Spam und UCE - Filter: Greylisting

So funktioniert es

Das Verfahren des "GreyListings" kam etwas 2004 auf und hat noch immer Hochkonjunktur. Das Prinzip ist sehr einfach. Basierend auf der Annahme, dass sich ein Spammer nicht die Mühe eines zweiten Versuchs macht, haben mehrere Firmen und Produkte zum Anlass genommen, ihren Mailserver umkonfiguriert und erweitert.

• Die erste Verbindung einer neuen IP-Adresse wird immer mit einem temporären Fehler abgelehnt.
• Ein Spammer geht weiter
  Die meisten Spammer nutzen eigene Software zum Versand und machen sich nicht die Mühe einer Warteschlange oder eines zweiten Versuchs. Das wäre zu "aufwändig". Ergo wird die Spam-Mail einfach nicht mehr zugestellt
• Gute Server versuchen es wieder
  Ein guter Absender versucht die Mail nach einigen Minuten erneut zuzustellen. Das bedeutet zwar eine kurze Verzögerung für den ersten Kontakt aber darauf folgende Mails gehen schnell durch, bis der Mailserver die IP-Adresse der Gegenseite wieder vergisst.

Diese relativ einfach zu implementierende Verfahren funktioniert sogar sehr gut, da sich die Spammer noch nichts darauf eingestellt haben. Daher haben es sehr viele Provider auch sehr schnell eingebaut. Es gibt aussagen, dass dieses Verfahren 95 aller Spams abwehrt.

Allerdings werden natürlich auch die Spammer nach und nach merken, dass die Mails bei der ersten Verbindung nicht mehr zugestellt werden und werden dann wohl oder übel doch eine Warteschlange oder einen Retry-Mechanismus nachrüsten und damit das Greylisting umgehen. Auf der anderen Seite dauert es natürlich für "normale Firmen" mit eigenem Mailserver etwas länger, bis sie Greylisting installiert haben. Sie müssen auf ein Update ihrer Spamsoftware warten, da Sie ihre Mailserver meist nicht selbst anpassen können, wie ein Provider das tut.

Es ist noch nicht sicher, wer hier nun gewinnt. Große Provider werden sicher aktuelle Spamverhinderungslösungen sehr schnell umsetzen. Die Spammer werden nach einiger Zeit vermutlich nachziehen und der normale Firmenkunde wird irgendwo dazwischen stecken bleiben.

Probleme

Würde das Greylisting wirklich überall eingesetzt, dann wären das die Folgen:

• Jede Mail an Sie wird um einige Minuten oder gar Stunden verzögert.
  Das ist sicher das wichtigste Kriterium gegen dieses Verfahren
• Ein Spammer sendet auch gerne zweimal.
• Jede Mail bedeutet nun zwei TCP-Handshakes
• Die zu übertragende Datenmenge wird nur minimal erhöht.
• Mail bleiben länger beim Sender in der Queue. Besonders Provider dürften Probleme bekommen, wenn jede Mail prinzipiell z.B. 15 Minuten gepuffert werden muss.
• Firmen mit dynamischen IP-Adressen jedoch müssen mindestens für die Zeitdauer die gleiche IP-Adresse behalten, sonst können Sie überhaupt keine Mails mehr senden. Das ist besonders ärgerlich für Firmen, die z.B.: ISDN-Verbindung mit ShortHold nutzen.

Damit Greylisting funktioniert, muss es natürlich eine zweite Verbindung erst nach einiger Zeit zulassen und die IP-Adresse nach einiger Zeit "Ruhe" auch wieder verlernen. für einen Spammer ist es daher einfach beim Versand die Systeme zu merken, die die Mails erst abgelehnt haben und diese etwas später erneut anzusprechen. Stellt sich nur die Frage aber wann sich der Zusatzaufwand für Spammer lohnt.

Übrigens: Es ist für einen Programmierer überhaupt nicht schwer, einen zweiten Verbindungsversuch zu starten. Der Virus "SOBER" zeichnet sich gerade dadurch aus, dass er immer einen zweiten Versuch startet. Das ist wohl das beste Beispiel, dass Greylisting nur gute Mails Ausbremst aber Spammer nicht in die Schranken weist.

Auf der anderen Seite gibt es immer noch "nicht konforme" Mailserver, die mit einer temporären Blockade nicht umgehen können z.B.: GroupWise 6 (http://support.novell.com/cgi-bin/search/searchtid.cgi?/10084802.htm) und andere.

Greylisting und Windows SMTP/Exchange

Auch Exchange 2003 muss natürlich auf ein Greylisting der Gegenseite reagieren, wenn die Verbindung direkt aus dem Internet angenommen wird. Allerdings kann es sein, dass der dazu gehörige Registrierungsschlüssel nicht immer richtig gesetzt ist.

HKLM\System\CurrentControlSet\Services\SMTPSVC\Queuing\GlitchRetrySeconds:DWORD = 60

Exchange versucht dann bis zu drei mal in einem Abstand von 60 Sekunden die Mail erneut zuzustellen, ehe er die Queue auf den Status "Retry" setzt.

If Exchange 2003 tries to route a message to a heavily loaded external SMTP system such as a virus wall, it can receive a Server Busy error. In these situations, the Exchange transport goes into a state known as 'glitch retry'. In this state, Exchange 2003 waits 60 seconds before attempting to resend the message, and it repeats this process three times before resorting to other actions. If external SMTP servers are consistently busy, redUCE the glitch retry wait time to prevent mass message queuing. Table 4.21 shows the registry parameter that controls this time.
Quelle: /prodtechnol/exchange/exchange2003/proddocs/library/perfscalgd/perfsca4.htm

• 934709 On a Windows Server 2003-based SMTP gateway server, some messages may remain in the queue folder until the SMTP service is restarted
• How to Configure Glitch Retry Interval in Exchange Server 2003
  http://technet.microsoft.com/en-us/library/8b43be56-48e6-400b-8014-54c95f87d1de.aspx
• The SMTP GlitchRetrySeconds registry value has been manually set
  http://technet.microsoft.com/en-us/library/5830498c-0b78-447f-8756-0d2f53baa013.aspx
• Explaining the Mysterious SMTP Advanced Queuing Engine
  http://blogs.technet.com/b/exchange/archive/2005/04/04/403297.aspx

Greylisting für Exchange

Exchange 2000/2003 unterstützen leider nicht von sich aus ein Greylisting. All die Firmen, die Exchange nicht direkt aus dem Internet erreichbar machen, werden dies nicht vermissen und eigene Lösungen vor Exchange installieren. All die Firmen, deren Exchange Server jedoch direkt aus dem Internet erreichbar ist, würden diese Funktion vielleicht gerne implementieren.

Exchange 2000/2003 nutzen für die SMTP-Kommunikation natürlich den Windows SMTP-Services und in diesem kann man eigene Sinks integrieren. Genau das hat C. Järnåker als DLL entwickelt, welche sich als "OnInboundCommand"-Extension registriert. Und das ganze kostet nicht einmal was.

• Projekthomepage für Greylisting für Exchange
  http://www.grynx.com/projects/greylist/
• Greylisting für Exchange Server 2003!
  http://www.proxmea.com/index.php?q=node/19 199 US-$
  http://blogs.3sharp.com/Blog/deving/archive/2006/11/03/2350.aspx
• Exchange Server 2003 Hotfix zum Greylisting-Problem
  http://blogs.technet.com/dmelanchthon/archive/2008/08/03/hotfix-zum-greylisting-problem.aspx
• 950757 E-mail senders do not receive an indication that some messages have been held by Exchange Server 2003 until the SMTP service, the Microsoft Exchange Information Store service, or the Exchange server is restarted
• Probleme mit Greylisting
  http://blogs.technet.com/dmelanchthon/archive/2007/07/19/probleme-mit-greylisting.aspx
• Neues von der Greylisting-Front
  http://blogs.technet.com/dmelanchthon/archive/2008/07/16/neues-von-der-greylisting-front.aspx
• Exchange 2010 Greylisting
  http://www.ppc.at/software/eigene-software/105

Weitere Links

• http://projects.puremagic.com/greylisting/
• http://www.rz.rwth-aachen.de/infodienste/email/greylisting.php
• http://www.uni-koeln.de/rrzk/mail/greylisting/
• http://de.wikipedia.org/wiki/Greylisting