web-dev-qa-db-ja.com

グレイリストはスパムを防ぐための効率的な方法ですか?

私のサーバーでは greylisting を何年も使用していますが、今日の効果がどれほどかはわかりません。

2012年のスパム対策にはまだ良いのでしょうか?

または、典型的なスパマーMTAは、グレーリストに登録された電子メールを再送信できますか?

smtpemail-serverspamgreylisting
50
neu242

2019年更新:条件付きグレイリストが最善のトレードオフです

忙しいメールサーバーで長い間すべてのメールにグレイリストを使用した後、私はそうするのをやめました。ハムメールを不必要に遅らせます。これは、アカウントのアクティベーションリンクが設定されたメールでは特に煩わしいものです。クラウドメーラーでホワイトリストに登録する必要のある深刻な問題が発生します(詳細は以下の回答に記載)。すべてのメールをスパムフィルターに渡す前にグレーリストに登録することのもう1つの欠点は、学習スパムフィルターが、グレーリストがフィルターで除外した簡単なスパムをすべて知る機会を逃してしまうことです。

すべてのメールをグレーリストにする代わりに、スパムフィルター(rspamd、私は強くお勧めします)を使用して、クリアハムとクリアスパムの間にスパムスコアがあるメールのみをグレーリストに登録します。このようにして、ハムメールはほとんど遅れません。一方、グレイリストにヒットしたスパムメールは、サーバーが2回目に試行したときにスパムとして検出されることがよくあります。これは、スパムがブラックリスト(RBL、URIBL)とファジーフィルターでよく知られ、スコアが高くなるためです。

そのため、スパムかハムか不明なメールはグレーリストに入れることをお勧めします。時間は本当にスパムフィルターが不明確なケースを解明するのに役立ちます。

2018年の元の回答:

私はいつもグレイリストの大ファンでした。これらの理由により:

  • スパムをマークするだけでなく、ブロックします。
  • ドイツでサービスプロバイダーとして使用することは合法です(受信後にスパムメールを削除する場合とは異なります)。
  • シンプルで効果的です。
  • 受信メールサーバーではなく、スパマーに負荷を追加します。したがって、スパマーがあなたのグレイリストを介してそれを作るかもしれないとしても、あなたは彼らのマシンをより強く働かせるので、彼らは合計でより少ないスパムを送ることができます。
  • IPベースのRBLなどとは異なり、正規のメールはほとんどブロックされません。
  • 遅延が発生しますが、頻繁な連絡先のクライアント(送信サーバー)をホワイトリストに登録し、本当に最小限の遅延でメールを必要とする受信者をホワイトリストに登録できます。 Spamassasinのようなスパムフィルターをすべてのメール(グレイリストなし)で直接使用すると、正当なメールにも遅延が生じる可能性があることに注意してください。一部のスパマーはサーバーに非常に多くのメールを送信し、スパムフィルターが過負荷になります。したがって、それは、さらなる着信メールの送信サーバーに一時的な障害(例:451)を送信します。これは、グレーリストと同じ効果を引き起こします。つまり、ホワイトリストはそれほど簡単ではないことを除いて、メールが遅延します。もちろん、スパマーが持つあらゆるパワーに対応するクラウドスパムフィルターを使用することもできますが、その方がコストが高くなる可能性があります。
  • 限定的またはメンテナンス不要。時間の経過とともに更新および変更する必要があるブラックリストはありません。更新する必要のあるパターンベースのルールはありません。

しかし、残念ながら、私の統計では、今年はグレーリストの効果が次第に低下していることがわかります。遅延メッセージの量は、実際にはグレーリストに登録されたメッセージの量にかなり速く近づきます。つまり、ブロックされるスパムの量は減少しています。

昨年(365日)に、グレーリストに登録されたメッセージの55%が最終的にグレーリストに登録され、45%がブロックされました。

メールグラフ統計年

mailgraph stats year

このグラフには、メールグラフの構成エラーのためにグレーリストに登録されたメッセージがカウントされず、遅延したメッセージのみがカウントされた時間枠が含まれていることに注意してください。つまり、この計算は遅延メッセージを少し過大評価し、実際にはブロックされたメールがもう少し多いことを意味します。

先月、64%が遅延し、36%がブロックされました。

メールグラフ統計月間

mailgraph stats month

先週、75%が遅れ、25%がブロックされました。

メールグラフ統計週

mailgraph stats week

さらに、ブロックされたメッセージの合計量を見ると、今月、グレイリストは4 411メッセージをブロックしましたが、Amavisd(spamassasin)は22 763メッセージをブロックしました。つまり、グレイリストによってブロックされるのはスパムの16%だけで、残りはamavisdによってブロックされます。

さらに、ますます多くのクラウド送信プロバイダーが、数百のIPアドレスの束から送信します。彼らは別のIPからの各送信の試みを試みます。したがって、グレイリストはこれらのメールを数日間ブロックする可能性があります。したがって、「良い」メールプロバイダーをすべてホワイトリストに登録する必要があります。これにより、新しいメンテナンス作業が導入されます。

私はいつもグレーリストの大ファンでしたが、悲しいことに、効果が次第に低下しているのがわかります。スパムをあまりブロックせずに、メールの14%だけを不必要に遅らせ始めているので、すぐに無効にすると思います。

ミスリーディング統計

私(およびあなた)の統計でブロックされたメールの量も、誤解を招く可能性があります。まだホワイトリストに登録されていない大きなクラウドメールプロバイダー(Microsoftの* .outbound.protection.Outlook.comなど)から送信された1つのメールを見てみましょう。最初の試行は失敗します。 2番目と3番目の送信の試行は他の2つのサーバー(IP)から行われるため、トリプレットが一致しないため、失敗します。これで、4番目の試行は最初のサーバーから再度行われ、成功します。これは、1つの遅延送信と4つのグレーリストメッセージとしてカウントされます。上記の私の計算では、1/4 = 25%のグレーリストメッセージが遅延し、3/4 = 75%がブロックされたことが示されます。しかし、実際には、ブロックされたメッセージは1つもありませんでした。現在、これらのメールプロバイダーのサーバーをホワイトリストに登録しているため、これらのサーバーはグレーリストに登録されません。何が起こるかは、グレーリストに登録されたメッセージの量が、遅延したメッセージの量よりも多くなることです。これは、私たちが計算するブロックされたメッセージの量が減少することを意味します。しかし、ブロックされたメッセージの数が減ったことは事実ではありません。

実際、2017年2月以降に行ったことは、グレイリストによる長い遅延の問題に対処するために、ホワイトリストにクラウドメールプロバイダーを追加することです。これが説明するかもしれません(一部?)、なぜ私が計算したブロックされたメールの量が急速に減少しています。だから、たぶん、グレイリストがたくさんのスパムをブロックしている間ずっと考えているだけですが、ブロックされているスパムの量はずっとずっと少なかったので、誤って計算されただけです。したがって、統計を解釈するときは注意してください。

9
Christopher K.

私は最後に、今年(2012年)の7月にこれを量的に見ました。 7月に、私のメールサーバーは約46,000回のメール配信試行を受信しました。それらのうち、約1,750件が返され、グレーリストによって許可されました(有効な送信者ドメイン、SPF、およびその他のコンテンツベース以外のテストに合格しました)。これらのうち、約1,500が私のコンテンツベースのフィルタリングによってフィルタリングされました。

これらの44,250通の電子メールがスパムであると仮定すると(それらはグレイリストを通過できなかったため、それは公正な仮定だと思います)、グレイリスト化がなければ、コンテンツベースのフィルターは1,750ではなく46,000通のメールを処理する必要があったでしょう。

コンテンツベースのフィルタリングの負荷が25倍に増加すると、CPUとメモリをより多く必要とします。その結果、余分な電力消費(そしておそらくサーバーのサイズ)のため、毎月のホスティングコストが増加します。

要するに、最後に私が数えたとき、そうです、グレイリストは非常に非常に理にかなっています完全なスパムフィルタリングシステムの一部として。私は過去数週間にクライアントのためにそれをアクティブにしました、そしてすべては非常に彼らのコンテンツベースのフィルタリングシステムの負荷の減少にも満足しています。

編集:時間の経過とともに効果が低下するかどうかについての質問には答えていません。私がそれをオンにしたとき、2006年後半に、当時の私の推定では、スパムの約95%がフィルターで除去されていた。 46,000の割合としての1,750は約4%なので、私のデータでは、その期間にわたって効果が低下しないことを示唆しています。

55
MadHatter

スパムボットは通常、メッセージのキューイングをまだ行いませんが、グレイリストを無効にするために数分遅れてすべての受信者にスパムを2回送信するだけのものもあります。また、今日では、spambotからのスパムはもはや本当の問題ではなく、侵害されたyahooアカウントなどからのスパムを捕らえることははるかに困難です。

その観点から、グレイリストは以前ほど効果的ではありません。他のスパム対策技術と組み合わせても、それは役立ちます。たとえば、ドメインがスパムキャンペーンの「最初のバッチ」に含まれることが多い場合、グレイリストはドメイン/ IPブラックリストが追いつくのに十分な時間メッセージを遅らせるのに役立ちます。スパムは最初の接続試行でフィルターをすり抜けてしまい、2回目の試行で検出される可能性があります。

8
Gryphius

正接の問題として、私はその有効性を測定することができずにグレイリストのような技術を展開した立場にいるのが好きではありません。 Debianでは、postfixをMTAとして、postgreyをグレーリストポリシーエンジンとして、apt-get install mailgraphは、承認されたメールと拒否されたメールの簡単なグラフを取得します。 Mailgraphは少し古い学校で、完全にスタンドアロンですが、機能し、そのデータまたは技術は、より複雑な最新の監視システムに簡単に統合できます。

5
Paul Gear

レピュテーションベースのメールフィルターを取得します。グレイリストは少しold-schoolであり、包括的なソリューションではありません。 (スパマーの観点からの)回避策と 予測不可能なメール配信時間 がユーザーにあります...

フィルタリングをクラウドサービスに外部委託するか、そのようなリストにアクセスでき、スパムを検証する他の方法を備えたアプライアンスを購入します。私の推奨事項は、通常 アプライアンス または クラウドフィルタリングソリューション のバラクーダです。どちらのオプションにも、規模の経済とより包括的なソリューションを提供する成熟したヒューリスティックがあります。

クライアントのバラクーダスパムフィルターによる2012年9月のレポートの1つを見ると、98,457通のメッセージのうち、1,623が受信者が悪いためにメールサーバーに到達する前にカットオフされました...34,488は次のようにブロックされましたSPAM。 96questionableメッセージのみが通過しました。 SPAMとして評価されたものは、評判、スコア、意図、3つのRBL、 ベイジアンフィルタリング 、およびカスタムルールセットの組み合わせでした。オールインワンユニット...比較的小さなメールサーバーに到達する前にすべて処理されます。

enter image description here

以下も参照してください: ファイティングスパム-何ができるか:電子メール管理者、ドメイン所有者、またはユーザー?

3
ewwhite