Martin-Luther-Universität Halle-Wittenberg

Kaltgang im Maschinensaal des ITZ

Kontakt

Helpdesk

Telefon: 0345 55 21 888

Kurt-Mothes-Str. 1
06120 Halle (Saale)

Sie erreichen uns
Montag - Freitag von
9:00 Uhr - 15:00 Uhr

Weiteres

Login für Redakteure

Spambekämpfung mit Greylisting

Allgemein

Bereits seit Juni 2003 haben wir auf unseren Eingangs-Relays  (MAILGATE) die Funktion "Sender-Verify" aktiv, d.h. einzuliefernde E-Mails werden nur dann angenommen, wenn die auf dem Envelope/Umschlag angegebene Sender-Adresse syntaktisch korrekt ist und uns der zugehörige Domain-Inhaber/Provider auf die automatische Rückfrage die Gültigkeit der Adresse bestätigt. Leider sagen aber auch viele Mail-Provider "ja", obwohl es eine Mailbox für die nachgefragte Adresse dann doch nicht  gibt.
Trotzdem werden allein durch diese Maßnahme täglich bis zu 100000 E-Mail mit ungültigen Sender-Adresse sehr effektiv abgewiesen, zu 99,9999 Prozent Spam, der Rest ist wohl gutartig, die Ablehnung beruht auf fehlerhaft konfigurierten Mail-Systemen der Gegenseite.

E-Mails, bei denen als Envelope-Sender eine gültige Mailadresse angegeben ist, werden also durchgelassen, auch wenn der Sender gefälscht sein sollte. "Sender-Verify" kann dies nicht erkennen.

Seit 22. August 2004 ist nun eine weitere Funktion in Betrieb:
Durch das Verfahren Greylisting wollen wir versuchen, weitere Spam und Datenmüll abzuweisen.

Funktionsweise von Greylisting

Das Verfahren nutzt aus, dass Würmer und die meisten Spammer nur ein einziges Mal versuchen, eine E-Mail zuzustellen: Sie verwalten keine  Mail-Queue, aus der immer wieder neue Zustellversuche unternommen  werden, sondern gehen auch bei Misserfolg sofort zur nächsten E-Mail  über ("davon ist ja genug da"). Zudem wechseln sie auch häufig ihre  IP-Adressen, um ihre Herkunft zu verschleiern.

Das Greylisting-Verfahren ist vom Prinzip her sehr einfach, durch die Verwaltung der Informationen aller E-Mails in einer Datenbank über mehrere Wochen (über 1 Million Einträge) und der ständigen Suche darin wird es aber doch recht ressourcenfressend.
Greylisting wertet drei Informationen jeder gesendeten E-Mail aus:

  1. Die IP-Adresse des Mailservers, der die Mail einliefern möchte
  2. Die Sender-Adresse auf dem Envelope/Umschlag
  3. Die Empfänger-Adresse auf dem Umschlag
    (Erläuterung von Adress-Angaben auf Envelope/Umschlag und im Mail-Header: siehe z.B. mservmadr .)

Wenn nun diese Kombination zum ersten Mal auf den MAILGATEs  eintrifft, wird die Mail mit dem Code "451 Temporary local problem" o.ä. ("Bitte später noch einmal versuchen") abgewiesen. Dieses Verhalten ist standard-konform, bei z.B. Überlastung des Servers wird ein gleicher Ablehnungsgrund ("4xx") ausgegeben. Der Standard fordert, dass ein sendendes Mail-System den Zustellungsversuch nach einem sinnvollen Zeitintervall wiederholt: übliche Werte sind z.B. 15, 20, 30 oder 60 Minuten bis hin zu mehreren Stunden(!) bei großen Providern. Seriöse Mail-Server wiederholen den Versuch der Mail-Zustellung auch in solchen Intervallen (meist drei oder fünf Tage lang).

Die Kombination (Sender, Empfänger, IP-Adresse des einliefernden Systems) wird nun mit drei Zeitwerten für die nachfolgende Auswertung in eine spezielle Datenbank eingetragen:

block_expireEin erneuter Einlieferungsversuch vor Erreichen des Zeitintervalles wird blockiert (DOS-Attacke).
record_expireTritt innerhalb des Intervalls "block_expire ... record_expire" kein erneuter Einlieferungsversuch auf, verfällt der Datensatz wieder ("Eintagsfliege", z.B. Spam).
good_record_expireTritt innerhalb des Intervalls "block_expire ... record_expire" ein erneuter Einlieferungsversuch mit der Kombination (Sender, Empfänger, IP-Adresse des einliefernden Systems) auf, wird die Mail wie gewohnt zugestellt und das Tripel für den Zeitraum "good_record_expire" als bekannt/erlaubt eingetragen. Bei jeder weiteren Zustellung in dieser Kombination wird der Eintrag auf den Wert von "good_record_expire" verlängert (gutartige E-Mail).
Ein hoher Wert "36 Tage" sichert, dass z.B. eine Mailing-Liste, die nur 1-mal im Monat sendet, nur beim ersten Mal verzögert wird, danach aber immer sofort durchgelassen wird (weil die 36 Tage nach jedem Durchlass neu beginnen zu zählen).

Anwendung an der Martin-Luther-Universität

Durch Greylisting werden alle Mail-Einlieferungen abgeblockt, die nur  einen Zustellversuch unternehmen. Dies sind Spammer und Würmer, da  seriöse Mail-Server eine Queue unterhalten, aus der sie mehrere Versuche  unternehmen (bzw. unternehmen sollten, siehe oben).

  • Greylisting wird nur auf von außen einkommende E-Mail angewendet.
    Ausgenommen sind sendende Mail-Server auf einer internen sogenannten  "Whitelist". So sind z.Z. die IP-Adressen der Mail-Server großer  Provider wie z.B. "web.de", "t-online.de", "t-online.com", "aol.com",  "gmx.de", "gmx.net", ...., die als seriös gelten können, freigeschaltet,  so dass es mit diesen Mailservern zu keinen Verzögerungen kommt.
    (Bitte Mail-Server von T-Online ff. nicht verwechseln mit dem einfachen Internet-Zugang des Providers. Gerade am einfachen Internet-Zugang verbundene PCs treten sehr oft massiv als Spam-Schleuder auf!)
  • Greylisting läuft auf den MAILGATEs NACH der Funktion  "Sender-Verify", es behandelt also nur noch solche "nur einmal gesendete  E-Mails", die eine gültige Sender-Adresse haben.
    Die Erfolgsquote durch Greylisting erreicht auch bei uns bis zu 70% Spam-Abwehr (wie andere Einrichtungen berichten), obwohl die Hauptarbeit  bereits durch unser "Sender-Verify" geleistet wird. Greylisting ist so  nur eine Zusatzmaßnahme.
  • Es sind auf den MAILGATEs folgende Zeitwerte eingestellt:
block_expire5 Minuten
record_expiremind. 12 Stunden
good_record_expire36 Tage

d.h.:
Wird nach einer abgelehnten Ersteinlieferung innerhalb der nächsten 5 Minuten noch einmal versucht, wird weiter geblockt ("Attacke").
Wird innerhalb der ersten zwöf Stunden der zweite Einliefungsversuch unternommen (ein vernünftig konfigurierter Mailserver tut dies), wird die Mail sofort durchgelassen und die Kombination für weitere 36 Tage freigeschaltet.

Probleme

Es hat sich gezeigt, dass leider auch die Mailserver kleiner und  grosser seriöser Einrichtungen "seltsam" bzw. fehlerhaft arbeiten, so  dass E-Mail von diesen Institutionen unser Greylisting nicht überwinden  kann. Die häufigsten Probleme sind:

  • Der sendende Server macht - unabhängig vom Ergebnis - prinzipiell nur einen Zustellversuch pro Mail.
    D.h. dann z.B. auch:
    Wenn wir - auch ohne Greylisting - etwa für nur einige Sekunden vom Netz sind und der Server genau in dieser Minute sendet, ist die Mail ersatzlos verschwunden.
  • Der sendende Server überträgt zwar, wartet aber unsere Antwort "Bitte warten und noch einmal senden" nicht ab, sondern löscht sofort bei sich, auch ohne das OK unseres Mailservers für eine erfolgreiche Übertragung zu haben.
  • Manche Server machen die Wiederholungsversuche in sehr großen Abständen: sie versuchen nur in > 12 Stunden. Wir haben schon einen Abstand von 69(!) Stunden zwischen zwei Zustellversuchen beobachtet. Auch hier bedenke man die Folgen:
    Wenn wir - auch ohne Greylisting - etwa für nur einige Sekunden vom Netz sind (das kann immer mal sein) und der Server genau in dieser Minute sendet, wird die Mail erst nach 69 Stunden erneut gesendet, d.h. erst nach knapp 3 Tagen!

Inzwischen pflegen wir manuell eine große Liste von Ausnahmen, in die  alle Server aufgenommen werden, die sich seltsam "benehmen".

  • Haben Sie die Vermutung, dass eine E-Mail eines seriösen Absenders nun wider Erwarten nicht mehr ankommt, melden Sie sich mit bitte mit Angabe des Absenders (Absender-Adresse), des Empfängers und des Sendezeitpunktes.
  • Wir ermöglichen auch das Whitelisting von Empfänger-Adressen:
    Falls Sie das Greylisting für Ihre Mailadresse explizit nicht wünschen, schreiben Sie bitte eine formlose Mail an uns.

PreWhitelisting

Seit Anfang März 2005 ist das Greylisting durch die Zusatzkomponente PreWhitelisting erweitert:

  • Für (fast jede) nach außen gesendete E-Mail wird in der Verbindungs-Datenbank ein "whitelisted entry" mit vertauschtem Absender und Empfänger eingetragen ("prewhitelisted"), so dass eine Antwort innerhalb einer vernünftigen Zeit auf diese E-Mail ohne Greylist-Timeout sofort durchgelassen wird. Voraussetzung ist natürlich, dass in der Antwort-Mail als Absender auch wirklich die Empfänger-Adresse der eingegangenen E-Mail verwendet wird.
  • Es sind folgende Zeitwerte eingestellt:
prewhitelist_block_expire1 Minute
prewhitelist_record_expire24 Stunden
prewhitelist_record_expire_good20 Tage

weitere Informationen (Englisch)

The Next Step in the Spam Control War: Greylisting:
http://projects.puremagic.com/greylisting/   

Zeitschrift "iX" (Heise Verlag):
Roland Völker: Mit Greylisting gegen Spam vorgehen
Heft 12, Dezember 2004, S. 94 - 98

http://www.greylisting.org/       

Zum Seitenanfang