Означает ли SMTP серый список а) остановить много спама и б) остановить много законной почты?

10

Я только что установил SMTP-сервер в относительно мало используемом домене с использованием Postfix и включил серые списки с помощью SQLGrey . Пока, похоже, все работает нормально, и, несмотря на небольшое раздражение задержек при отправке электронных писем от новых отправителей, из журналов видно, что это сдерживает количество спам-сообщений.

По вашему опыту, грейлистинг эффективно останавливает много спама? Является ли это полезным дополнением, например, SpamAssassin или добавляет его излишне / ненужно?

Если бы мне пришлось развернуть это для доменов с более интенсивным использованием (возможно, с более требовательными пользователями), ожидали бы вы значительную часть плохо настроенных почтовых серверов, которые в конечном итоге отскочили или потеряли сообщения?

метелка
источник
1
Для получения обновленной версии этого вопроса см .: serverfault.com/questions/436327/…
james.garriss

Ответы:

5

По вашему опыту, грейлистинг эффективно останавливает много спама?

Это очень эффективно. Я использовал его более 3 лет, и это оказало определенное влияние на наш процесс фильтрации.

Является ли это полезным дополнением, например, SpamAssassin или добавляет его излишне / ненужно?

Это фактически уменьшит вашу нагрузку на сканирование. Я рекомендую добавить это.

Если бы мне пришлось развернуть это для доменов с более интенсивным использованием (возможно, с более требовательными пользователями), ожидали бы вы значительную часть плохо настроенных почтовых серверов, которые в конечном итоге отскочили или потеряли сообщения?

Я видел, как это происходило, хотя почтовые серверы были неправильно настроены (почтмейстер решил немедленно отказаться от доставки, если произошла мягкая ошибка, а не повторять отправку). Это сводится к тому, как отправитель обрабатывает сообщение 4xx против 5xx. Если они относятся к ним одинаково, у вас будет несколько проблем. Если они обрабатывают их правильно , где 4xx - программный сбой, и отправитель повторяет попытку, проблем не будет. Даже если они неправильно настроены, простое решение состоит в том, чтобы добавить домен отправителя в свой серый список как «уже увиденный» и дать ему абсурдную оценку, чтобы он не упал с базы данных.

Эйвери Пэйн
источник
Сейчас я принимаю этот ответ, потому что мы уже давно используем серые списки, и это, кажется, очень эффективно. Я уверен, что отчасти из-за предложений здесь, у нас не было никаких реальных проблем с неудачными письмами или чрезмерными задержками.
Венчик
9

По моему опыту, грейлистинг не дает достаточных преимуществ, чтобы оправдать недостатки. Несмотря на то, что на моем сервере был настроен серый список, это было достаточно раздражающим, чтобы задерживать каждую (новую) входящую электронную почту. Я также точно знаю, что некоторые входящие письма терялись.

Спамеры были достаточно настойчивы (и я думаю, что даже тогда они начинали автоматически повторять попытки), что их спам все равно прошел. Я выключил грейлистинг много лет назад и не оглядывался назад.

Грег Хьюгилл
источник
6
Обычно серые списки не задерживают каждое новое входящее письмо. Это только задерживает шаблоны ip-sender-получателя, которые не были замечены прежде. Это далеко не все входящие письма.
Тони Мейер
2
Я понимаю, поэтому я сказал "новое" входящее письмо. Думаю, я недостаточно хорошо это объяснил, но, вероятно, любой, кто понимает, что делает грейлистинг, признает проблему. Несмотря на это, это все еще раздражало.
Грег Хьюгилл
1
Я начал использовать серый список 5 лет назад, и, как и большинство других методов борьбы со спамом, это было фантастически, когда он появился впервые. Однако я согласен с тем, что выгоды больше минимальны. Я серьезно думал о выключении.
Аарон
Я нашел серый список, реализованный в SmarterMail, чтобы блокировать больше законных писем (я полагаю, отправители сдаются после того, как им отказали), чем мне было удобно. Это особенно раздражало, когда я выполнял такие действия, как попытка сброса пароля и т. Д. Я отключаю его на всех своих доменах, которые более или менее загружены, но по-прежнему подвергаются атакам спамеров. У меня нет конкретных сведений о журналах и статистике и т. Д.
qxotk
5
Секрет эффективного серого списка состоит в том, чтобы (а) установить достаточно низкий порог, чтобы отправители-новички прошли через первые 2-3 дня, и (б) истечь из базы данных действительно старых записей. Спамеры будут замечать greylisters, и будет повторить еще раз в какой - то момент. Истечение срока их регистрации через неделю или около того заставит их снова пройти процесс, увеличив его эффективность. До этого мы поймали в ловушку 95%; после того, как я добавил срок действия, мы поймали в ловушку больше как 99.99% Настоятельно рекомендуется.
Эйвери Пейн
3

Greylisting эффективно остановит большое количество спама, прежде чем он попадет в ваш контент-фильтр.

Это действительно полезная зависимость, потому что она значительно снизит вашу нагрузку на сканирование, уменьшит ложные негативы (часть нежелательной почты, которая не будет обнаружена вашим фильтром содержимого, будет заранее заблокирована серыми списками) и не может, по определению, ввести любой ложный положительный результат (законная почта блокируется).

Почта, которую вы теряете, происходит из-за несоответствия отправителей smtp - да, есть некоторые «большие», которые все еще не играют хорошо, короткий белый список будет заботиться о них, пока они не исправят свои системы. В конце концов, наличие большого количества сайтов с серыми списками в Интернете будет иметь приятный побочный эффект, заставляя больше людей использовать правильно настроенные почтовые серверы.

При хорошей настройке серого списка (хорошая реализация + хорошая конфигурация / операции) очень мало писем будет задерживаться, и в большинстве случаев задержка будет составлять несколько минут. Кроме того, хорошая настройка для серых списков - это в основном система «развернуть и забыть», снижающая поток спама, нагрузку на систему и не увеличивающая нагрузку (системный администратор).

Перед тем, как включить серые списки в существующих доменах, я настоятельно рекомендую развернуть их в «режиме обучения», где он будет следить за потоком почты, не задерживая ничего. Это даст ему время на изучение тройняшек и хорошего белого списка хороших отправителей smtp.

Наличие большого количества писем, заблокированных до того, как у сканера контента будет много хороших побочных эффектов. Мне особенно нравятся эти:

  1. кроме коротких и редко меняющихся ручных белых списков, система серых списков не требует каких-либо общих знаний между серверами, что упрощает развертывание нескольких MX в географически распределенных местоположениях / центрах данных
  2. уменьшение нагрузки на сканирование означает, что вы можете использовать меньше оборудования для сканирования контента
  3. меньше серверов для сканирования контента означает, что вы можете легче централизовать их, управлять ими, отлаживать их (лучшее соотношение сигнал / шум в журналах;)
  4. меньшая нагрузка на ваши системы для отклонения «явного» спама и большая нагрузка на спамерскую систему для повторной доставки означают лучшее соотношение нагрузки на приемник / нагрузку спаммера, что делает отправку спама более «дорогим», и это хорошо в долгосрочной перспективе срок

В общем, грейлистинг сводится к:

  1. принуждая отправителей соответствовать стандартам, это облегчит правильную работу всей почтовой системы и облегчит управление (-> более легкое отслеживание спамеров как побочный эффект)
  2. увеличивая (немного) стоимость отправки электронной почты, оказывая небольшое влияние на законных отправителей и больше на спамеров (-> увеличение затрат на отправку спама всегда хорошо)

РЕДАКТИРОВАТЬ: хотя есть (небольшое, но это ИМХО) влияние законных сроков доставки почты, его можно было бы уменьшить, используя другие средства для обхода серых списков , такие как tarpitting и SPF . Первый интересен, но я бы сделал несколько реальных испытаний, прежде чем судить о его эффективности / недостатках, последний не всегда доступен.

Luke404
источник
1
Хороший пост, но, пожалуйста, исправьте строку «по определению он не может вводить ложные срабатывания». Это неправда, серый список может (и будет) вызывать потерю законной почты, если отправляющий сервер неправильно настроен. Хотя это не произойдет в идеальном мире, это необходимо учитывать.
слеске
Тем не менее, +1 за хороший пост, особенно "режим обучения".
слеске
@Sleske, спасибо за ваш комментарий, но я не согласен. Я не называю данные «законной почты», поступающие с «неправильно настроенного сервера отправки», - это не то, что определяется как электронная почта, а нечто подобное. ОТО, это правда, что вы должны принять это во внимание, как я объясняю в моем ответе.
Luke404
3
Что ж, я твердо верю, что потребности пользователей всегда должны быть на первом месте (в конце концов, это то, за что нам платят). Таким образом, именно пользователи определяют, является ли почта законной, и им наплевать на неправильно настроенные серверы. Если пользователи хотят получать почту, это законно, это так просто.
слеске
2

Да, серые списки могут остановить разумное количество спама, очень недорого. Даже если это не останавливает спам, добавленная задержка дает дополнительное время для сообщения или отправителя быть включенными в списки DNSBL или на основе хеша.

Вы должны убедиться, что вы используете хорошую реализацию (лично я не знаком с SQLGrey). В частности, вы, как правило, можете найти способы доверять триплетам, не увидев точного триплета ранее (например, если вы видели достаточно хороших триплетов с IP-адреса, то, вероятно, нет смысла грейлистить любые другие триплеты с этого IP-адреса). По прошествии небольшого количества времени очень немногие законные сообщения заносятся в серый список.

Тони Мейер
источник
2

Одна из возможных проблем с серыми списками заключается в том, что пользователи не будут получать письма сразу. Это очень неприятно для писем со сбросом пароля. Эти письма обычно попадают в серый список, потому что отправитель / получатель / ip будет новым.

Радж

Раджкумар С
источник
2

Чтобы добавить к другим ответам:

Одна вещь , которую нужно учитывать при развертывании серого списка является то , что он будет увеличивать задержки для (определенных) законных сообщений. Сначала вы должны выяснить, является ли это проблемой для ваших пользователей.

Например, если в вашей организации в основном есть внутренние письма и письма с несколькими давними деловыми партнерами, влияние будет незначительным.

OTOH, если вы часто обмениваетесь почтой с новыми клиентами, это может быть болезненным. В частности, одной из проблем может быть проблема: если вы разговариваете с кем-то по телефону и хотите обмениваться документами, относящимися к обсуждению, по электронной почте (что я регулярно делаю при телефонных звонках в службу поддержки), даже несколько минут могут быть неприемлемо.

Поэтому, как всегда, учитывайте конкретные потребности пользователей.

sleske
источник
1

Мне очень повезло с грейлистингом. Лично я бы никогда не использовал его как свою единственную меру защиты от спама, но когда он включен как часть многоуровневой системы защиты от спама (включая SpamAssassing, amavisd, clamav, RBLs, SPF / DKIM и т. Д.), Он обеспечивает много польза.

Одно важное замечание: есть несколько интернет-провайдеров (основных), которые изящно не обрабатывают адрес в сером списке (например, списки рассылки Yahoo были хорошо известным примером). Я бы посоветовал взглянуть на некоторые из белых списков, которые люди собрали, чтобы убедиться, что вы не заблокируете настоящую электронную почту.

По моему опыту, подавляющее большинство сообщений электронной почты, которые вы получаете от человека к человеку (от реального человека / пользователя), проходит через один из основных почтовых серверов (postfix, qmail, exchange, sendmail), каждый из которых обрабатывает серые списки. должным образом. Иногда вы можете встретить какое-нибудь программное обеспечение для рассылки или автоматизированную программу электронной почты, которое не обрабатывает это правильно, но мой опыт подсказывает, что это очень редко.

Кристофер Кашелл
источник