Apakah SMTP melakukan daftar abu a) menghentikan banyak spam dan b) menghentikan banyak email yang sah?

10

Saya baru saja menyiapkan server SMTP pada domain yang relatif sedikit digunakan menggunakan Postfix dan mengaktifkan greylisting dengan SQLGrey . Sejauh ini tampaknya berfungsi baik, dan sementara ada sedikit iritasi keterlambatan email dari pengirim baru, saya dapat melihat dari log bahwa itu menghalangi sejumlah pesan spam.

Dalam pengalaman Anda apakah melakukan greylisting secara efektif menghentikan banyak spam? Apakah ini tambahan yang berguna untuk mis. SpamAssassin atau menambahkannya di atas kemampuan berlebihan / tidak perlu?

Jika saya meluncurkan ini untuk menggunakan domain yang lebih berat (mungkin dengan lebih banyak pengguna yang menuntut) akankah Anda mengantisipasi sebagian besar server email yang tidak dikonfigurasi dengan baik yang pada akhirnya akan memantul atau kehilangan pesan?

smtp spam greylisting Mengocok
sumber
1
Untuk versi terbaru dari pertanyaan ini, lihat: serverfault.com/questions/436327/…
james.garriss

Jawaban:

5

Dalam pengalaman Anda apakah melakukan greylisting secara efektif menghentikan banyak spam?

Ini sangat efektif. Saya telah menggunakannya selama lebih dari 3 tahun dan telah memberikan dampak yang pasti pada proses penyaringan kami.

Apakah ini tambahan yang berguna untuk mis. SpamAssassin atau menambahkannya di atas kemampuan berlebihan / tidak perlu?

Ini benar-benar akan mengurangi beban kerja pemindaian Anda. Saya sarankan menambahkannya.

Jika saya meluncurkan ini untuk menggunakan domain yang lebih berat (mungkin dengan lebih banyak pengguna yang menuntut) akankah Anda mengantisipasi sebagian besar server email yang tidak dikonfigurasi dengan baik yang pada akhirnya akan memantul atau kehilangan pesan?

Saya telah melihat ini terjadi, meskipun server mail sangat tidak terkonfigurasi (kepala kantor pos telah memutuskan untuk segera menyerah pada pengiriman jika ada kesalahan lunak, daripada coba lagi mengirim). Ini bermuara pada bagaimana pengirim menangani pesan 4xx vs 5xx. Jika mereka memperlakukan mereka sama, Anda akan memiliki beberapa masalah. Jika mereka memperlakukannya dengan benar , di mana 4xx adalah soft-fail dan pengirim akan mencoba lagi, tidak akan ada masalah. Bahkan jika mereka memilikinya tidak terkonfigurasi, solusi mudahnya adalah menambahkan domain pengirim ke greylist Anda sebagai "sudah terlihat", dan memberinya skor yang tidak masuk akal untuk mencegahnya jatuh dari database.

Avery Payne
sumber
Saya menerima jawaban ini sekarang, karena kami telah menggunakan greylisting untuk beberapa waktu sekarang, dan tampaknya sangat efektif. Saya yakin sebagian turun ke saran di sini, kami belum punya masalah nyata dengan surat gagal atau keterlambatan yang berlebihan juga.
Kocok
9

Dalam pengalaman saya, greylisting tidak menawarkan manfaat yang cukup untuk membenarkan kekurangannya. Sementara saya telah memasang greylisting di server saya, itu cukup menjengkelkan untuk membuat setiap email masuk (baru) tertunda. Saya juga tahu pasti bahwa beberapa email masuk hilang.

Spammer cukup gigih (dan saya pikir bahkan saat itu mereka mulai mencoba ulang secara otomatis) bahwa spam mereka berhasil lolos. Saya beralih dari greylisting tahun lalu dan belum melihat ke belakang.

Greg Hewgill
sumber
6
Secara umum greylisting tidak menunda setiap email masuk baru. Itu hanya menunda pola ip-pengirim-penerima yang belum pernah terlihat sebelumnya. Ini jauh dari semua email yang masuk.
Tony Meyer
2
Saya mengerti, itu sebabnya saya mengatakan email masuk "baru". Saya kira saya tidak menjelaskannya dengan cukup baik, tetapi mungkin siapa pun yang mengerti apa yang dilakukan greylisting akan mengenali masalahnya. Bagaimanapun, itu masih mengganggu.
Greg Hewgill
1
Saya mulai menggunakan greylisting 5 tahun lalu dan seperti kebanyakan teknik anti-spam, sangat fantastis ketika pertama kali keluar. Namun saya setuju bahwa manfaatnya minimal lagi. Aku sudah serius memikirkan untuk mematikannya.
Aaron
Saya menemukan daftar abu-abu seperti yang diterapkan di SmarterMail untuk memblokir email yang lebih sah (saya berasumsi, pengirim menyerah setelah ditolak) daripada yang saya sukai. Itu sangat menjengkelkan ketika melakukan hal-hal seperti mencoba mengatur ulang kata sandi, dll. Saya mematikannya di semua domain saya, yang lalu lintasnya kurang lebih rendah, tetapi masih diserang oleh spammer. Saya tidak memiliki rincian spesifik log dan statistik, dll
qxotk
5
Rahasia untuk melakukan greylisting yang efektif adalah dengan (a) menetapkan ambang batas yang cukup rendah sehingga pengirim pertama kali melewati 2-3 hari pertama dan (b) mengakhiri basis data entri yang benar-benar lama. Spammer akan melihat greylisters, dan akan mencoba lagi di beberapa titik. Berakhirnya entri mereka setelah satu minggu atau lebih akan menyebabkan mereka menjalani proses lagi, meningkatkan efektivitasnya. Sebelum itu, kami menjebak 95%; setelah saya menambahkan kedaluwarsa, kami terjebak lebih seperti 99,99%. Sangat dianjurkan.
Avery Payne
3

Greylisting secara efektif akan menghentikan banyak spam bahkan sebelum mengenai filter konten Anda.

Ini adalah kecanduan yang sangat berguna karena akan sangat mengurangi beban kerja pemindaian Anda, akan mengurangi negatif palsu (beberapa spam yang tidak akan ketahuan oleh filter konten Anda akan diblokir sebelumnya oleh greylisting), dan itu tidak bisa, secara definisi, memperkenalkan setiap positif palsu (surat sah diblokir).

Surat yang Anda lepas disebabkan karena tidak mematuhi pengirim smtp - ya ada beberapa "besar" yang masih belum bagus, daftar putih pendek akan mengurusnya sampai mereka memperbaiki sistem mereka. Pada akhirnya, memiliki banyak situs dengan greylisting di internet akan memiliki efek samping yang bagus yaitu memaksa lebih banyak orang untuk menggunakan server mail yang dikonfigurasi dengan benar.

Dengan pengaturan greylist yang baik (implementasi yang baik + konfigurasi / operasi yang baik) sangat sedikit surat akan tertunda, dan sebagian besar waktu penundaan akan dalam urutan beberapa menit. Selain itu, pengaturan greylisting yang bagus sebagian besar merupakan sistem "deploy and forget", mengurangi aliran spam, memuat sistem sementara tidak menambah beban (sysadmin) Anda.

Sebelum benar-benar mengaktifkan daftar abu-abu di domain yang ada, saya sangat menyarankan untuk menyebarkannya dalam "mode pembelajaran", di mana ia akan menonton aliran surat tanpa menunda apa pun. Itu akan memberi Anda waktu untuk belajar kembar tiga dan autowhitelist pengirim smtp yang baik.

Memiliki banyak email yang diblokir sebelum pemindai konten akan memiliki sejumlah efek samping yang baik. Saya sangat suka ini:

  1. selain daftar putih manual yang pendek dan jarang berubah, sistem greylisting tidak memerlukan pengetahuan bersama antara server, menyederhanakan penyebaran beberapa MX'es di lokasi / pusat data yang didistribusikan secara geografis.
  2. mengurangi beban pemindaian berarti Anda dapat menggunakan lebih sedikit perangkat keras untuk pemindaian konten
  3. lebih sedikit server untuk pemindaian konten berarti Anda dapat lebih mudah memusatkannya, mengelolanya, men-debug-nya (rasio sinyal / noise yang lebih baik dalam log;)
  4. lebih sedikit memuat pada sistem Anda untuk menolak spam 'jelas' dan lebih banyak memuat pada sistem spammer untuk mencoba kembali pengiriman keduanya berarti rasio beban penerima / spammer penerima yang lebih baik, yang membuat pengiriman spam lebih 'mahal', dan ini adalah hal yang baik dalam jangka panjang istilah

Semua dalam semua, greylisting bermuara pada:

  1. memaksa pengirim untuk mematuhi standar, ini akan memudahkan seluruh sistem email untuk bekerja dengan benar dan lebih mudah dikelola (-> lebih mudah melacak spammer sebagai efek samping)
  2. meningkatkan (sedikit) biaya pengiriman email, berdampak kecil pada pengirim yang sah dan lebih besar pada pengirim spam (-> meningkatkan biaya pengiriman spam selalu baik)

EDIT: sementara ada dampak (kecil, tapi itu IMHO) dari waktu pengiriman surat yang sah, itu bisa dikurangi dengan menggunakan cara lain untuk memotong greylisting, seperti tarpitting dan SPF . Yang pertama menarik tetapi saya akan melakukan beberapa tes dunia nyata sebelum menilai efektivitas / kekurangannya, yang terakhir tidak selalu tersedia.

Luke404
sumber
1
Pos yang bagus, tapi tolong perbaiki baris "itu tidak bisa, menurut definisi, memperkenalkan false positive". Ini tidak benar, greylisting dapat (dan akan) menyebabkan hilangnya email yang sah jika server pengirim salah konfigurasi. Walaupun ini tidak akan terjadi di dunia yang ideal, itu perlu diperhitungkan.
sleske
Namun, +1 untuk pos yang bagus, terutama "mode pembelajaran".
sleske
@sleske, terima kasih atas komentar Anda, tetapi saya harus tidak setuju. Saya tidak menyebut data "surat sah" yang berasal dari "server pengirim yang salah konfigurasi" - bukan itu yang didefinisikan sebagai email, hanya sesuatu yang mirip dengannya. OTOH, memang benar bahwa Anda perlu memperhitungkannya seperti yang saya jelaskan dalam jawaban saya.
Luke404
3
Yah, saya sangat yakin kebutuhan pengguna harus selalu didahulukan (setelah semua, itulah yang kami dibayar). Dengan demikian, pengguna yang menentukan apakah email itu sah atau tidak, dan mereka tidak peduli dengan server yang salah konfigurasi. Jika pengguna ingin menerima email, itu sah, sesederhana itu.
sleske
2

Ya, daftar abu-abu dapat menghentikan jumlah spam yang masuk akal, sangat murah. Bahkan ketika itu tidak menghentikan spam, penundaan yang ditambahkan memberi waktu tambahan untuk pesan atau pengirim untuk terdaftar di DNSBL atau daftar berbasis hash.

Anda harus memastikan bahwa Anda menggunakan implementasi yang baik (saya pribadi tidak terbiasa dengan SQLGrey). Secara khusus, Anda secara umum dapat menemukan cara untuk mempercayai kembar tiga tanpa pernah melihat kembar tiga yang tepat sebelumnya (misalnya jika Anda telah melihat kembar tiga yang cukup baik dari IP, maka mungkin tidak ada gunanya membuat-buat kembar tiga lebih jauh dari IP itu). Setelah sejumlah kecil waktu, sangat sedikit pesan yang sah yang di-greylisted.

Tony Meyer
sumber
2

Salah satu masalah yang mungkin terjadi dengan greylisting adalah bahwa pengguna tidak akan langsung menerima email. Ini paling membuat frustasi untuk email pengaturan ulang kata sandi. Email-email ini biasanya terperangkap dalam daftar kata karena pengirim / penerima / ip akan baru.

raj

Rajkumar S
sumber
2

Untuk menambah jawaban lain:

Satu hal yang harus Anda pertimbangkan ketika menggunakan greylisting adalah bahwa hal itu akan meningkatkan penundaan untuk surat tertentu (yang pasti). Anda harus mencari tahu dulu apakah ini masalah bagi pengguna Anda.

Misalnya, jika organisasi Anda sebagian besar memiliki surat internal dan surat dengan beberapa mitra bisnis lama, dampaknya akan diabaikan.

OTOH, jika Anda sering bertukar email dengan pelanggan baru, itu mungkin menyakitkan. Satu situasi khususnya dapat menjadi masalah: Jika Anda berbicara dengan seseorang di telepon dan ingin bertukar dokumen yang relevan dengan diskusi melalui email (sesuatu yang secara rutin saya lakukan dalam panggilan telepon jenis dukungan), bahkan perjanjian beberapa menit dapat dilakukan. tidak bisa diterima.

Jadi, seperti biasa, pertimbangkan kebutuhan khusus pengguna.

sleske
sumber
1

Saya sudah sangat beruntung dengan greylisting. Secara pribadi, saya tidak akan pernah menggunakannya sebagai satu-satunya tindakan anti-spam saya, tetapi ketika dimasukkan sebagai bagian dari sistem anti-spam berlapis (termasuk SpamAssassing, amavisd, clamav, RBLs, SPF / DKIM, dll), ia menyediakan banyak manfaat.

Satu catatan penting, ada beberapa ISP di luar sana (yang utama) yang tidak menangani tujuan yang di-greyl dengan anggun (milis yahoo telah menjadi contoh yang terkenal). Saya sarankan melihat beberapa daftar putih yang telah disatukan orang untuk memastikan Anda tidak memblokir email asli.

Dalam pengalaman saya, sebagian besar email yang Anda dapatkan orang-ke-orang (dari orang / pengguna asli) mengalir melalui salah satu server email utama (postfix, qmail, exchange, sendmail), yang semuanya menangani greylisting tepat. Kadang-kadang Anda mungkin menemukan beberapa perangkat lunak milis atau program e-mail otomatis yang tidak menanganinya dengan benar, tetapi pengalaman saya menunjukkan ini sangat jarang.

Christopher Cashell
sumber