Greylisting
Greylisting (nebo graylisting) je metoda bránící uživatele e-mailu proti spamu. Mail transfer agent (MTA) greylistingem dočasně "odmítá" všechny e-maily od odesílatele, které nerozezná. Pokud je pošta ověřena z pocházejícího serveru, pokusí se ji poslat znovu a po uplynutí dostatečné doby bude e-mail přijat.
Jak to funguje
Použití greylistingu na serveru záměrně kazí poštovní službu během krátké doby od neznámých nebo podezřelých zdrojů. Typicky zaznamenává tři údaje pro každou příchozí poštu, známé jako "triplet":
- IP adresu připojeného hostitele,
- obálku adresy odesílatele a
- obálku adresy příjemce(ů), nebo jen první z nich.
Tato data jsou zapsána na poštovním serveru v interní databázi spolu s časovou známkou jejich prvního výskytu. E-mailová zpráva bude zamítnuta s dočasnou chybou, dokud nakonfigurovaná lhůta neuplyne, obvykle je to několik minut nebo malý počet hodin. Přechodné chyby jsou definovány v Simple Mail Transfer Protocol (SMTP) jako 4xx kódy odpovědí: Od plně schopných SMTP implementací se očekává, že udrží fronty pro opakování přenosů zpráv v takových případech. Pokud se odesilatel ukázal být schopný správně a opakovaně doručovat, bude na bílé listině na delší dobu, aby budoucí pokusy o doručení nebyly přerušené. Například greylister může vyžadovat pokus o úspěšné doručení oproti registrovanému tripletu, který existuje ne-méně jak 25 minut po registraci a ne-více než 4 hodiny po ní. Opakované pokusy o doručení před 25. minutovou periodou budou ignorovány se stejným 4xx kódem odpovědi. Po 4 hodinách triplet vyprší, takže pokusy o doručení se zaregistrovávají znovu. Když greylister vidí pokus v rozmezí okna 25 minut - 4 hodin, bude připojení hostitele přidáno na bílou listinu po dobu 36 dnů.
Dočasné odmítnutí může nastat v různých fázích dialogu SMTP, umožňující uskutečnit ukládání více či méně dat o příchozí zprávě. Kompromisem je více práce a šířka pásma pro přesnější přiřazování pokusů z původní zprávy. Odmítnutí zprávy poté, co jeho obsah byl obdržen, umožňuje serveru ukládat výběr záhlaví a/nebo hash těla zprávy.
Kromě odesílatelů na bílé listině může greylister stanovit výjimky. Greylisting může být obecně přepsán plně ověřeným spojením TLS s odpovídajícím certifikátem. Vzhledem k tomu, že velcí odesílatelé často mají k dispozici stroje, které můžou odeslat (a opakovaně odeslat) e-mail a IP adresy, které mají nejvíce-významných 24 bitů (/24) stejné, jsou klasifikovány jako ekvivalent nebo v některých případech jsou SPF záznamy použity k určení odesílatelské skupiny. Podobně některé e-mailové systémy používají unikátní před-zprávu zpáteční-trasy, například variable envelope return path (VERP) pro poštovní seznamy, Sender Rewriting Scheme pro předání e-mailem, Bounce Addressa Tag Validation pro ochranu zpětného rozptylu, atd. Pokud je potřebná přesná shoda adresy odesílatele, každý e-mail z těchto systémů bude mít zpoždění. Některé Greylisting systémy se snaží vyhnout zpoždění tím, že odstraní variabilní části z VERP pouze pomocí domény odesílatele a začátku lokální části adresy odesílatele.
Proč to funguje
Greylisting je efektivní, protože mnoho e-mailových nástrojů používaných spammery neřadí e-mailové zprávy do fronty a nepokouší se opětovné doručování pošty, jak je to běžné pro standardní Mail Transport Agent. Kromě absence odesílacích front, řádné odeslání e-mailů znamená zvýšené náklady, přičemž spamming obvykle pracuje s velmi nízkou marží. Nástup greylistingu přiměl spammery používat jejich stávající doručovací nástroje k opakovanému odeslání stejných e-mailu, čímž se vyhnuli investici do řízení fronty e-mailů. Ale i tento přístup po nich vyžaduje dodatečné náklady na opětovné posílání e-mailů. Spammeři používají uvedenou techniku od roku 2011.
Odložení odeslání je rovněž předáno real-time Blackhole Lists a podobným časovými seznamům, aby rozeznaly a označily zdroj spamu. Proto jsou následné pokusy o zaslání pravděpodobněji rozpoznány jako spam s využitím jiných mechanismů, než tomu bylo před odkládáním greylistingem.
Výhody
Hlavní výhodou z pohledu jednotlivých uživatelů je to, že greylisting nevyžaduje žádnou další konfiguraci z jejich strany. Pokud server využívá greylisting, je správně nakonfigurován, konečný uživatel pouze zaznamená zpoždění na první zprávě od daného odesílatele, tak dlouho, jak trvá identifikace poštovního serveru odesilatele podle dřívějších zpráv, že tento server patří do stejné skupiny na bílé listině. Pokud je pošta od stejného odesílatele opakovaně greylistována, může být dobré kontaktovat na mail správce systému s podrobnými hlavičkami zpožděné pošty.
Z pohledu e-mailového správce jsou přínosy dvojí. Greylisting trvá minimální dobu nakonfigurovat a rozběhnout s občasnými úpravami všech místních Whitelistů. Druhou výhodou je, že odmítnutý e-mail s dočasnou chybou 451 (aktuální chybový kód, je závislý na implementaci) je velmi levný na systémové zdroje. Většina z filtrovacích nástrojů na spamy jsou velmi nákladné na uživatelské CPU a paměť. Mnohem méně systémových zdrojů je použito, když se spam zastaví před tím, než je prověří filtrovací procesy. Tento postup umožňuje více vrstev filtrování nevyžádané pošty nebo vyšší propustnost, protože greylisting lze snadno konfigurovat jako první linii obrany s heuristickým filtrem jako je SpamAssassin, přes který se uskutečňuje zpracování zpráv.
Greylisting je zvláště účinný v mnoha případech na třídění nesprávně nakonfigurovanými MTA, a proto získává na popularitě jako velmi efektivní proti spamový nástroj. Je pravděpodobné, že tyto MTA, které nesprávně řeší zpracování greylistingu, budou méně početná než rozšíření Greylistingů.
Některé Greylisting balíčky podporují SQL backend, který umožňuje být nasazen se stejnými Greylisting údaji o všech nadstavbách, pro distribuované multi-servery.
Nevýhody
Opožděné doručení a jejich následky
Největší nevýhodou Greylistingu je ta, že pro neznámé servery ničí téměř okamžitou povahu e-mailu, který uživatelé očekávají. Zprávy z neznámých serverů jsou obvykle zpožděny o asi 15 minut a mohou být odloženy až na několik dnů. Zákazník, Greylisting ISP, nemůže vždy spoléhat na získání každého e-mailu v předem stanovenou dobu. Tato nevýhoda je zmírněna tím, že v blízkosti okamžitého doručení pošty je obnovena, jakmile server byl uznán a je obecně udržována automaticky tak dlouho, jak uživatelé pokračují ve výměně zpráv. Nicméně, tato nevýhoda je obzvláště viditelná, když uživatel Greylistingového poštovního serveru se pokouší obnovit své pověření na web, který používá e-mailové potvrzení o obnovení hesla. V extrémních případech zpoždění dodávky uložené greylisterem může překročit uplynutí doby tokenu pro obnovení hesla v doručeném e-mailu. V těchto případech může být požadován manuální zásah na bílou listinu poštovního serveru webových stránek tak, že email obsahující resetovací token lze použít před skončením její platnosti.
Sendmail, jeden z (ne-li ze všech) nejplodnějších internetových mailově transportních agentů, jeho výchozí interval opakování je 15 minut. Obecně je toto maximální doba zpoždění, které e-mail bude mít. Zkušení administrátoři systémů pro e-mailové systémy by měli vyladit své nastavení poštovního systému na rozumné hodnoty, aby největší zpoždění nedosahovalo několika hodin nebo více od Greylisting systémů vznikajících při komunikaci s nedostatečně nastaveným zasílajícím systémem.
Původní specifikace pro e-mail uvádí, že tu není garantován doručovací mechanismus a ani mechanismus pro okamžité doručení. To znamená, že greylisting je naprosto legitimní proces a neporušuje žádné protokoly nebo pravidla. Vysvětlovat to pro uživatele, kteří si zvykli na okamžité doručování e-mailů, nebude patrně přesvědčivé, že poštovní server, který používá greylisting se chová správně.
Moderní Greylisting aplikace (jako je Postgrey) automaticky whitelistují odesílatele, kteří se ukáží být samy schopny se zotavit z dočasných chyb. Všimněte si, že je to bez ohledu na údajné "míře spamovatelnosti" o odesílateli.
Když je poštovní server greylistován, trvání času mezi počátečním prodlením a přeposláním je variabilní. Některé poštovní servery používají výchozí čtyři hodiny, i když většina bude opakovat dříve. Většina open-source MTA mají pravidla nastavená na doručení kolem patnácti minut (Sendmail výchozí je 0, 15, ..., Exim Výchozí hodnota je 0, 15, ..., Postfix Výchozí hodnota je 0, 16,6, ..., Qmail výchozí hodnota je 0, 6:40, 26:40, ..., Courier výchozí hodnota je 0, 5, 10, 15, 30, 35, 40, 70, 75, 80, ... Microsoft Exchange výchozí hodnota je 0, 1, 2, 22, 42, 62 ..., e-mailové služby Momentum výchozí hodnoty jsou 0, 20, 60, 100, 180, ...). Vskutku, SMTP říká, že opakovací interval by měl být alespoň 30 minut, přičemž čas k zahození by měl být alespoň 4-5 dny.
Odkazy
Reference
V tomto článku byl použit překlad textu z článku Greylisting na anglické Wikipedii.
Externí odkazy
- Greylisting.org: Repository of greylist info
- A greylisting whitepaper by Evan Harris
- A greylisting implementation for netqmail
- Microsoft Exchange Greylisting Problems - Newsgroup Article
- RFC 6647 of the Internet Engineering Task Force, June 2012: Standardizes the current state of the art