La liste grise SMTP a) arrête-t-elle beaucoup de spam et b) arrête-t-elle beaucoup de courrier légitime?

Je viens de configurer un serveur SMTP sur un domaine relativement peu utilisé à l'aide de Postfix et j'ai activé la liste grise avec SQLGrey . Jusqu'à présent, cela semble fonctionner correctement, et bien qu'il y ait une légère irritation des retards dans les e-mails des nouveaux expéditeurs, je peux voir dans les journaux que cela dissuade un certain nombre de messages de spam.

D'après votre expérience, la liste grise arrête-t-elle efficacement beaucoup de spam? Est-ce un ajout utile, par exemple, à SpamAssassin ou est-ce qu'il est ajouté par-dessus-la-route / inutile?

Si je devais déployer cela sur des domaines d'utilisation plus lourds (peut-être avec des utilisateurs plus exigeants), anticiperiez-vous une partie importante de serveurs de messagerie mal configurés qui finiraient par rebondir ou perdre des messages?

D'après votre expérience, la liste grise arrête-t-elle efficacement beaucoup de spam?

C'est très efficace. Je l'utilise depuis plus de 3 ans et cela a eu un impact certain sur notre processus de filtration.

Est-ce un ajout utile, par exemple, à SpamAssassin ou est-ce qu'il est ajouté par-dessus-la-route / inutile?

Il fait réduire votre charge de travail de numérisation. Je recommande de l'ajouter.

Si je devais déployer cela sur des domaines d'utilisation plus lourds (peut-être avec des utilisateurs plus exigeants), anticiperiez-vous une partie importante de serveurs de messagerie mal configurés qui finiraient par rebondir ou perdre des messages?

J'ai vu cela se produire, bien que les serveurs de messagerie aient été gravement mal configurés (le maître de poste avait décidé d'abandonner immédiatement la livraison s'il y avait une erreur logicielle, plutôt que de réessayer d'envoyer). Cela se résume à la façon dont l'expéditeur gère un message 4xx contre un message 5xx. S'ils les traitent de la même façon, vous aurez quelques problèmes. S'ils les traitent correctement , où 4xx est un échec logiciel et que l'expéditeur réessayera, il n'y aura aucun problème. Même s'ils l'ont mal configuré, la solution la plus simple consiste à ajouter le domaine de l'expéditeur à votre liste grise comme "déjà vu", et à lui donner un score absurde pour l'empêcher de tomber de la base de données.

D'après mon expérience, la liste grise n'offre pas suffisamment d'avantages pour justifier les inconvénients. Bien que la liste grise ait été configurée sur mon serveur, c'était assez ennuyeux pour que chaque (nouveau) courrier électronique entrant soit retardé. Je sais également avec certitude que certains e-mails entrants se perdaient.

Les spammeurs étaient suffisamment persistants (et je pense que même à l'époque, ils commençaient automatiquement à réessayer) pour que leur spam parvienne de toute façon. J'ai désactivé la liste grise il y a des années et je n'ai pas regardé en arrière.

La liste grise arrêtera efficacement de nombreux spams avant même qu'ils n'atteignent votre filtre de contenu.

C'est une dépendance vraiment utile car elle réduira considérablement votre charge de travail de numérisation, réduira les faux négatifs (une partie du spam qui ne serait pas capturé par votre filtre de contenu sera bloqué au préalable par la liste grise), et il ne peut pas, par définition, introduire tout faux positif (courrier légitime bloqué).

Les messages que vous perdez sont dus à des expéditeurs smtp non conformes - oui, il y a des "gros" qui ne jouent toujours pas bien, une courte liste blanche les prendra en charge jusqu'à ce qu'ils réparent leurs systèmes. Au final, avoir beaucoup de sites avec des listes grises sur Internet aura pour effet secondaire de forcer plus de gens à utiliser des serveurs de messagerie correctement configurés.

Avec une bonne configuration de liste grise (bonne implémentation + bonne configuration / opérations) très peu de mails seront retardés, et la plupart du temps le retard sera de l'ordre de quelques minutes. En outre, une bonne configuration de liste grise est principalement un système "déployer et oublier", réduisant le flux de spam, la charge des systèmes sans augmenter votre charge (sysadmin).

Avant d'activer la liste grise sur les domaines existants, je suggère fortement de le déployer en "mode d'apprentissage", où il surveillera le flux de messagerie sans rien retarder. Cela lui donnera le temps d'apprendre les triplets et de mettre en liste automatique les bons expéditeurs smtp.

Le fait de bloquer de nombreux e-mails avant le scanner de contenu entraînera de nombreux effets secondaires. J'aime particulièrement ceux-ci:

1. autre que les listes blanches manuelles courtes et peu évolutives, un système de listes grises n'a pas besoin de connaissances partagées entre les serveurs, ce qui simplifie le déploiement de plusieurs MX dans des emplacements / centres de données géographiquement distribués
2. la réduction de la charge de numérisation signifie que vous pouvez utiliser moins de matériel pour la numérisation de contenu
3. moins de serveurs pour l'analyse de contenu signifie que vous pouvez plus facilement les centraliser, les gérer, les déboguer (meilleur rapport signal / bruit dans les journaux;)
4. moins de charge sur vos systèmes pour rejeter le spam «évident» et plus de charge sur un système de spammeur pour réessayer la livraison signifie à la fois un meilleur rapport de charge récepteur / charge de spammeur, ce qui rend l'envoi de spam plus «cher», et c'est une bonne chose à long terme terme

Dans l'ensemble, la liste grise se résume à:

1. forçant les expéditeurs à se conformer aux normes, cela facilitera le fonctionnement correct de l'ensemble du système de messagerie et sera plus facile à gérer (-> traquer plus facilement les spammeurs comme effet secondaire)
2. augmenter (un peu) le coût de l'envoi d'e-mails, avoir un petit impact sur les expéditeurs légitimes et un plus gros sur les spammeurs (-> l'augmentation des coûts d'envoi de spam est toujours bonne)

EDIT: bien qu'il y ait un impact (faible, mais c'est à mon humble avis) des délais de livraison de courrier légitimes, il pourrait être réduit en utilisant d'autres moyens pour contourner la liste grise, comme le tarpitting et le SPF . Le premier est intéressant mais je ferais des tests dans le monde réel avant de juger de son efficacité / inconvénients, le dernier n'est pas toujours disponible.

Oui, la liste grise peut arrêter une quantité raisonnable de spam, très peu de frais. Même lorsqu'il n'arrête pas le spam, le délai supplémentaire donne un délai supplémentaire pour que le message ou l'expéditeur soit répertorié sur DNSBL ou sur des listes basées sur le hachage.

Vous devez vous assurer que vous utilisez une bonne implémentation (je ne connais pas personnellement SQLGrey). En particulier, vous pouvez généralement trouver des moyens de faire confiance aux triplets sans avoir vu le triplet exact auparavant (par exemple, si vous avez vu suffisamment de bons triplets à partir d'une IP, alors il n'y a probablement aucun intérêt à répertorier d'autres triplets de cette IP). Après un petit laps de temps, très peu de messages légitimes sont sur liste grise.

Un problème possible avec la liste grise est que les utilisateurs ne recevront pas les mails immédiatement. C'est très frustrant pour les e-mails de réinitialisation de mot de passe. Ces mails sont généralement pris dans la liste grise car l'expéditeur / destinataire / ip sera nouveau.

Raj

Pour ajouter aux autres réponses:

Une chose que vous devriez considérer lors du déploiement greylisting est qu'il va augmenter les délais pour (certains) mails légitimes. Vous devez d'abord savoir si cela pose problème à vos utilisateurs.

Par exemple, si votre organisation possède principalement des courriers internes et des courriers avec quelques partenaires commerciaux de longue date, l'impact sera négligeable.

OTOH, si vous échangez fréquemment du courrier avec de nouveaux clients, cela pourrait être douloureux. Une situation en particulier pourrait être un problème: si vous parlez à quelqu'un au téléphone et que vous souhaitez échanger des documents pertinents à la discussion par e-mail (ce que je fais régulièrement dans les appels téléphoniques de type support), même quelques minutes peuvent être inacceptable.

Ainsi, comme toujours, tenez compte des besoins spécifiques des utilisateurs.

J'ai eu beaucoup de chance avec la liste grise. Personnellement, je ne l'aurais jamais utilisé comme seule mesure anti-spam, mais lorsqu'il est inclus dans un système anti-spam en couches (y compris SpamAssassing, amavisd, clamav, RBLs, SPF / DKIM, etc.), il fournit beaucoup de avantage.

Une note importante, il y a quelques FAI là-bas (les plus importants) qui ne gèrent pas une destination grisée (les listes de diffusion yahoo ont été un exemple bien connu). Je vous conseille de consulter certaines des listes blanches que les gens ont établies pour vous assurer que vous ne finissez pas par bloquer les vrais e-mails.

D'après mon expérience, la grande majorité des courriers électroniques que vous recevez de personne à personne (d'une personne / d'un utilisateur réel) transitent par l'un des principaux serveurs de messagerie (postfix, qmail, exchange, sendmail), qui traitent tous la liste grise correctement. Parfois, vous pourriez rencontrer un logiciel de liste de diffusion ou un programme de messagerie électronique automatisé qui ne le gère pas correctement, mais mon expérience suggère que c'est très rare.