Le greylisting est-il toujours une méthode efficace pour empêcher le spam?

50

J'utilise la liste grise sur mes serveurs depuis de nombreuses années, mais je ne sais pas à quel point c'est efficace aujourd'hui.

Est-il toujours utile pour lutter contre le spam en 2012?

Ou bien le spammer MTA typique est-il capable de renvoyer des courriers électroniques à liste grise maintenant?

smtp email-server spam greylisting neu242
la source
2
@Michael: Pour lutter contre le spam. Lisez la question :)
neu242
1
Nous pouvons traiter des avantages et des inconvénients de la liste grise dans une autre question :)
neu242
1
J'ai légèrement changé le titre. Est-ce que ça a l'air mieux maintenant?
neu242
2
@ MichaelHampton Euh, un point d'intérêt ... Quelles mesures de prévention du spam utilisez-vous qui n'entraînent pas le plaignant à se plaindre? Ou peut-être, si cela convient mieux, quel genre de PDG avez-vous qui ne soit pas un gâté, $ # ^ ^ * * @ pleurant, qui va trouver quelque chose à se plaindre dans absolument rien?
HopelessN00b
1
@ HopelessN00b Notre PDG n'est pas comme ça. Je ne jugerais pas la personnalité ou le comportement de quelqu'un uniquement en fonction de sa profession.
darvids0n

Réponses:

6

Une mise à jour de 2018:

J'ai toujours été un grand fan de listes grises. Pour ces raisons:

  • Il ne marque pas seulement le spam, il le bloque.
  • Il est légal d'utiliser un fournisseur de services en Allemagne (contrairement à la suppression des spams après réception)
  • C'est simple et efficace.
  • Il ajoute de la charge au spammeur et non à votre serveur de courrier de réception. Ainsi, même si les spammeurs réussissent à passer au crible, vous avez forcé leur machine à travailler plus fort et ils peuvent donc envoyer moins de spam au total.
  • Il ne bloque presque aucun courrier légitime, contrairement aux RBL basés sur IP, etc.
  • Cela introduit des retards, mais vous pouvez mettre en liste blanche les clients (serveurs d’envoi) des contacts fréquents et les destinataires de la liste blanche qui ont vraiment besoin d’e-mails dans les meilleurs délais. N'oubliez pas que l'utilisation d'un filtre anti-spam comme Spamassasin directement sur tous vos messages (sans liste grise) peut également entraîner des retards dans les messages légitimes: certains spammeurs envoient tellement de messages sur votre serveur que le filtre anti-spam est surchargé. Ainsi, il enverra une défaillance temporaire (par exemple 451) au serveur d'envoi de nouveaux messages entrants. Cela entraîne les mêmes effets que les listes grises, c’est-à-dire que les courriers sont retardés, à l’exception que la liste blanche n’est pas si facile. Bien sûr, vous pouvez utiliser un filtre anti-spam cloud qui s'adapte à la puissance du spammeur, mais cela peut coûter plus cher.
  • Entretien limité ou non requis. Aucune liste noire qui doit être mise à jour et changer au fil du temps. Aucune règle basée sur des modèles à mettre à jour.

Mais malheureusement, dans mes statistiques, je vois que cette année, les listes grises deviennent de moins en moins efficaces. La quantité de messages retardés approche assez rapidement de la quantité de messages grisés, ce qui signifie que la quantité de spam bloqué diminue.

Au cours de la dernière année (365 jours), 55% des messages de la liste grise ont finalement été bloqués, ce qui signifie que 45% ont été bloqués.

année de statistiques mailgraph

année de statistiques mailgraph

Notez que ce graphique incluait un délai dans lequel les messages de la liste grise n'étaient pas comptabilisés en raison d'une erreur de configuration de mailgraph, mais uniquement de ceux en différé. Cela signifie que ce calcul surestime un peu les messages retardés, en fait un peu plus de mails bloqués.

Le mois dernier, 64% ont été retardés et seulement 36% ont été bloqués.

mailgraph stats mois

mailgraph stats mois

La semaine dernière, 75% ont été retardés et seulement 25% bloqués.

semaine de statistiques mailgraph

semaine de statistiques mailgraph

En outre, en regardant le nombre total de messages bloqués: Ce mois-ci, la liste de blocage a bloqué 4 411 messages, mais Amavisd (spamassasin) a bloqué 22 763 messages. Cela signifie que seulement 16% des spams sont bloqués par les listes grises, le reste par amavisd.

En outre, de plus en plus de fournisseurs d'envoi dans le cloud envoient parmi plusieurs centaines d'adresses IP. Ils tentent chaque tentative de transmission depuis un autre IP. Ainsi, les listes grises peuvent bloquer ces courriers pendant plusieurs jours. Par conséquent, vous devez ajouter tous les "bons" fournisseurs de courrier à la liste blanche. Ceci introduit un nouvel effort de maintenance.

J'ai toujours été un grand fan de listes grises, mais malheureusement, je constate qu'il devient de moins en moins efficace, et je pense que je vais le désactiver rapidement, car il commence à retarder inutilement 14% de mes messages sans bloquer beaucoup de spam. .

Les statistiques trompeuses

Le nombre d'e-mails bloqués dans mes statistiques (et dans vos statistiques) peut également être largement trompeur. Prenons un email qui provient d’un gros fournisseur de messagerie cloud (comme le fichier * .outbound.protection.outlook.com de Microsoft) qui n’a pas encore été ajouté à la liste blanche. La première tentative échoue. Les deuxième et troisième tentatives de transmission proviennent de deux autres serveurs (IP), elles échouent donc à nouveau, car le triplet ne correspond pas. Maintenant, la quatrième tentative vient à nouveau du premier serveur et réussit. Cela comptera comme une transmission différée et quatre messages à liste grise. Mes calculs ci-dessus indiqueraient que 1/4 = 25% des messages de la liste grise ont été retardés et 3/4 = 75% ont été bloqués. Mais en fait, aucun message n'a été bloqué. Maintenant, nous ajoutons les serveurs de ces fournisseurs de courrier à la liste blanche afin qu'ils ne soient plus mis en liste grise. Ce qui va arriver, c’est que le nombre de messages de la liste grisée diminuera plus que le nombre de messages différés. Cela signifie que le nombre de messages bloqués calculés diminuera. Mais ce n'est pas vrai que moins de messages ont été bloqués.

En fait, ce que je fais depuis février 2017 consiste à ajouter de plus en plus de fournisseurs de messagerie en nuage à la liste blanche pour lutter contre le problème des longs délais dus à la mise en liste verte. Cela peut expliquer (en partie?) Pourquoi le nombre de mails bloqués que je calcule diminue rapidement. Alors peut-être, je pensais juste que tout le temps que greylisting bloquait beaucoup de spam, mais la quantité de spam bloqué était beaucoup moins constante, elle était juste calculée de manière incorrecte. Soyez donc prudent lorsque vous interprétez vos statistiques.

Christopher K.
la source
1
C'est très intéressant - merci d'avoir posté la recherche!
Jenny D dit Réintégrer Monica
+1 de moi - le temps de réexaminer mes données. Je conviens que ces personnes extrêmement ennuyeuses qui transfèrent du courrier sur leur parc de serveurs internes, de sorte que chaque tentative provenant d'un serveur différent, faussent les données. Je ne suis pas sûr d'avoir acheté votre dernier article, qui semble argumenter que tous les avantages apparents de la mise en liste verte, ou la plupart des avantages apparents, sont causés par le comptage excessif des e-mails entrants.
MadHatter soutient Monica
Les statistiques de mon serveur de messagerie privé pour la dernière année (juillet 2019) montrent que seulement 15% des messages ont été retardés et 85% ont été bloqués. J'ai jeté un coup d'œil aux expéditeurs bloqués et ils ressemblent à des spammeurs. Cependant, je ne fais pas tout ce qui est en liste grise, mais uniquement des expéditeurs mis en liste noire par les RBL (zen.spamhaus.org, spam.dnsbl.sorbs.net et psbl.surriel.com). Une liste grise bien configurée semble toujours être efficace.
Michael
1
@michau Sûr que les mails suspects sont bien mis en liste verte est plus efficace que tout. Rspamd est un filtre anti-spam plutôt nouveau et intéressant qui le fait plutôt bien. Les listes grises qui atteignent un score de spam faible. Donc, comme vous, cela réduirait également la liste grise des expéditeurs inscrits sur la liste RBL (à condition que le courrier ne soit pas assez performant pour être rejeté). Mais cela réduirait également les messages en liste grise qui correspondent à quelques règles relatives au courrier indésirable, mais ne sont pas assez performants pour être rejetés.
Christopher K.
55

La dernière fois que j'ai examiné cela quantitativement en juillet de cette année (2012). En juillet, mon serveur de messagerie a reçu environ 46 000 tentatives de distribution du courrier. parmi ceux-ci, environ 1 750 ont été renvoyés et ont été autorisés par la liste grise (et ont passé avec succès le domaine de l'expéditeur valide, SPF et certains autres tests non basés sur le contenu). Parmi ceux-ci, environ 1 500 autres ont été filtrés par mon filtrage basé sur le contenu.

En supposant que ces 44 250 e-mails soient du spam (car ils ne pouvaient pas passer en liste grise, je pense que c'est une hypothèse juste), sans le grundisting, mon filtrage basé sur le contenu aurait dû traiter 46 000 courriers au lieu de 1 750.

La charge de mon filtrage basé sur le contenu étant multipliée par 25, il me faudrait des processeurs beaucoup plus robustes et davantage de mémoire. Cela augmenterait mes coûts d'hébergement mensuels, en raison de la consommation électrique supplémentaire (et probablement de la taille du serveur).

En bref, la dernière fois que j’ai compté, oui, la liste grise a toujours été très utile dans le cadre d’un système complet de filtrage du courrier indésirable . Je l'ai activé pour les clients au cours des dernières semaines et tous sont extrêmement satisfaits de la diminution de la charge de leurs systèmes de filtrage basés sur le contenu.

Edit : Je remarque que je n’ai pas répondu à la question de savoir s’il devient moins efficace avec le temps. Lorsque je l'ai activé, à la fin de 2006, mon estimation à cette époque était qu'il filtrait environ 95% du spam. 1 750 sur une proportion de 46 000 soit environ 4%, donc mes données suggèrent que ce n'est pas devenu moins efficace au cours de cette période.

MadHatter soutient Monica
la source
2
Exactement le genre de réponse que je cherchais. Merci!
neu242
3
Je pense qu'il est très logique de regarder cela quantitativement dans votre situation particulière. Je viens de vérifier, et mon serveur de messagerie voit des chiffres très différents: total pour août et septembre, 460214 5xx rejettent, 12331 4xx rejettent et 22665 acceptent. Ainsi, 4,6% ont accepté et seulement 2,6% des spams (au mieux) bloqués par des listes grises. Les rejets 5xx sont dominés par 8,4% d'utilisateurs inconnus et> 90% de RBL. (Et je ne cours même pas des RBL extrêmement agressifs. Une majorité écrasante de blocs RBL sont des blocs XBL .) Encore une fois, le trafic capturé par les RBL ne parvient jamais à la création de la liste grise.
un CVn
7
Intéressant, mais je ne peux pas faire de comparaison directe parce que je n'utiliserai pas, par principe, de test RBL comme test Brightline pour la réception; Je ne les utilise que comme contributeurs à un score de spamassassin. J'ai moi-même trop souvent participé à des RBL, pour des raisons totalement fictives, de confier l'exploitation de mon propre courrier à la raison d'être de quelqu'un d'autre. Si, toutefois, nous supposions que tous ces rejets XBL provenaient de réseaux de zombies incendiaires, si vous présentiez une liste grise en premier comme moi, vous obtiendriez des pourcentages comparables.
MadHatter soutient Monica
1
Oui, j'ai fortement envisagé de ne plus en faire qu'un contributeur de score de spam et de compter sur des listes grises, précisément pour la raison que vous avez mentionnée. Toutefois, cela n’annule pas l’idée que je faisais déjà, à savoir que des serveurs différents peuvent voir des schémas de trafic très différents et que le seul moyen de savoir si l’application de la liste d’hôtes est efficace est de l’analyser du point de vue de votre configuration particulière.
un CVn
1
J'allais encore être en désaccord, mais je suis tout à fait d'accord avec vous. Pour tous les utilisateurs, le meilleur moyen de déterminer si cette technique est efficace dans votre flux de messagerie est de l' essayer dans votre flux de messagerie et de le mesurer - Michael parle avec sagesse!
MadHatter soutient Monica
8

En règle générale, les robots spammeurs ne font toujours pas la mise en file d'attente des messages, mais certains envoient simplement le spam deux fois à chaque destinataire avec quelques minutes de retard pour éliminer la liste grise. de plus, de nos jours, le spam par les spambots n'est plus le problème, mais le spam par les comptes yahoo compromis, etc., est beaucoup plus difficile à détecter.

De ce point de vue, les listes grises ne sont plus aussi efficaces qu’avant. Associé à d'autres techniques anti-spam, il peut toujours être utile, par exemple si votre domaine fait souvent partie du "premier lot" de campagnes anti-spam, la mise en liste grise peut aider à retarder le message suffisamment longtemps pour que les listes noires de domaine / ip se rattrapent, donc si la le spam aurait glissé dans vos filtres lors de la première tentative de connexion; il pourrait être détecté à la deuxième tentative.

Gryphius
la source
La grande majorité des tentatives d'envoi de spam que je reçois proviennent de Spambots. J'utilise d'autres techniques pour décourager les Spambots et la plupart abandonnent avant de pouvoir figurer sur la liste grise. Sur mon serveur, la liste grise bloque toujours environ la moitié des expéditeurs, elle est traitée. J'exempte les expéditeurs dont on peut déterminer qu'ils sont extrêmement susceptibles de passer au greylisting.
BillThor
5

En tant que problème tangentiel, je n’aime pas être en mesure d’avoir déployé une technique telle que la mise en liste grise sans pouvoir mesurer son efficacité. Sur Debian, avec postfix en tant que MTA et postgrey en tant que moteur de règles greylisting, vous pouvez apt-get install mailgraphobtenir un graphique simple des messages acceptés par rapport aux messages rejetés. Mailgraph est un peu vieux et complètement autonome, mais cela fonctionne, et ses données ou techniques pourraient facilement être intégrées dans un système de surveillance moderne plus complexe.

Paul Gear
la source
3

Obtenez un filtre de messagerie basé sur la réputation. La liste grise est un peu vieille école et n'est pas une solution complète. Il existe des solutions de contournement (du point de vue du polluposteur) et des délais de livraison du courrier imprévisibles pour vos utilisateurs ...

Vous pouvez soit externaliser le filtrage sur un service cloud, soit acheter une appliance ayant accès à une telle liste et disposant d'autres méthodes de validation du spam. Ma recommandation est généralement Barracuda pour leur appareil ou leur solution de filtrage cloud . Les deux options offrent des économies d’échelle et des heuristiques matures qui offrent une solution globale plus propre.

Dans le rapport de septembre 2012 de l'un des clients de Barracuda Spam Filter de mon client, 1 623 messages sur 98 457 ont été coupés avant même d'avoir touché le serveur de messagerie en raison de destinataires incorrects ... 34 488 ont été bloqués sous forme de SPAM . Seuls 96 messages douteux ont réussi. Ceux considérés comme du SPAM associaient la réputation, le score, l’intention, trois RBL, le filtrage bayésien et des ensembles de règles personnalisées. Tout en une unité ... Tous traités avant de frapper le serveur de messagerie relativement petit.

entrez la description de l'image ici

Voir également: Lutte contre le spam - Que puis-je faire en tant qu'administrateur de messagerie électronique, propriétaire de domaine ou utilisateur?

ewwhite
la source
2
Intéressant, mais vous ne répondez pas à mes questions sur les listes grises. Et vos statistiques sans numéros de
listes grises
@ neu242 Le fait est que 1). Les listes grises ont des inconvénients connus, 2). ne peut pas être considérée comme une toute solution et 3). il existe de meilleurs moyens de détecter le spam à mesure que les processus ont évolué au cours des dernières années.
ewwhite
4
Les listes grises ne font bien sûr partie que de ma boîte à outils pour la prévention du spam. Ma configuration ressemble beaucoup à celle de @ MadHatter. Mais depuis que j'ai spécifiquement posé une question sur les listes de noms, je m'attendais à des réponses spécifiques.
neu242
1
@ewwhite: En fait, je ne vois pas en quoi ce n'était pas assez clair. Pour votre référence: j'ai vérifié l'historique des questions. Je n'ai vu aucun changement qui ait affecté cela de quelque façon que ce soit.
Jürgen A. Erhard
2
@ JürgenA.Erhard Vous êtes un peu en retard pour cela. Et votre post est grossier. Toute solution de filtrage anti-spam professionnelle mise en œuvre aujourd'hui ne doit pas reposer uniquement sur la mise en liste verte. Si vous avez d'autres préoccupations, consultez la question concernant le spam canonique de Server Fault ici .
ewwhite