TU Chemmnitz

Universitätsrechenzentrum
TU Chemnitz > URZ > Zeitung > Ausgabe 3/2004

Greylisting - Neue Spamschutz-Maßnahme

Zum Schutz vor Spam-Mails ist eine neue und momentan wirksame Methode im Einsatz - Greylisting. Der Artikel beschreibt Funktionsweise und erste Erfahrungen.

Greylisting ist eine neue, effektive Methode zur Abwehr von unerwünschter Massenmail (Spam). Sie wird bereits vor dem Empfang des E-Mail-Inhaltes (im SMTP-Dialog) angewendet. Details sind beschrieben in The Next Step in the Spam Control War: Greylisting - http://projects.puremagic.com/greylisting/ von Evan Harris.

Für Ihre E-Mail-Adressen wird seit 29.4.2004 Greylisting angewendet, wenn Sie den automatischen Schutzfilter "Spamschutz Administrator" eingeschaltet haben - siehe http://www.tu-chemnitz.de/urz/mail/filter/.

Funktionsweise im Überblick

Bei einem Mail-Zustellversuch erhält der Mail-Server drei Informationen:

Diese werden als Tripel mit einem Zeitstempel in einer Datenbank abgespeichert.

Ist dieses Tripel unbekannt, wird die Annahme der E-Mail für eine Weile mit temporärem Fehler abgewiesen. Ist das Tripel schon bekannt, wird die E-Mail wie gewohnt angenommen (und evtl. weitere Schutzfilter werden angewendet). Dazu wird das Tripel mit langer Gültigkeit versehen, so dass ein weiterer E-Mail-Austausch sofort ohne Verzögerung passiert.

Dieser Algorithmus hat folgende Auswirkungen:

Parameter an der TU Chemnitz

An den Mail-Relays der TU Chemnitz verwenden wir die Implementation für Exim von Alun Jones, University of Wales, Aberystwyth - http://users.aber.ac.uk/auj/spam/ - mit folgenden Parametern:

Werden über einen Mail-Server sehr viele E-Mails ordnungsgemäß eingeliefert, wird dessen IP-Adresse automatisch auf eine Whitelist gesetzt, so dass von diesem keine Verzögerungen mehr auftreten.

Erste Erfahrungen

Das Spam-Aufkommen hat sich seit Einführung von Greylisting deutlich verringert, was viele unserer Benutzer sehr begrüßen. Die wenigen trotzdem durchkommenden Spams können wieder gezielt "behandelt" werden. Gerade auch bei den massenhaft auftauchenden E-Mail-Würmern hilft dieses System hervorragend.

Problematisch kann die initiale Wartezeit sein. Durch das automatische Mitlernen des Systems über die Whitelists entschärft sich dieses Problem jedoch. Dies unsere Statistik:

Greylisting-Statistik

Man sieht, dass nach einer "Trainingsphase" mit relativ vielen verzögerten Mails das Verhältnis von unverzögerter zu verzögerter Zustellung günstiger wird - viel mehr E-Mails werden sofort angenommen.

Konkretes Beispiel: Am 6. Juli 2004 gab es 40586 Zustellversuche, die abgewehrt wurden. 26555 E-Mails wurden sofort, 7502 E-Mails wurden mit einer Verzögerung zugestellt. Was nicht in diesem Diagramm sichtbar ist: Von diesen insgesamt 34057 angenommenen E-Mails wurden dann 1224 Nachrichten durch den "Spamschutz Textanalyse" als Spam erkannt. Durch andere automatische Schutzfilter, insbesondere "Spamschutz RBL", wurden an diesem Tag bereits 72257 E-Mails abgewiesen, bevor Greylisting diese Mails "zu Gesicht" bekam.

Reguläre Mail-Server, die entgegen dem Standard kein erneutes Versenden versuchen (z.B. Yahoo Groups), übernehmen wir in eine manuell gepflegte Whitelist. Falls Sie Zustellprobleme bemerken, wenden Sie sich bitte an den URZ-Helpdesk.

Für Mails, die an eine Adresse eines Online-Dienstes (wie web.de, GMX o.ä.) gesendet und von dort an die TU-Adresse weitergeleitet wird, funktioniert Greylisting natürlich nicht, da diese Mails dann ja nicht von der "Original-Quelle" kommen. Bitte verwenden Sie in diesem Fall die Spamschutz-Filter des jeweiligen Anbieters.

Weitere Informationen: http://www.tu-chemnitz.de/urz/mail/filter/greylist.html

Frank Richter, Juli 2004