.de, fh-*.de, tu-*.de, fu-*.de)
• etc.

Weiterhin ist es möglich weitere Domains, bei denen es zu Problemen kommt, in die Whitelist aufzunehmen.

Zusammenfassung

1. Es werden keine E-Mails gelöscht!
2. Die Annahme von E-Mails aus "verdächtigen" Quellen wird lediglich verzögert.
3. Es gehen keine E-Mails von Einrichtungen mit ordnungsgemäß betriebenen Mailservern verloren.
4. Wer über eine Einwahlverbindung ins Internet geht muss zum Verschicken von E-Mails an Empfänger innerhalb der Universität Würzburg das Mailrelay (Smarthost) des jeweiligen Providers verwenden!

Weitere Informationen

• RFC 2821 - Simple Mail Transfer Protocol: http://www.faqs.org/rfcs/rfc2821.html
• The Next Step in the Spam Control War: Greylisting: http://projects.puremagic.com/greylisting/