Означает ли SMTP серый список а) остановить много спама и б) остановить много законной почты?

Я только что установил SMTP-сервер в относительно мало используемом домене с использованием Postfix и включил серые списки с помощью SQLGrey . Пока, похоже, все работает нормально, и, несмотря на небольшое раздражение задержек при отправке электронных писем от новых отправителей, из журналов видно, что это сдерживает количество спам-сообщений.

По вашему опыту, грейлистинг эффективно останавливает много спама? Является ли это полезным дополнением, например, SpamAssassin или добавляет его излишне / ненужно?

Если бы мне пришлось развернуть это для доменов с более интенсивным использованием (возможно, с более требовательными пользователями), ожидали бы вы значительную часть плохо настроенных почтовых серверов, которые в конечном итоге отскочили или потеряли сообщения?

По вашему опыту, грейлистинг эффективно останавливает много спама?

Это очень эффективно. Я использовал его более 3 лет, и это оказало определенное влияние на наш процесс фильтрации.

Является ли это полезным дополнением, например, SpamAssassin или добавляет его излишне / ненужно?

Это фактически уменьшит вашу нагрузку на сканирование. Я рекомендую добавить это.

Если бы мне пришлось развернуть это для доменов с более интенсивным использованием (возможно, с более требовательными пользователями), ожидали бы вы значительную часть плохо настроенных почтовых серверов, которые в конечном итоге отскочили или потеряли сообщения?

Я видел, как это происходило, хотя почтовые серверы были неправильно настроены (почтмейстер решил немедленно отказаться от доставки, если произошла мягкая ошибка, а не повторять отправку). Это сводится к тому, как отправитель обрабатывает сообщение 4xx против 5xx. Если они относятся к ним одинаково, у вас будет несколько проблем. Если они обрабатывают их правильно , где 4xx - программный сбой, и отправитель повторяет попытку, проблем не будет. Даже если они неправильно настроены, простое решение состоит в том, чтобы добавить домен отправителя в свой серый список как «уже увиденный» и дать ему абсурдную оценку, чтобы он не упал с базы данных.

По моему опыту, грейлистинг не дает достаточных преимуществ, чтобы оправдать недостатки. Несмотря на то, что на моем сервере был настроен серый список, это было достаточно раздражающим, чтобы задерживать каждую (новую) входящую электронную почту. Я также точно знаю, что некоторые входящие письма терялись.

Спамеры были достаточно настойчивы (и я думаю, что даже тогда они начинали автоматически повторять попытки), что их спам все равно прошел. Я выключил грейлистинг много лет назад и не оглядывался назад.

Greylisting эффективно остановит большое количество спама, прежде чем он попадет в ваш контент-фильтр.

Это действительно полезная зависимость, потому что она значительно снизит вашу нагрузку на сканирование, уменьшит ложные негативы (часть нежелательной почты, которая не будет обнаружена вашим фильтром содержимого, будет заранее заблокирована серыми списками) и не может, по определению, ввести любой ложный положительный результат (законная почта блокируется).

Почта, которую вы теряете, происходит из-за несоответствия отправителей smtp - да, есть некоторые «большие», которые все еще не играют хорошо, короткий белый список будет заботиться о них, пока они не исправят свои системы. В конце концов, наличие большого количества сайтов с серыми списками в Интернете будет иметь приятный побочный эффект, заставляя больше людей использовать правильно настроенные почтовые серверы.

При хорошей настройке серого списка (хорошая реализация + хорошая конфигурация / операции) очень мало писем будет задерживаться, и в большинстве случаев задержка будет составлять несколько минут. Кроме того, хорошая настройка для серых списков - это в основном система «развернуть и забыть», снижающая поток спама, нагрузку на систему и не увеличивающая нагрузку (системный администратор).

Перед тем, как включить серые списки в существующих доменах, я настоятельно рекомендую развернуть их в «режиме обучения», где он будет следить за потоком почты, не задерживая ничего. Это даст ему время на изучение тройняшек и хорошего белого списка хороших отправителей smtp.

Наличие большого количества писем, заблокированных до того, как у сканера контента будет много хороших побочных эффектов. Мне особенно нравятся эти:

1. кроме коротких и редко меняющихся ручных белых списков, система серых списков не требует каких-либо общих знаний между серверами, что упрощает развертывание нескольких MX в географически распределенных местоположениях / центрах данных
2. уменьшение нагрузки на сканирование означает, что вы можете использовать меньше оборудования для сканирования контента
3. меньше серверов для сканирования контента означает, что вы можете легче централизовать их, управлять ими, отлаживать их (лучшее соотношение сигнал / шум в журналах;)
4. меньшая нагрузка на ваши системы для отклонения «явного» спама и большая нагрузка на спамерскую систему для повторной доставки означают лучшее соотношение нагрузки на приемник / нагрузку спаммера, что делает отправку спама более «дорогим», и это хорошо в долгосрочной перспективе срок

В общем, грейлистинг сводится к:

1. принуждая отправителей соответствовать стандартам, это облегчит правильную работу всей почтовой системы и облегчит управление (-> более легкое отслеживание спамеров как побочный эффект)
2. увеличивая (немного) стоимость отправки электронной почты, оказывая небольшое влияние на законных отправителей и больше на спамеров (-> увеличение затрат на отправку спама всегда хорошо)

РЕДАКТИРОВАТЬ: хотя есть (небольшое, но это ИМХО) влияние законных сроков доставки почты, его можно было бы уменьшить, используя другие средства для обхода серых списков , такие как tarpitting и SPF . Первый интересен, но я бы сделал несколько реальных испытаний, прежде чем судить о его эффективности / недостатках, последний не всегда доступен.

Да, серые списки могут остановить разумное количество спама, очень недорого. Даже если это не останавливает спам, добавленная задержка дает дополнительное время для сообщения или отправителя быть включенными в списки DNSBL или на основе хеша.

Вы должны убедиться, что вы используете хорошую реализацию (лично я не знаком с SQLGrey). В частности, вы, как правило, можете найти способы доверять триплетам, не увидев точного триплета ранее (например, если вы видели достаточно хороших триплетов с IP-адреса, то, вероятно, нет смысла грейлистить любые другие триплеты с этого IP-адреса). По прошествии небольшого количества времени очень немногие законные сообщения заносятся в серый список.

Одна из возможных проблем с серыми списками заключается в том, что пользователи не будут получать письма сразу. Это очень неприятно для писем со сбросом пароля. Эти письма обычно попадают в серый список, потому что отправитель / получатель / ip будет новым.

Радж

Чтобы добавить к другим ответам:

Одна вещь , которую нужно учитывать при развертывании серого списка является то , что он будет увеличивать задержки для (определенных) законных сообщений. Сначала вы должны выяснить, является ли это проблемой для ваших пользователей.

Например, если в вашей организации в основном есть внутренние письма и письма с несколькими давними деловыми партнерами, влияние будет незначительным.

OTOH, если вы часто обмениваетесь почтой с новыми клиентами, это может быть болезненным. В частности, одной из проблем может быть проблема: если вы разговариваете с кем-то по телефону и хотите обмениваться документами, относящимися к обсуждению, по электронной почте (что я регулярно делаю при телефонных звонках в службу поддержки), даже несколько минут могут быть неприемлемо.

Поэтому, как всегда, учитывайте конкретные потребности пользователей.

Мне очень повезло с грейлистингом. Лично я бы никогда не использовал его как свою единственную меру защиты от спама, но когда он включен как часть многоуровневой системы защиты от спама (включая SpamAssassing, amavisd, clamav, RBLs, SPF / DKIM и т. Д.), Он обеспечивает много польза.

Одно важное замечание: есть несколько интернет-провайдеров (основных), которые изящно не обрабатывают адрес в сером списке (например, списки рассылки Yahoo были хорошо известным примером). Я бы посоветовал взглянуть на некоторые из белых списков, которые люди собрали, чтобы убедиться, что вы не заблокируете настоящую электронную почту.

По моему опыту, подавляющее большинство сообщений электронной почты, которые вы получаете от человека к человеку (от реального человека / пользователя), проходит через один из основных почтовых серверов (postfix, qmail, exchange, sendmail), каждый из которых обрабатывает серые списки. должным образом. Иногда вы можете встретить какое-нибудь программное обеспечение для рассылки или автоматизированную программу электронной почты, которое не обрабатывает это правильно, но мой опыт подсказывает, что это очень редко.