Серые списки SMTP: а) останавливают много спама и б) останавливают большую часть законной почты?

По моему опыту, серые списки не дают достаточных преимуществ, чтобы оправдать недостатки. Хотя на моем сервере были настроены серые списки, это было достаточно неприятно, чтобы задерживать каждое (новое) входящее письмо. Я также точно знаю, что пропадало какое-то входящее письмо.

Спамеры были достаточно настойчивы (и я думаю, что даже тогда они начали автоматически делать повторные попытки), чтобы их спам все равно прошел. Я отключил серые списки много лет назад и не оглядывался назад.

По вашему опыту, действительно ли серые списки предотвращают спам?

Это очень эффективно. Я использую его более 3 лет, и он оказал определенное влияние на наш процесс фильтрации.

Это полезное дополнение, например, к SpamAssassin или это добавление сверху лишнее / ненужное?

На самом деле это будет уменьшить вашу рабочую нагрузку сканирования. Рекомендую добавить.

Если бы я развернул это на доменах с более интенсивным использованием (возможно, с более требовательными пользователями), ожидали бы вы, что значительная часть плохо настроенных почтовых серверов в конечном итоге будет возвращать или терять сообщения?

Я видел, как это происходило, хотя почтовые серверы были сильно неправильно сконфигурированы (почтмейстер решил немедленно отказаться от доставки, если произошла мягкая ошибка, а не повторять отправку). Это сводится к тому, как отправитель обрабатывает сообщения 4xx и 5xx. Если они будут относиться к ним одинаково, у вас будет несколько проблем. Если они их лечат правильно, где 4xx - это мягкий сбой, и отправитель повторит попытку, проблем не будет. Даже если он настроен неправильно, простое решение - добавить домен отправителя в ваш серый список как «уже просмотренный» и присвоить ему абсурдную оценку, чтобы он не выпал из базы данных.

Серые списки эффективно остановят спам еще до того, как он попадет в ваш фильтр контента.

Это действительно полезная зависимость, потому что она значительно снизит вашу рабочую нагрузку на сканирование, уменьшит количество ложноотрицательных результатов (часть спама, который не будет пойман вашим фильтром содержимого, будет заранее заблокирована серыми списками), и она не может, по определению, вводить любое ложное срабатывание (блокировка законной почты).

Письма, которые вы теряете, происходят из-за несоответствия отправителей smtp - да, есть некоторые «большие», которые все еще плохо себя ведут, короткий белый список позаботится о них, пока они не исправят свои системы. В конце концов, наличие большого количества сайтов с серыми списками в Интернете будет иметь приятный побочный эффект, заставляя больше людей использовать правильно настроенные почтовые серверы.

При хорошей настройке серого списка (хорошая реализация + хорошая конфигурация / операции) очень мало писем будет задерживаться, и большую часть времени задержка будет порядка нескольких минут. Кроме того, хорошая настройка серых списков - это в основном система «развернуть и забыть», уменьшить поток спама и нагрузку на систему, не увеличивая при этом нагрузку на (системного администратора).

Прежде чем фактически включить серые списки для существующих доменов, я настоятельно рекомендую развернуть его в «режиме обучения», где он будет следить за потоком почты, ничего не откладывая. Это даст ему время изучить тройки и добавить в белый список хороших отправителей smtp.

Блокировка большого количества писем до того, как сканер контента будет иметь ряд хороших побочных эффектов. Мне особенно нравятся эти:

1. кроме коротких и редко изменяемых вручную белых списков, система серых списков не требует обмена знаниями между серверами, что упрощает развертывание нескольких MX в географически распределенных местах / центрах обработки данных
2. уменьшение нагрузки на сканирование означает, что вы можете использовать меньше оборудования для сканирования контента
3. меньшее количество серверов для сканирования контента означает, что вам будет проще их централизовать, управлять ими, отлаживать их (лучшее соотношение сигнал / шум в журналах;)
4. меньшая нагрузка на ваши системы для отклонения «очевидного» спама и большая нагрузка на спамерскую систему для повторной доставки означают лучшее соотношение нагрузки получателя и спамера, что делает отправку спама более «дорогой», и это хорошо в долгосрочной перспективе. срок

В общем, серые списки сводятся к:

1. принуждение отправителей к соответствию стандартам, это упростит правильную работу всей системы электронной почты и упростит управление (-> более легкое отслеживание спамеров в качестве побочного эффекта)
2. увеличивая (немного) стоимость отправки электронной почты, оказывая небольшое влияние на законных отправителей и большее - на спамеров (-> увеличение стоимости рассылки спама всегда хорошо)

РЕДАКТИРОВАТЬ: хотя существует (небольшое, но это ИМХО) влияние законного времени доставки почты, его можно уменьшить, используя другие средства для обхода серых списков, например троттлинг и SPF. Первый интересен, но я бы провел несколько реальных тестов, прежде чем судить о его эффективности / недостатках, последний не всегда доступен.

Да, серые списки могут очень недорого остановить разумное количество спама. Даже если он не останавливает спам, добавленная задержка дает дополнительное время для того, чтобы сообщение или отправитель были внесены в список DNSBL или списков на основе хэшей.

Вы должны убедиться, что используете хорошую реализацию (я лично не знаком с SQLGrey). В частности, вы обычно можете найти способы доверять триплетам, не видя точный триплет раньше (например, если вы видели достаточно хороших триплетов с IP-адреса, то, вероятно, нет смысла заносить в серый список любые дальнейшие триплеты с этого IP-адреса). По прошествии небольшого времени очень немногие допустимые сообщения попадают в серый список.

Одна из возможных проблем с серыми списками заключается в том, что пользователи не получают письма сразу. Это очень неприятно для писем для сброса пароля. Эти письма обычно попадают в серый список, потому что отправитель / получатель / IP будет новым.

радж

Чтобы добавить к другим ответам:

При развертывании серых списков следует учитывать то, что воля увеличить задержки для (определенных) законных писем. Сначала вы должны выяснить, не проблема ли это для ваших пользователей.

Например, если ваша организация в основном имеет внутреннюю почту и почту с несколькими давними деловыми партнерами, влияние будет незначительным.

OTOH, если вы часто обмениваетесь почтой с новыми клиентами, это может быть болезненно. В частности, проблема может быть в одной ситуации: если вы разговариваете с кем-то по телефону и хотите обменяться документами, имеющими отношение к обсуждению, по электронной почте (что я регулярно делаю в телефонных звонках в службу поддержки), даже несколько минут могут быть неприемлемый.

Итак, как всегда, учитывайте конкретные потребности пользователей.

Мне отлично повезло с серыми списками. Лично я бы никогда не использовал его в качестве единственной меры защиты от спама, но когда он включен как часть многоуровневой системы защиты от спама (включая SpamAssassing, amavisd, clamav, RBL, SPF / DKIM и т. Д.), Он предоставляет множество выгода.

Одно важное замечание: есть несколько интернет-провайдеров (основных), которые не могут корректно обрабатывать пункты назначения из серого списка (хорошо известным примером являются списки рассылки yahoo). Я бы посоветовал посмотреть некоторые белые списки, которые люди составили, чтобы убедиться, что вы не заблокируете настоящую электронную почту.

По моему опыту, обширный Большая часть электронной почты, которую вы получаете от человека к человеку (от реального человека / пользователя), проходит через один из основных почтовых серверов (postfix, qmail, exchange, sendmail), каждый из которых правильно обрабатывает серые списки. Иногда вы можете столкнуться с некоторыми программами для списков рассылки или автоматизированной почтовой программой, которые не справляются с этим правильно, но мой опыт показывает, что это очень редко.