Hetzner - DokuWiki

Mailserver Greylisting

Inhaltsverzeichnis

Greylisting

Greylisting wird gerne als "neueste Waffe" gegen Spammer angepriesen. Und die Wirksamkeit ist derzeit auch wirklich nicht schlecht, auch wenn die Spammer sich früher oder später darauf einstellen werden.

Daher bietet sich die Kombination zwischen Greylisting und öffentlichen Blacklists an: Greylisting für die schnell wechselnden Absender, Blacklisting für die dauerhaften Absender.

Funktionsweise

Mit Greylisting wird ein Grundprinzip vieler Spammer - aber auch vieler Viren - durchbrochen: In möglichst kurzer Zeit möglichst viele Massenmails versenden.

Greylisting bedient sich dem Umstand, dass E-Mails bei Übertragungsfehlern nicht sofort als "unzustellbar" zurückgeliefert werden, sondern der erfolgreiche Transfer grundsätzlich mehrfach versucht wird.

Viele Versender von Massenmails probieren die Zustellung dagegen nur ein einziges Mal. Wird nun der erste Übertragungsversuch künstlich durch einen temporären 400er-Fehler geblockt, dann geben diese aus Zeitgründen sofort auf. Reguläre Mails von seriösen Absendern, auch Newsletter und ähnliche, werden über einen nachfolgenden Transferversuch trotzdem verlässlich zugestellt.

Das Verfahren bietet viele Vorteile:

  • weniger Spam, der von nachfolgenden Filtern verarbeitet werden muss
  • blockt ausschließlich Werbemails, Viren, Würmer und Trojaner
  • keine "false positives" durch den Greylisting-Filter
  • normale Mails werden nicht abgewehrt und gehen nicht verloren

Technisch werden vom Greylisting-Filter drei Parameter in einer Datenbank gespeichert:

  • Absenderadresse
  • Empfängeradresse oder Empfängerdomain
  • IP-Adresse des sendenden Mailservers

Zusätzlich werden noch Informationen über die Gültigkeitsdauer jedes Eintrags in der Datenbank hinterlegt, denn bei unbegrenzter Gültigkeit jedes Eintrags wäre die Datenbank sehr schnell überfüllt.

Es empfehlen sich daher folgende Einschränkungen:

  • Einträge sollten grundsätzlich nur beispielsweise 35 Tage gültig sein, sie müssen sich aber bei jedem erneuten "Treffer" wieder verlängern. So wird sichergestellt, dass veraltete Einträge aus der Datenbank bereinigt werden, regelmäßige Kontakte aber dauerhaft in der Datenbank bestehen bleiben.
  • wird eine Zustellung nicht innerhalb von 12 Stunden erneut versucht, sollte der Eintrag ebenfalls wieder aus der Datenbank entfernt werden.
  • der erneute Zustellversuch sollte erst nach frühestens 3-5 Minuten zugelassen werden, damit ein "Dauerfeuer" von Spams nicht die Greylisting-Barriere überwinden kann.

Probleme

Eine kleine Schattenseite soll nicht verschwiegen werden: Bei der ersten E-Mail von einer unbekannten Adresse entsteht durch das Greylisting eine Zustellverzögerung von typischerweise 15 Minuten. Spätere Mails von einmal als "seriös" erkannten Absenderadressen werden aber nicht mehr erneut geprüft, so dass beim regelmäßigen E-Mailverkehr keine Verzögerungen oder andere negative Auswirkungen auftreten.

Mit nicht RFC-konformen Mailserver könnte es ebenfalls Probleme geben: Womöglich reagieren diese Server bei temporären Fehlern während der Übertragung (wie sie Greylisting provoziert) mit dem Abbruch des Transfers und der sofortigen Rücksendung der Mail als "unzustellbar" an den Absender. In solchen Fällen empfiehlt es sich, eine Whitelist für diese Problemserver zu führen - auch wenn hier eigentlich der Betreiber des sendenden Mailservers seine Fehlkonfiguration beheben sollte.

Bei abgehenden Mails darf der Greylisting-Filter natürlich nicht greifen: Das sendende Mailprogramm am Arbeitsplatz würde die eigenen Benutzer mit Fehlermeldungen nerven. Schlaue Greylisting-Filter tragen die Absender-Empfänger-Kombination gleich als "berechtigt" in die Filterdatenbank ein, damit Antworten auf eigene Mails sofort verzögerungsfrei zugestellt werden. Dass dabei die IP des rücksendenden Mailservers noch nicht bekannt ist, muss vom Filter aber entsprechend berücksichtigt werden.

Praxiserfahrungen

Manche Spammer beschießen den Mailserver oft im 3-Sekunden-Takt mit Massenmails, bis sie endlich durchgelassen werden. Hier empfiehlt sich eine Art automatische Blacklist, die solche Versender z.B. über die Firewall für einige Zeit komplett blockt. Ein Ablehnen dieser Absender mit einem 500er-Fehler ist nicht empfehlenswert, da Dienste wie Mailinglisten etc. zum Teil mit ziemlicher Aggressivität versuchen ihre Warteschlangen (z.B. nach einer Downtime des eigenen Mailservers) zu entleeren.

Zudem sollte man auch einen Ausfall des Greylisting-Filters bzw. der Datenbank berücksichtigen: Kann kein Kontakt zur Datenbank hergestellt werden und der Greylisting-Filter lehnt daher --> alle <-- eingehenden Mails ab, blockiert man sich dadurch den kompletten Datentransfer.

Whitelist

Hier der Versuch eine Liste von Servern/IP-Bereichen zu erstellen, die bekanntermassen Probleme in Verbindung mit Greylisting machen. Jeder ist Aufgerufen die Liste zu erweitern. Bitte an die vorgegebene Form halten!

  • IP Adresse oder Bereich angeben
  • Namen des Dienstes oder Servers
  • Grund für das Whitelisting

Diese Liste soll als Richtline gelten und für jeden frei Einsetzbar sein, daher ist darauf zu achten dass keine, für die breite Masse, irrellevanten Einträge darin auftauchen.

  • 192.43.244 # openbsd mailinglist (unique sender per attempt)
  • 66.249.92 # Google Mail Server Pool (bad error handling)
  • 12.5.136.141 # Southwest Airlines (unique sender, no retry)
  • 12.5.136.142 # Southwest Airlines (unique sender, noretry)
  • 12.5.136.143 # Southwest Airlines (unique sender, no retry)
  • 12.5.136.144 # Southwest Airlines (unique sender, no retry)
  • 12.107.209.244 # kernel.org mailing lists (high traffic, unique sender per mail)
  • 63.169.44.143 # Southwest Airlines (unique sender, no retry)
  • 63.169.44.144 # Southwest Airlines (unique sender, no retry)
  • 64.7.153.18 # sentex.ca (common pool)
  • 64.12.137 # AOL (common pool) - http://postmaster.aol.com/servers/imo.html
  • 64.12.138 # AOL (common pool)
  • 64.124.204.39 # moveon.org (unique sender per attempt)
  • 64.125.132.254 # collab.net (unique sender per attempt)
  • 64.233.162 # zproxy.gmail.com (common server pool, bad 451 handling?)
  • 64.233.170 # rproxy.gmail.com (common server pool, bad 451 handling?)
  • 64.233.182 # nproxy.gmail.com (common server pool, bad 451 handling?)
  • 64.233.184 # wproxy.gmail.com (common server pool, bad 451 handling?)
  • 66.94.237 # Yahoo Groups servers (common pool, no retry)
  • 66.135.209 # Ebay (for time critical alerts)
  • 66.135.197 # Ebay (common pool)
  • 66.218.66 # Yahoo Groups servers (common pool, no retry)
  • 66.218.67 # Yahoo Groups servers (common pool, no retry)
  • 66.218.69 # Yahoo Groups servers (common pool, no retry)
  • 66.249.82 # gmail (common server pool, bad 451 handling)
  • 66.27.51.218 # ljbtc.com (Groupwise)
  • 66.94.237 # Yahoo Groups servers (common pool, no retry)
  • 66.135.209 # Ebay (for time critical alerts)
  • 66.135.197 # Ebay (common pool)
  • 66.218.66 # Yahoo Groups servers (common pool, no retry)
  • 66.218.67 # Yahoo Groups servers (common pool, no retry)
  • 66.218.69 # Yahoo Groups servers (common pool, no retry)
  • 66.249.82 # gmail (common server pool, bad 451 handling)
  • 72.14.204 # qproxy.gmail.com (common server pool, bad 451 handling?)
  • 152.163.225 # AOL (common pool)
  • 194.245.101.88 # Joker.com (email forwarding server)
  • 195.235.39.19 # Tid InfoMail Exchanger v2.20
  • 195.238.2 # skynet.be (wierd retry pattern, common pool)
  • 195.238.3 # skynet.be (wierd retry pattern, common pool)
  • 204.107.120.10 # Ameritrade (no retry)
  • 205.188.139.136 # AOL (common pool)
  • 205.188.139.137 # AOL (common pool)
  • 205.188.144.207 # AOL (common pool)
  • 205.188.144.208 # AOL (common pool)
  • 205.188.156.66 # AOL (common pool)
  • 205.188.157 # AOL (common pool)
  • 205.188.159.7 # AOL (common pool)
  • 205.206.231 # SecurityFocus.com (unique sender per attempt)
  • 205.211.164.50 # sentex.ca (common pool)
  • 207.115.63 # Prodigy (broken software that retries continually with no delay)
  • 207.171.168 # Amazon.com (common pool)
  • 207.171.180 # Amazon.com (common pool)
  • 207.171.187 # Amazon.com (common pool)
  • 207.171.188 # Amazon.com (common pool)
  • 207.171.190 # Amazon.com (common pool)
  • 209.104.63 # Ticketmaster (poor retry config)
  • 209.132.176.174 # sourceware.org mailing lists (high traffic, unique sender per mail)
  • 211.29.132 # optusnet.com.au (wierd retry pattern and more than 48hrs)
  • 213.136.52.31 # Mysql.com (unique sender)
  • 216.239.56 # proxy.gmail.com (common server pool, bad 451 handling?)
  • 217.158.50.178 # AXKit mailing list (unique sender per attempt)


© 2018. Hetzner Online GmbH. Alle Rechte vorbehalten.