Erfahrungen mit Greylisting

[Roger Wilco]

Und aus welchem Grund?

5% erwünschte E-Mails bedeuten im Umkehrschluss 95% unerwünschte E-Mails (nennen wir es verallgemeintert einfach mal Spam). Die Absender der Spam-Mails benutzen mit Sicherheit nicht die korrekten Absenderdaten, sondern faken diese. Wenn nun sagen wir einfach mal grob 10 Millionen E-Mails mit gefälschter Absenderadresse eines real existierenden MTA an rund 100000 Mailserver verschickt werden (nennen wir es einfach mal Joe Job) und dann jeder dieser 100k Mailserver einen oder mehrere (bei fehlerhafter/unoptimaler Konfiguration) Sender Verification Callouts rausschickt, haben wir eine schöne DDoS-Attacke auf einen eigentlich völlig unbeteiligten Server.

Das sehe im übrigen nicht nur ich so, sondern auch andere Postmaster. Bei Postfix wird unter http://www.postfix.org/ADDRESS_VERIFICATION_README.html sogar ausdrücklich am Anfang davor gewarnt. Außerdem kannst du dich, eben wegen Greylisting oder auch wegen "legitimer" temporärer Fehler, nicht auf das Ergebnis verlassen, so dass du auf die Prüfung auch gleich verzichten kannst.

Ja, aber da viele "Administratoren ihre Mailserver nicht richtig konfigurieren ist mir einfach das Risiko zu hoch, dass die falschen im Greylisting landen.

Der Absender erhält immerhin eine Meldung darüber, dass seine E-Mail nicht zugestellt wurde. Dein MTA sollte dann noch eine sinnvolle Meldung ausgeben und klarmachen, dass die E-Mail nur temporär nicht angenommen wurde.

Das ist bitte nicht dein ernst? Ich hoffe du administrierst keine kritischen Systeme. Gentoo hat auf nem Server, bei dem es um Verfügbarkeit und Stabilität geht nichts zu suchen.

Unsinniger Flame. Gentoo ist durchaus auch auf Produktivsystemen zu gebrauchen. Es kommt eben auf den Admin an und wie gut dieser mit dem System zurecht kommt. Aber dazu gibt es schon mehrere Beiträge in diesem Forum. Bitte nutze die Suchfunktion.

[beanie]

Wenn man Dienste richtig konfiguriert, wie halt Greylisting, dann kommen auch die Mails ohne Zeitverzögerungen an.

Eben nicht, es kommt auf die Konfiguration des Mailservers an der die Mails bei dir zustellen möchte. Ich hatte eben schon den Exchange-Admin erwähnt. Er war eben der Überzeugung, dass sein System perfekt konfiguriert ist (was es aber nicht war, z.B. war sein EHLO "localhost"....) so ist er im Greylisting gelandet hat aber nicht versucht die Mail ein zweitesmal zuzustellen. In solchen Fällen kann dein System perfekt konfiguriert sein wie es will. Wenn du nen Idioten gegebüber hast bist du eben machtlos.

Das ist bitte nicht dein ernst? Ich hoffe du administrierst keine kritischen Systeme. Gentoo hat auf nem Server, bei dem es um Verfügbarkeit und Stabilität geht nichts zu suchen.

Mit welcher Begründung triffst du diese Aussage?

Ich bin mal so frei und verlinke einen Blog-Eintrag [1]. Er trifft zu 90% zu.
Gentoo ist sehr geil für den Desktop, hat aber meiner Meinung nach auf einem Produktivsystem überhaupt nichts zu suchen.


[1] http://www.tomvergote.be/writings/Linux ... nment.html

Grüße
Benjamin

[beanie]

Und aus welchem Grund?

5% erwünschte E-Mails bedeuten im Umkehrschluss 95% unerwünschte E-Mails (nennen wir es verallgemeintert einfach mal Spam). Die Absender der Spam-Mails benutzen mit Sicherheit nicht die korrekten Absenderdaten, sondern faken diese. Wenn nun sagen wir einfach mal grob 10 Millionen E-Mails mit gefälschter Absenderadresse eines real existierenden MTA an rund 100000 Mailserver verschickt werden (nennen wir es einfach mal Joe Job) und dann jeder dieser 100k Mailserver einen oder mehrere (bei fehlerhafter/unoptimaler Konfiguration) Sender Verification Callouts rausschickt, haben wir eine schöne DDoS-Attacke auf einen eigentlich völlig unbeteiligten Server.

Das sehe im übrigen nicht nur ich so, sondern auch andere Postmaster. Bei Postfix wird unter http://www.postfix.org/ADDRESS_VERIFICATION_README.html sogar ausdrücklich am Anfang davor gewarnt. Außerdem kannst du dich, eben wegen Greylisting oder auch wegen "legitimer" temporärer Fehler, nicht auf das Ergebnis verlassen, so dass du auf die Prüfung auch gleich verzichten kannst.

Da hast du allgemein natürlich Recht. Aber ich muss es ja nicht als ersten Check anwenden. Nur als kleines Beispiel: Ich hab hier nen kleinen Mailserver der pro Tag 10.000 Mails verarbeiten muss. 9800 bleiben beim policyd-weight hängen und für die anderen 200 mache ich da durchaus eine adress-verfication. Wie eigentlich bei allen Filtern muss man den Einzelfall prüfen. Generell würde ich keine Antispam-Option pauschal empfehlen.

Ja, aber da viele "Administratoren ihre Mailserver nicht richtig konfigurieren ist mir einfach das Risiko zu hoch, dass die falschen im Greylisting landen.

Der Absender erhält immerhin eine Meldung darüber, dass seine E-Mail nicht zugestellt wurde. Dein MTA sollte dann noch eine sinnvolle Meldung ausgeben und klarmachen, dass die E-Mail nur temporär nicht angenommen wurde.

Die bekommt er, aber wie gehe ich sicher, dass er diese auch "verarbeitet"? Garnicht, es liegt außerhalb meines Einflußes.

Das ist bitte nicht dein ernst? Ich hoffe du administrierst keine kritischen Systeme. Gentoo hat auf nem Server, bei dem es um Verfügbarkeit und Stabilität geht nichts zu suchen.

Unsinniger Flame. Gentoo ist durchaus auch auf Produktivsystemen zu gebrauchen. Es kommt eben auf den Admin an und wie gut dieser mit dem System zurecht kommt. Aber dazu gibt es schon mehrere Beiträge in diesem Forum. Bitte nutze die Suchfunktion.

Ok hat hier wirklich nichts zu suchen, eine kleine Erklärung dazu auch in dem anderen Post von mir.

Grüße
Benjamin

[Roger Wilco]

Die bekommt er, aber wie gehe ich sicher, dass er diese auch "verarbeitet"? Garnicht, es liegt außerhalb meines Einflußes.

Genauso wie die Tatsache, dass der "gegnerische" MTA keinen zweiten Zustellversuch unternimmt, entgegen des in den RFC beschriebenen bzw. geforderten Verhaltens.

Ok hat hier wirklich nichts zu suchen, eine kleine Erklärung dazu auch in dem anderen Post von mir.

Jedem das seine. Ich persönlich komme mit Gentoo gut auf Produktivsystemen klar. YMMV.

[beanie]

Die bekommt er, aber wie gehe ich sicher, dass er diese auch "verarbeitet"? Garnicht, es liegt außerhalb meines Einflußes.

Genauso wie die Tatsache, dass der "gegnerische" MTA keinen zweiten Zustellversuch unternimmt, entgegen des in den RFC beschriebenen bzw. geforderten Verhalten.

Richtig, natürlich verhält er sich nicht RFC-Konform. Und wenn meine Mails besonders wichtig sind muss ich eben versuchen, dass auch solche Mailserver ihre Mails zustellen können. Ich würde gern jeden blocken, der sich nicht RFC-Konform verhält nur bin ich dann wohl bald meinen Job los ;)

Ok hat hier wirklich nichts zu suchen, eine kleine Erklärung dazu auch in dem anderen Post von mir.

Jedem das seine. Ich persönlich komme mit Gentoo gut auf Produktivsystemen klar. YMMV.

ACK, sind wir uns einig :)

Grüße
Benjamin

[coltseavers]

Hallo zusammen,

3 Dinge würde ich gern zu dem Thema sagen:

1)
Ich benutze Greylisting von Anfang an (seit 2 Jahren ca) und habe damit keine Probleme, aber weniger Spam.

2)
Als Gegenargument zu Greylisting wird oft die Zeitverzögerung gebracht, die bei geschäftlichen Kontakten mit Kunden so gar nicht akzeptabel ist. Diese Verzögerung kann ja nur beim 1. Kontakt eintreten, danach sind die Absender ja in der Whitelist und gehen sofort durch.
Selbstverständlich gibt es Einzelfälle, wo es mal ungünstig lange dauert. Solche Erfahrungen habe ich aber höchstens bei Registrierungen auf irgendwelchen Seiten gemacht, wo man am liebsten sofort die Bestätigungsmail haben möchte. Bei geschäftlichem Schriftwechsel kann ich mich an solche Ereignisse nicht erinnern - ich denke auch die Gegenseite ist ja bemüht Mails schnell zuzustellen. Von daher erhalte ich Mails eigentlich immer innerhalb 5-15 Minuten. Ganz ganz selten dauert es mal ne Stunde oder zwei, aber das ist schon im pro mille - Bereich, und halte ich deshalb für erträglich. Verzögerungen über 12 Stunden oder länger hatte ich noch nie, auch von ebay erreichen mich die Mails immer pünktlich. Aber bei solchen Konzernen und z.B. wichtigen Kunden könnte man sonst ja wirklich mal ne Whitelist anlegen.

3)
@Benjamin:
Es kann nicht sein, dass man seine Mailserver für Spam zugänglich macht, nur weil einige andere Postmaster ihre Mailserver nicht richtig konfigurieren, und als localhost versenden oder keinen zweiten Zustellversuch unternehmen.
(Man stelle sich das nur mal vor einen Mailserver so falsch zu konfigurieren - da hat man doch ständig stress, dass Mails nicht ankommen.)
Ganz nebenbei sind solche Szenarien wohl auch eher die Seltenheit. Solche Pfeifen werden wohl eher in kleinen Klitschen zu finden sein, als in großen Konzernen.
Auch ein Exchange-Server versucht natürlich in der Standardkonfiguration Mails mehrfach zuzustellen - da muss man den Server also schon Kaputtkonfigurieren, damit er kein zweites Mal zuzustellen versucht.
Solchen Deppen sollte man nicht nachgeben und sein eigenes System dafür öffnen - das ist jedenfalls meine Meinung.
Sonst kommen die ja damit durch und es gibt immer mehr solcher Systeme. Nee nee, die müssen sofort merken, dass mit einem grundlegend falsch konfigurierten Server keine vernünftige Kommunikation möglich ist.
Hier kann man z.B. mal kurz ne Mail an den Postmaster schicken, damit er seine Fehler behebt, wenns denn wichtig für einen ist.

[ddm3ve]

Gleich so einen "steinalten" Thread wieder ans Tageslicht fördern?
Aber es gibt ein mindest genau so altes Produkt: policyd_weight, was deutlich bessere Ergebnisse liefert.
Macht weitere Tools wie spamassassin, greylisting etc. unnötig.
Bei regelmässigen Kontrollen merkt man sogar, dass hier das greylisting sogar eher kontraproduktiv ist, in verbindung mit policyd_weight.

[luke79]

When the source of an email is a server farm or goes out through an anti-spam mail relay service, it is likely that on the retry a server other than the original server will make the next attempt.

[coltseavers]

@ddm3ve:
policyd_weight ist sicherlich auch ein interessantes tool, dass auch durchaus seine Daseinsberechtigung hat.
Ich selbst nutze es jedoch nicht, da ich kein Freund von Scoring-Systemen bin. Positiv ist bei policyd_weight aber sicherlich die Eigenschaft, dass man diverse Kombinationen von Fehlern kombinieren kann, um einen Mailempfang zu verweigern.
policyd_weight checkt ja folgende Bereiche: falsch konfigurierte Mailserver, Einträge auf RBL-Listen, rfc-konformität.

Das Greylisting ergänze ich auf meinem Server mit Überprüfung der Konfiguration des einliefernden Mail-Servers durch Postfix-Bordmittel. Ist der einliefernde Mailserver nicht korrekt konfiguriert, wird keine Mail davon angenommen - so einfach ist das, und läuft auch ganz gut.
Last but not least hab ich dann noch einen RBL-Check. Dieser ist aber leider nicht gewichtend, sondern absolut, sodass es hier in Einzelfällen zu false-positives kommt, insbesondere bei Mails von der Telekom, da die es offenbar nicht schaffen ihre Server von diesen Listen fern zu halten.
In Summe wage ich aber zu behaupten, dass diese Kombination ähnlich stark ist wie policyd_weight. Beide Systeme haben hier und da ihre Stärken/Schwächen. Bei meinem System mag ich sehr, dass es sehr klar und eindeutig ist, wann und aus welchem Grund eine Mail abgelehnt wird -> bei policyd_weight ist es die Gewichtung der Faktoren, die das System auszeichnet.
Bei beiden Systemen sind die Stärken aber auch die Schwächen, da es bei beiden Systemen zu ungewollten Ablehnungen kommen kann.

@luke79
Yes, on some cases this problem occurs. This can result in delayed delivery. But normally its not a big problem.
Example: ebay and amazon: When your mailserver has 50 or more mailaccounts, there are always some users, who buy or sell things on ebay and amazon. Thats why a big number of their mailserver-IPs are whitelisted after a short period of time.
So I always get my mails from ebay and amazon quickly in face of enabled greylist-function on my mailserver.

But another example shows that there are some exceptions from that:
One of my customers is a business man and has to communicate time critically with daimler-concern.
The problem was that in addition of using server-farms for mail-delivery the period of time between two delivery-attempts was about 30 or 40 minutes. So it took some hours before my cutomer received mails from daimler.
To ensure best performance for my customer i whitelisted the domain daimler.com
But in this case I would like to ask their Admins, why they think that their mails are not so time-critical / important, when they lose 30-40 minutes before next delivery-attempt ist started...