Używam greylistingu na moich serwerach od wielu lat, ale nie wiem, jak skuteczna jest obecnie.
Czy nadal jest dobry do walki ze spamem w 2012 roku?
A może typowy spamer MTA jest w stanie ponownie wysyłać e-maile z szarej listy?
Używam greylistingu na moich serwerach od wielu lat, ale nie wiem, jak skuteczna jest obecnie.
Czy nadal jest dobry do walki ze spamem w 2012 roku?
A może typowy spamer MTA jest w stanie ponownie wysyłać e-maile z szarej listy?
Odpowiedzi:
Aktualizacja z 2018 roku:
Zawsze byłem wielkim fanem greylistingu. Z tych powodów:
Niestety, w moich statystykach widzę, że w tym roku szara lista staje się coraz mniej skuteczna. Liczba opóźnionych wiadomości naprawdę szybko zbliża się do liczby wiadomości z szarej listy, co oznacza, że ilość zablokowanego spamu zmniejsza się.
W ostatnim roku (365 dni) 55% wiadomości z szarej listy trafiło ostatecznie do szarej listy, tj. 45% zostało zablokowanych.
rok statystyki mailgraph
Zauważ, że ta tabela zawiera ramy czasowe, w których wiadomości z szarej listy nie zostały zliczone z powodu błędu konfiguracji mailgraph, tylko te opóźnione. Oznacza to, że te obliczenia nieco przeceniają opóźnione wiadomości, w rzeczywistości nieco więcej wiadomości zostało zablokowanych.
W ostatnim miesiącu 64% zostało opóźnionych, a tylko 36% zostało zablokowanych.
statystyki mailgraph miesiąc
W ostatnim tygodniu 75% opóźniło się, a tylko 25% zostało zablokowane.
tydzień statystyki mailgraph
Co więcej, patrząc na całkowitą liczbę zablokowanych wiadomości: w tym miesiącu szara lista zablokowała 4 411 wiadomości, ale Amavisd (spamassasin) zablokował 22 763 wiadomości. Oznacza to, że tylko 16% spamu jest blokowane przez szarą listę, a cała reszta przez amavisd.
Co więcej, coraz więcej dostawców usług przesyłania w chmurze wysyła z kilkuset adresów IP. Próbują każdej próby transmisji z innego adresu IP. Greylisting może więc blokować te maile nawet przez kilka dni. Dlatego musisz dodać do białej listy wszystkich „dobrych” dostawców poczty. Wprowadza to nowy wysiłek konserwacyjny.
Zawsze byłem wielkim fanem greylistingu, ale niestety widzę, że staje się on coraz mniej skuteczny i myślę, że wkrótce go wyłączę, ponieważ zaczyna niepotrzebnie opóźniać tylko 14% moich e-maili bez blokowania dużej ilości spamu .
Statystyki wprowadzające w błąd
Ilość zablokowanych maili w moich (i twoich) statystykach również może być w dużej mierze myląca. Weźmy jeden e-mail, który pochodzi od dużego dostawcy poczty w chmurze (takiego jak Microsoft * .outbound.protection.outlook.com), który nie jest jeszcze na białej liście. Pierwsza próba kończy się niepowodzeniem. Druga i trzecia próba transmisji pochodzą z dwóch innych serwerów (IP), więc znów się nie udaje, ponieważ triplet nie pasuje. Czwarta próba pochodzi od pierwszego serwera i kończy się powodzeniem. Będzie to liczone jako jedna opóźniona transmisja i cztery wiadomości z szarej listy. Moje powyższe obliczenia wskazują, że 1/4 = 25% wiadomości z szarej listy było opóźnione, a 3/4 = 75% zostało zablokowane. Ale w rzeczywistości ani jedna wiadomość nie została zablokowana. Teraz umieszczamy na białej liście serwery tych dostawców poczty, aby nie byli już szarej listy. Stanie się to, że liczba wiadomości z szarej listy spadnie bardziej niż liczba wiadomości opóźnionych. Oznacza to, że liczba blokowanych wiadomości, które obliczamy, spadnie. Ale nie jest prawdą, że mniej wiadomości zostało zablokowanych.
W rzeczywistości to, co robiłem od lutego 2017 r., Dodaje coraz więcej dostawców usług chmurowych do białej listy, aby zwalczyć problem długich opóźnień spowodowanych szarą listą. To może wyjaśniać (częściowo?), Dlaczego liczba zablokowanych maili, które obliczam, gwałtownie spada. Może więc przez cały czas myślałem, że szara lista blokuje dużo spamu, ale ilość zablokowanego spamu była o wiele mniejsza przez cały czas, po prostu została obliczona niepoprawnie. Zachowaj ostrożność przy interpretacji statystyk.
Ostatnio spojrzałem na to ilościowo w lipcu tego roku (2012). W lipcu mój serwer poczty otrzymał około 46 000 prób dostarczenia poczty; spośród nich około 1750 osób zwróciło i zostało dopuszczonych przez szarą listę (i przeszło prawidłową domenę nadawcy, SPF i niektóre inne testy niezwiązane z treścią). Spośród nich około 1500 zostało przefiltrowanych przez moje filtrowanie oparte na treści.
Zakładając, że te 44 250 wiadomości e-mail były spamem (ponieważ nie mogły przejść do szarej listy, myślę, że to uczciwe założenie), gdyby nie szara lista, moje filtrowanie oparte na treści musiałoby poradzić sobie z 46 000 e-mailami zamiast 1750.
25-krotny wzrost obciążenia mojego filtrowania opartego na zawartości wymagałby ode mnie znacznie mocniejszych procesorów i większej ilości pamięci. To z kolei zwiększyłoby moje miesięczne koszty hostingu z powodu dodatkowego zużycia energii (i prawdopodobnie wielkości serwera).
Krótko mówiąc, ostatni raz, kiedy liczyłem, tak, greylisting nadal ma bardzo, bardzo dobry sens jako część kompletnego systemu filtrowania spamu . Aktywowałem go dla klientów w ciągu ostatnich kilku tygodni i wszyscy są bardzo zadowoleni ze zmniejszenia obciążenia ich systemów filtrowania opartych na zawartości.
Edycja : Zauważam, że nie odpowiedziałem na pytanie, czy z czasem staje się ono mniej skuteczne. Kiedy go włączyłem, pod koniec 2006 roku, szacowałem wtedy, że odfiltrowuje około 95% spamu. 1750 jako odsetek 46 000 to około 4%, więc moje dane sugerują, że nie będzie mniej skuteczny w tym okresie.
Spamboty zwykle nadal nie ustawiają się w kolejce wiadomości, ale niektóre z nich wysyłają spam dwukrotnie do każdego adresata z kilkuminutowym opóźnieniem, aby pokonać szarą listę. w dzisiejszych czasach spam od spamerów nie jest już prawdziwym problemem, spam z zainfekowanych kont Yahoo itp. jest znacznie trudniejszy do złapania.
Z tego punktu widzenia szare listy nie są tak skuteczne, jak kiedyś. W połączeniu z innymi technikami antyspamowymi nadal może to pomóc, na przykład jeśli Twoja domena często znajduje się w „pierwszej partii” kampanii spamowych, szare listy mogą opóźnić wiadomość na tyle długo, aby czarne listy domen / adresów IP mogły ją dogonić, więc jeśli spam prześlizgnąłby się przez filtry przy pierwszej próbie połączenia, być może zostanie wykryty przy drugiej próbie.
Jako problem styczny nie lubię być w stanie wdrożyć taką technikę, jak greylists, bez możliwości pomiaru jej skuteczności. Na Debianie, z postfiksem jako MTA i postgrey jako narzędziem polityki greylistingu, możesz po prostu apt-get install mailgraph
uzyskać prosty wykres poczty akceptowanej i odrzuconej. Mailgraph jest nieco starą szkołą i całkowicie samodzielny, ale działa, a jego dane lub techniki można łatwo zintegrować z bardziej złożonym nowoczesnym systemem monitorowania.
Uzyskaj filtr poczty oparty na reputacji. Greylisting jest nieco old-school i nie jest kompleksowym rozwiązaniem. Istnieją obejścia (z punktu widzenia spamera) i nieprzewidywalne czasy dostarczania poczty dla użytkowników ...
Przekazuj filtrowanie do usługi w chmurze lub kup urządzenie, które ma dostęp do takiej listy i ma inne metody sprawdzania poprawności spamu. Moje zalecenie to zazwyczaj Barracuda dla ich urządzenia lub rozwiązania do filtrowania w chmurze . Obie opcje mają ekonomię skali i dojrzałą heurystykę, które zapewniają czystsze ogólne rozwiązanie.
Patrząc na jeden z raportów Barracuda Spam Filter mojego klienta z września 2012 r., Spośród 98 457 wiadomości, 1623 zostało odciętych, zanim nawet trafiło na serwer pocztowy z powodu złych adresatów ... 34 488 zostało zablokowanych jako spam . Przeszło tylko 96 wątpliwych wiadomości. Oceniane jako SPAM to połączenie reputacji, wyniku, zamiaru, trzech RBL, filtrowania bayesowskiego i niestandardowych zestawów reguł. Wszystko w jednym urządzeniu ... Wszystko przetwarzane przed trafieniem na względnie mały serwer pocztowy.
Zobacz także: Walka ze spamem - Co mogę zrobić jako: Administrator poczty e-mail, właściciel domeny lub użytkownik?