Bye Bye Greylisting!
Seit zwei Wochen habe ich nun das Greylisting von einigen Mailservern entfernt. Schon im Mai habe ich beobachtet, dass die Wirksamkeit des Greylisting stark gesunken ist und die Spammer diese Hürde mit Bravour nehmen.
Die Statistiken geben mir Recht; es wird kaum mehr Spam als zuvor zugestellt – der Großteil der Mails wird bereits durch IP-Blacklists geblockt. Das was noch durchkommt wird vom SpamAssassin erkannt und markiert. Außerdem gibt es nun keine Verzögerungen bei Emails von Absendern, die das erste Mal eine Mail an einen auf dem Mailserver befindlichen Adressaten senden. Dies war ein großer Nachteil vom Greylisting, da häufig eine eben mal schnell losgeschickte Mail (z.B. während eines Telefongesprächs) mehrere Stunden unterwegs war …
Related posts:
- Spammer überwinden nun auch Greylisting Seit Längerem setze ich erfolgreich postgrey zum Greylisting mit Postfix ein. Bis heute. Die...
- The Spammer strikes back … Bereits seit gestern starten Spammer DDoS Angriffe auf die großen IP Blacklisten, auf denen sie...
- Angriff auf das SMTP Protokoll Seit einigen Tagen schon macht man als Postmaster eine erschreckende Feststellung: SMTP Verbindungen am eigenen...
- Howto: fetchmail Alternative getmail Bis vor Kurzem habe ich für das Abrufen meiner Mails von diversen POP3 & IMAP...
- Gute RBLs zur Spamabwehr mit Postfix Um der momentan wachsenden Spamflut Herr zu werden, nutze ich einige Realtime Blackhole Listen. Diese...
Moellus
Ich bin seeehr froh, dass es postgrey auf meiner Kiste gibt und möchte zur Zeit nicht darauf verzichten. =(
Mir leuchtet nicht ganz ein, weshalb das Pack dich derart nerven kann. Was gibt’s Neues, dass das Teil für dich unbefriedigend schuftet? Könnteste nochmal explainen, please?
Gruss aus Berlin!
matthias
Momentan bringt Greylisting nicht mehr so viel, wie es das früher tat. Viele Spammer haben Ihre Spam-Clients/-Bots dementsprechend umgestellt, dass sie die Spammail erneut versenden falls ein durch Greylisting erzeugter Fehler kommt. Somit kommen die bösen Mails nun letztendlich doch durchs Greylisting.
Dadurch bringt Greylisting nun mehr Schaden als Nutzen. Ich bekomme nicht deutlich mehr Spam, wenn ich mein postgrey deaktiviere.
Moellus
OKee – leuchtet ein.
Ich hatte angenommen, das würde noch ne Weile dauern …
Mal kieken.
Stephan
Das bestätigt meinen Verdacht – ich werde Dein posting unserem übergeordneten RZ mal empfehlen… wir hatten in den letzten Tagen einige Diskussionen über greylisting.
Im Moment nerven die Zeitverzögerungen sogar mehr als der Spam *seufz*
Stefan
Hmm, bei uns funktioniert das Greylisting noch wunderbar, aber diese Woche ist was schlimmes passiert: die 1. Spam-Mail seit 2 Monaten ist in mein Postfach durchgekommen
Klar haben Mails dann mal Verzögerung, aber mehr als 15m sind es bei mir nur seltenst. Außerdem kommt ja das Autowhitelisting zum Tragen, sodass dann die Mails sofort akzeptiert werden. Vielleicht mußt du daran mal drehen?
Der Graph zeigt doch nur gesendete und empfangene Mails, daran kann man nicht klar erkennen, ob es sich dabei um Spam handelt oder du tagsüber einfach viele aktive User hast.
matthias
Klar kann man das daran erkennen. Würde Greylisting noch so viel bringen wie früher, würde die empfangenen Mails deutlich mehr geworden sein.
Und das Drehen am manuellen Whitelisting macht bei 200+ Empfängerdomains keinen Spaß…
Stefan
Der Graph sagt nur aus, wie viele Mails gesendet und empfangen wurden, da gibts Du mir doch recht?
Tagsüber hast Du Spitzen, weil Deine User durch die Gegend mailen und sicherlich auch mehr empfangen; das allein sagt jetzt aber nicht aus, dass das Greylisting nicht mehr funktioniert.
Samstags und Sonntags ist fast garnichts los, das spricht eher dafür, dass die Spammer das Greylisting nicht überwunden haben – denn seit wann machen die am Wochenende Spampause? Allein aus den Graphen da oben kann man nichts ableiten, dazu bräuchte man noch die Rejects. Ich lasse mich da aber auch gerne belehren
matthias
Genau, es sind auch die Mails, die empfangen wurden. Also alle angenommenen Mails (auch Spam). Da sich die Rate aber nicht deutlich verändert hat, kommen nicht wirklich mehr Emails ins System. Würde das Greylisting so viel bringen und andere Antispam-Maßnahmen nicht greifen, müsste der Graph deutlich höher sein.
An dem Graphen kann man also sehen, dass es sich zum größten Teil um legitime Emails handelt, die in Geschäftszeiten gesendet werden. Spam, der auch nachts und am Wochenende gesendet wird, kommt gar nicht erst durch – wird also rejected.
Stefan
Heißt das, dass du erst in Woche 36 Greylisting aktiviert hattest?
Ansonsten überzeugt mich das nicht.
matthias
Ja, Anfang Woche 36 (rot umrahmt). Ist das denn so schwer nachzuvollziehen?
Stefan
Mußt du schon dazuschreiben, in der Disziplin “Raten an Graphen” hat nicht jeder eine Eins…
matthias
Was dachtest du denn sonst, was der rote Bereich darstellen soll?
Stefan
Fancy Deko? Keine Ahnung, wie gesagt, in der Disziplin “Raten an Graphen†hat nicht jeder eine Eins…
Schubert
Wir haben Greylsiting vor ein paar Tagen aktiviert.
SpamAssassin hatte pro Tag >= 670 mail als Spam ins Off geschoben. Ab Greylisting noch 4!!!! It is so amazing!!!
matthias
Greylisting ist nicht wirkungslos – nur erreicht man meiner Meinung nach mit gut abgestimmten IP Blacklists ein nahezu identisches Ergebnis ohne verzögerte _legitime_ Mails.
Tim 'avatar' Bartel
Ich kann dies nicht bestätigen – nur das Gegenteil.
Ich habe erst seit wenigen Tagen Greylisting im Einsatz, mit durchschlagendem Erfolg.
Aber vielleicht bekommen wir unterschiedlichen Spam
matthias
Ich vergleiche den Unterschied von Greylisting zu IP-Blacklists, du vergleichst den Unterschied von Greylisting zu nix (SpamAssassin zählt hier nicht, es greift erst, wenn die Mails bereits im System sind).
Der Unterschied zwischen Greylisting und der Nutzung von mehreren IP-Blacklists ist sehr gering und ohne Verzögerungen im Mailverkehr – daher für mich der momentan bessere Weg.
Tim 'avatar' Bartel
Das spricht dafür, dass ich mich mal näher mit IP-Blacklists beschäftigen sollte…
Maik
Unser Greylisting und das von ca. 15 Kunden funktioniert noch immer bestens, wenn wir 3 Spams pro Woche erhalten ist das schon viel. Für uns noch immer die beste und günstigste Lösung gegen Spam!!
matthias
Maik, schonmal IP Blacklists genutzt? Die funktionieren auch super
simple
Bei uns bringt Greylisting nach wie vor den gewünschten Effekt, mind. 50% weniger SPAM. Wir verwenden aber nicht die Standard-Greylisting-Period sondern mehr als 300 Sekunden…
Kostet nichts, funktioniert perfekt und “warten auf Mails” muss ich selten – ich habe ja meistens sonst noch viel zu tun.
Stefan
Das Problem an Blacklist ist doch, das es eine höhere HAM-Rate als beim Greylistung gibt. Ich bleibe lieber bei meinem Postgrey, die Verzögerung bei Erstkontakten kann ich gut wegstecken.
Stephan
Greylisting allein wird langfristig weniger effektiv sein. Deswegen braucht es eine Kombination von Greylisting, Greyscanning (dass die Zeit nutzt um Analysen der ‘hängigen’ Mails durchzuführen) und Greytrapping, dass Spammer über definierte Adressen anlockt und sie dann trapped, weil es eine massgeschneiderte Blacklist erzeugt.
Mit dieser Kombination können bis zu 99% des Spams aussondiert werden, ohne lästige False-Positives der Content-Filter. Der OpenBSD-basierte Spamd macht genau das.
Michael
Ich verwende eine Kombination Greylisting + Sperre von IP-Netzen die nix mit erwünschter Kommunikation zu tun haben. Der Erfolg scheint mir recht zu geben. Kaum mehr Spammails auf diesem Weg von ca. 4000 pro Tag auf geschätzt mal 4-5. Ich denke die Kombination machts.