Spam und UCE - Filter: Greylisting

So funktioniert es

Das Verfahren des "GreyListings" kam etwas 2004 auf und hat noch immer Hochkonjunktur. Das Prinzip ist sehr einfach. Basierend auf der Annahme, dass sich ein Spammer nicht die Mühe eines zweiten Versuchs macht, haben mehrere Firmen und Produkte zum Anlass genommen, ihren Mailserver umkonfiguriert und erweitert.

  • Die erste Verbindung einer neuen IP-Adresse wird immer mit einem temporären Fehler abgelehnt.
  • Ein Spammer geht weiter
    Die meisten Spammer nutzen eigene Software zum Versand und machen sich nicht die Mühe einer Warteschlange oder eines zweiten Versuchs. Das wäre zu "aufwändig". Ergo wird die Spam-Mail einfach nicht mehr zugestellt
  • Gute Server versuchen es wieder
    Ein guter Absender versucht die Mail nach einigen Minuten erneut zuzustellen. Das bedeutet zwar eine kurze Verzögerung für den ersten Kontakt aber darauf folgende Mails gehen schnell durch, bis der Mailserver die IP-Adresse der Gegenseite wieder vergisst.

Diese relativ einfach zu implementierende Verfahren funktioniert sogar sehr gut, da sich die Spammer noch nichts darauf eingestellt haben. Daher haben es sehr viele Provider auch sehr schnell eingebaut. Es gibt aussagen, dass dieses Verfahren 95 aller Spams abwehrt.

Allerdings werden natürlich auch die Spammer nach und nach merken, dass die Mails bei der ersten Verbindung nicht mehr zugestellt werden und werden dann wohl oder übel doch eine Warteschlange oder einen Retry-Mechanismus nachrüsten und damit das Greylisting umgehen. Auf der anderen Seite dauert es natürlich für "normale Firmen" mit eigenem Mailserver etwas länger, bis sie Greylisting installiert haben. Sie müssen auf ein Update ihrer Spamsoftware warten, da Sie ihre Mailserver meist nicht selbst anpassen können, wie ein Provider das tut.

Es ist noch nicht sicher, wer hier nun gewinnt. Große Provider werden sicher aktuelle Spamverhinderungslösungen sehr schnell umsetzen. Die Spammer werden nach einiger Zeit vermutlich nachziehen und der normale Firmenkunde wird irgendwo dazwischen stecken bleiben.

Probleme

Würde das Greylisting wirklich überall eingesetzt, dann wären das die Folgen:

  • Jede Mail an Sie wird um einige Minuten oder gar Stunden verzögert.
    Das ist sicher das wichtigste Kriterium gegen dieses Verfahren
  • Ein Spammer sendet auch gerne zweimal.
  • Jede Mail bedeutet nun zwei TCP-Handshakes
  • Die zu übertragende Datenmenge wird nur minimal erhöht.
  • Mail bleiben länger beim Sender in der Queue. Besonders Provider dürften Probleme bekommen, wenn jede Mail prinzipiell z.B. 15 Minuten gepuffert werden muss.
  • Firmen mit dynamischen IP-Adressen jedoch müssen mindestens für die Zeitdauer die gleiche IP-Adresse behalten, sonst können Sie überhaupt keine Mails mehr senden. Das ist besonders ärgerlich für Firmen, die z.B.: ISDN-Verbindung mit ShortHold nutzen.

Damit Greylisting funktioniert, muss es natürlich eine zweite Verbindung erst nach einiger Zeit zulassen und die IP-Adresse nach einiger Zeit "Ruhe" auch wieder verlernen. für einen Spammer ist es daher einfach beim Versand die Systeme zu merken, die die Mails erst abgelehnt haben und diese etwas später erneut anzusprechen. Stellt sich nur die Frage aber wann sich der Zusatzaufwand für Spammer lohnt.

Übrigens: Es ist für einen Programmierer überhaupt nicht schwer, einen zweiten Verbindungsversuch zu starten. Der Virus "SOBER" zeichnet sich gerade dadurch aus, dass er immer einen zweiten Versuch startet. Das ist wohl das beste Beispiel, dass Greylisting nur gute Mails Ausbremst aber Spammer nicht in die Schranken weist.

Auf der anderen Seite gibt es immer noch "nicht konforme" Mailserver, die mit einer temporären Blockade nicht umgehen können z.B.: GroupWise 6 (http://support.novell.com/cgi-bin/search/searchtid.cgi?/10084802.htm) und andere.

Greylisting und Windows SMTP/Exchange

Auch Exchange 2003 muss natürlich auf ein Greylisting der Gegenseite reagieren, wenn die Verbindung direkt aus dem Internet angenommen wird. Allerdings kann es sein, dass der dazu gehörige Registrierungsschlüssel nicht immer richtig gesetzt ist.

HKLM\System\CurrentControlSet\Services\SMTPSVC\Queuing\GlitchRetrySeconds:DWORD = 60

Exchange versucht dann bis zu drei mal in einem Abstand von 60 Sekunden die Mail erneut zuzustellen, ehe er die Queue auf den Status "Retry" setzt.

If Exchange 2003 tries to route a message to a heavily loaded external SMTP system such as a virus wall, it can receive a Server Busy error. In these situations, the Exchange transport goes into a state known as 'glitch retry'. In this state, Exchange 2003 waits 60 seconds before attempting to resend the message, and it repeats this process three times before resorting to other actions. If external SMTP servers are consistently busy, redUCE the glitch retry wait time to prevent mass message queuing. Table 4.21 shows the registry parameter that controls this time.
Quelle: /prodtechnol/exchange/exchange2003/proddocs/library/perfscalgd/perfsca4.htm

Greylisting für Exchange

Exchange 2000/2003 unterstützen leider nicht von sich aus ein Greylisting. All die Firmen, die Exchange nicht direkt aus dem Internet erreichbar machen, werden dies nicht vermissen und eigene Lösungen vor Exchange installieren. All die Firmen, deren Exchange Server jedoch direkt aus dem Internet erreichbar ist, würden diese Funktion vielleicht gerne implementieren.

Exchange 2000/2003 nutzen für die SMTP-Kommunikation natürlich den Windows SMTP-Services und in diesem kann man eigene Sinks integrieren. Genau das hat C. JärnÃ¥ker als DLL entwickelt, welche sich als "OnInboundCommand"-Extension registriert. Und das ganze kostet nicht einmal was.

Weitere Links