Greylisting

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Greylisting (nebo graylisting) je metoda bránicí uživatele e-mailu proti spamu. Mail transfer agent (MTA) bude greylistingem "dočasně odmítat" všechny e-maily od odesílatele, které nerozezná. Pokud je pošta ověřena z pocházejícího serveru, pokusí se jí poslat znovu a po uplynutí dostatečné doby bude e-mail přijat.

Jak to funguje[editovat | editovat zdroj]

Použití greylistingu na serveru záměrně kazí poštovní službu během krátké doby při neznámých nebo podezřelých zdrojů. Typicky zaznamenává tři kusy dat pro každou příchozí poštu, známé jako "triplet":

  • IP adresu připojeného hostitele
  • Obálku adresy odesilatele
  • Obálku adresy příjemce(ů), nebo jen první z nich.

Tato data jsou zapsána na poštovním serveru v interní databázi spolu s časovou známkou jejich prvního výskytu. E-mailová zpráva bude zamítnuta s dočasnou chybou, dokud nakonfigurovaná lhůta neuplyne, obvykle je to několik minut nebo malý počet hodin. Přechodné chyby jsou definovány v Simple Mail Transfer Protocol (SMTP) jako 4xx kódy odpovědí: Od plně schopných SMTP implementací se očekává, že udrží fronty pro opakování přenosů zpráv v takových případech. Pokud odesilatel se ukázal schopný správně a opakovaně doručovat, bude na bílé listině na delší dobu, aby budoucí pokusy o doručení nebyly přerušené. Například greylister může vyžadovat pokus o úspěšné doručení oproti registrovanému tripletu, který existuje ne-méně jak 25 minut po registraci a ne-více jak 4 hodiny po ní. Opakované pokusy o doručení před 25. minutovou periodou budou ignorovány se stejným 4xx kódem odpovědi. Po 4 hodinách triplet vyprší, takže pokusy o doručení se zaregistrovávají znovu. Když greylister vidí pokus v rozmezí okna 25 minut - 4 hodin, bude připojení hostitele přidáno na bílou listinu po dobu 36 dnů.

Dočasné odmítnutí může nastat v různých fázích dialogu SMTP, umožňující uskutečnit ukládání více či méně dat o příchozí zprávě. Kompromisem je více práce a šířka pásma pro přesnější přiřazování pokusů z původní zprávy. Odmítnutí zprávy poté, co jeho obsah byl obdržen, umožňuje serveru ukládat výběr záhlaví a/nebo hash těla zprávy.

Kromě odesílatelů na bílé listině může greylister stanovit výjimky. Greylisting může být obecně přepsán plně ověřeným spojením TLS s odpovídajícím certifikátem. Vzhledem k tomu, že velcí odesílatelé často mají k dispozici stroje, které můžou odeslat (a opakovaně odeslat) e-mail a IP adresy, které mají nejvíce-významných 24 bitů (/24) stejné, jsou klasifikovány jako ekvivalent nebo v některých případech jsou SPF záznamy použity k určení odesílatelské skupiny. Podobně některé e-mailové systémy používají unikátní před-zprávu zpáteční-trasy, například variable envelope return path (VERP) pro poštovní seznamy, Sender Rewriting Scheme pro předání e-mailem, Bounce Addressa Tag Validation pro ochranu zpětného rozptylu, atd. Pokud je potřebná přesná shoda adresy odesílatele, každý e-mail z těchto systémů bude mít zpoždění. Některé Greylisting systémy se snaží vyhnout zpoždění tím, že odstraní variabilní části z VERP pouze pomocí domény odesílatele a začátku lokální části adresy odesílatele.

Proč to funguje[editovat | editovat zdroj]

Greylisting je efektivní, protože mnoho e-mailových nástrojů používané spammery, neřadí do fronty a znovu se nepokouší o doručování pošty, jak je to běžné pro standardní Mail Transport Agent. Nemají fronty a odesílání e-mailu jako toto, vyžaduje výdaje zdrojů (spamming obvykle pracuje na velmi úzkém okraji). Vzhledem k nástupu Greylistingu, spammeři začali znovu používat své poštovní doručovací nástroje k odeslání stejného e-mailu znovu, aniž by museli vynaložit zdroje spojené s řízením fronty e-mailu. Tento přístup stále po nich vyžaduje vynaložit dodatečné zdroje na přeposílání e-mailu podruhé. Od roku 2011 spammeři používají tuto techniku již řadu let.

Odložení dodávky je rovněž poskytnuto real-time Blackhole Lists a podobnými časovými listy, aby rozeznali a označili zdroj spamu. Proto tyto následné pokusy jsou více pravděpodobné, že budou detekovány jako spam pomocí jiných mechanismů, než byly před Greylisting zpožděním.

Výhody[editovat | editovat zdroj]

Hlavní výhodou z pohledu jednotlivých uživatelů je to, že greylisting nevyžaduje žádnou další konfiguraci z jejich strany. Pokud server využívá greylisting, je správně nakonfigurován, konečný uživatel pouze zaznamená zpoždění na první zprávě od daného odesílatele, tak dlouho, jak trvá identifikace poštovního serveru odesilatele podle dřívějších zpráv, že tento server patří do stejné skupiny na bílé listině. Pokud je pošta od stejného odesílatele opakovaně greylistována, může být dobré kontaktovat na mail správce systému s podrobnými hlavičkami zpožděné pošty.

Z pohledu e-mailového správce jsou přínosy dvojí. Greylisting trvá minimální dobu nakonfigurovat a rozběhnout s občasnými úpravami všech místních Whitelistů. Druhou výhodou je, že odmítnutý e-mail s dočasnou chybou 451 (aktuální chybový kód, je závislý na implementaci) je velmi levný na systémové zdroje. Většina z filtrovacích nástrojů na spamy jsou velmi nákladné na uživatelské CPU a paměť. Mnohem méně systémových zdrojů je použito, když se spam zastaví před tím, než je prověří filtrovací procesy. Tento postup umožňuje více vrstev filtrování nevyžádané pošty nebo vyšší propustnost, protože greylisting lze snadno konfigurovat jako první linii obrany s heuristickým filtrem jako je SpamAssassin, přes který se uskutečňuje zpracování zpráv.

Greylisting je zvláště účinný v mnoha případech na třídění nesprávně nakonfigurovanými MTA, a proto získává na popularitě jako velmi efektivní proti spamový nástroj. Je pravděpodobné, že tyto MTA, které nesprávně řeší zpracování greylistingu, budou méně početná než rozšíření Greylistingů.

Některé Greylisting balíčky podporují SQL backend, který umožňuje být nasazen se stejnými Greylisting údaji o všech nadstavbách, pro distribuované multi-servery.

Nevýhody[editovat | editovat zdroj]

Opožděné doručení a jejich následky[editovat | editovat zdroj]

Největší nevýhodou Greylistingu je ta, že pro neznámé servery ničí téměř okamžitou povahu e-mailu, který uživatelé očekávají. Zprávy z neznámých serverů jsou obvykle zpožděny o asi 15 minut a mohou být odloženy až na několik dnů. Zákazník, Greylisting ISP, nemůže vždy spoléhat na získání každého e-mailu v předem stanovenou dobu. Tato nevýhoda je zmírněna tím, že v blízkosti okamžitého doručení pošty je obnovena, jakmile server byl uznán a je obecně udržována automaticky tak dlouho, jak uživatelé pokračují ve výměně zpráv. Nicméně, tato nevýhoda je obzvláště viditelná, když uživatel Greylistingového poštovního serveru se pokouší obnovit své pověření na web, který používá e-mailové potvrzení o obnovení hesla. V extrémních případech zpoždění dodávky uložené greylisterem může překročit uplynutí doby tokenu pro obnovení hesla v doručeném e-mailu. V těchto případech může být požadován manuální zásah na bílou listinu poštovního serveru webových stránek tak, že email obsahující resetovací token lze použít před skončením její platnosti.

Sendmail, jeden z (ne-li ze všech) nejplodnějších internetových mailově transportních agentů, jeho výchozí interval opakování je 15 minut. Obecně je toto maximální doba zpoždění, které e-mail bude mít. Zkušení administrátoři systémů pro e-mailové systémy by měli vyladit své nastavení poštovního systému na rozumné hodnoty, aby největší zpoždění nedosahovalo několika hodin nebo více od Greylisting systémů vznikajících při komunikaci s nedostatečně nastaveným zasílajícím systémem.

Původní specifikace pro e-mail uvádí, že tu není garantován doručovací mechanismus a ani mechanismus pro okamžité doručení. To znamená, že greylisting je naprosto legitimní proces a neporušuje žádné protokoly nebo pravidla. Vysvětlovat to pro uživatele, kteří si zvykli na okamžité doručování e-mailů, nebude patrně přesvědčivé, že poštovní server, který používá greylisting se chová správně.

Moderní Greylisting aplikace (jako je Postgrey) automaticky whitelistují odesílatele, kteří se ukáží být samy schopny se zotavit z dočasných chyb. Všimněte si, že je to bez ohledu na údajné "míře spamovatelnosti" o odesílateli.

Když je poštovní server greylistován, trvání času mezi počátečním prodlením a přeposláním je variabilní. Některé poštovní servery používají výchozí čtyři hodiny, i když většina bude opakovat dříve. Většina open-source MTA mají pravidla nastavená na doručení kolem patnácti minut (Sendmail výchozí je 0, 15, ..., Exim Výchozí hodnota je 0, 15, ..., Postfix Výchozí hodnota je 0, 16,6, ..., Qmail výchozí hodnota je 0, 6:40, 26:40, ..., Courier výchozí hodnota je 0, 5, 10, 15, 30, 35, 40, 70, 75, 80, ... Microsoft Exchange výchozí hodnota je 0, 1, 2, 22, 42, 62 ..., e-mailové služby Momentum výchozí hodnoty jsou 0, 20, 60, 100, 180, ...). Vskutku, SMTP říká, že opakovací interval by měl být alespoň 30 minut, přičemž čas k zahození by měl být alespoň 4-5 dny.

Odkazy[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku Greylisting na anglické Wikipedii.

Externí odkazy[editovat | editovat zdroj]