Greylisting?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
tic
Posts: 47
Joined: 2003-11-19 13:47

Greylisting?

Post by tic » 2005-05-31 12:34

Hallo Leute,

nachdem Spamassassin meiner Meinung nicht viel mehr bringt als der sowieso schon vorhandene Spamdetektor im MUA wollt ich mich mal mit Greylisting auseinandersetzen.

Beim Suchen hier im Forum sind die letzten Beiträge schon über ein halbes Jahr alt.

Warum ist Greylisting für Euch kein Thema?

--tic

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: Greylisting?

Post by chris76 » 2005-05-31 12:47

tic wrote:Warum ist Greylisting für Euch kein Thema?
Langfristig bringt auch Greylisting nichts. Es ist nur ein Schritt im Wettrüsten gegen Spam.
Ist meine Persönliche Meinung.
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error

jhl
Posts: 21
Joined: 2005-05-23 16:16

Re: Greylisting?

Post by jhl » 2005-05-31 23:13

Warum bringt Spamassassin nicht mehr viel? So gut wie keine false negative (bestimmt < 0,5%), bislang kein einziger false positive...
Spätestens wenn die ersten großen Mailprovider Greylisting einsetzen, werden die Spammer nachrüsten müssen.

Regards,
jhl

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Greylisting?

Post by dodolin » 2005-06-01 05:21

Jepp. Greylisting ist genau so lange effektiv, wie es nur sehr wenig verbreitet ist. Sobald es im groesseren Massstab eingesetzt wird, werden die Spammer einfach jede Mail mehrfach zustellen. An Ressourcen mangelt es denen ja dank unzaehliger Zombies nicht.

Ausserdem ist Greylisting auch nicht ganz nebenwirkungsfrei. Wenn man aber einen MTA hat, bei dem Greylisting nur selektiv anwenden kann, halte ich es derzeit fuer einen guten Ansatz, der aber IMHO auf kleinen und mittleren Systemen dank anderer Filtertechniken nicht noetig ist. Fuer sehr grosse Systeme, bei denen z.B. SA zu einem Performanceproblem werden kann, ist Greylisting hingegen eine gute Alternative.

tic
Posts: 47
Joined: 2003-11-19 13:47

Re: Greylisting?

Post by tic » 2005-06-01 10:08

jhl wrote:Warum bringt Spamassassin nicht mehr viel? So gut wie keine false negative (bestimmt < 0,5%), bislang kein einziger false positive...
Aber um das zu wissen muss ich doch sowieso den Spammordner im MUA nochmal überfliegen ob kein false positive/negative dabei ist.

Deswegen find ich das ein bißchen sinnfrei. Ich hab immer das Gefühl dass ich SA gefilterte Mails trotz allem nicht ungeprüft verschwinden lassen kann und wenigstens die Ã?berschriften überfliegen sollte.
Also macht SA auch nichts anderes als mein lokaler Spamfilter. Die Rechenzeit kann ich dem Server ersparen.

Und die großen Provider werden Greylisting wohl sowieso nicht unbedingt einführen wollen. Das ist ja schon ein Leistungs- und Kapazitätsproblem.
Ausserdem sind's ja die Mails der Kunden und nicht der Provider :-)

--tic

jhl
Posts: 21
Joined: 2005-05-23 16:16

Re: Greylisting?

Post by jhl » 2005-06-01 17:01

Das Problem mit potentiell velorenen Mails wirst Du immer haben, egal bei welcher Antispam-Maßnahme. Der Unterschied besteht nur darin, wo sie geerdet werden.
Was gefällt Dir denn an SA nicht? Je nach Score kannst Du sagen, wie wahrscheinlich es Spam ist und dementsprechend handeln.
Bei Greylisting hast Du gar keine Möglichkeit, abgewiesene Mails wiederzubekommen...

Regards,
jhl

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Greylisting?

Post by dodolin » 2005-06-01 20:44

Und die großen Provider werden Greylisting wohl sowieso nicht unbedingt einführen wollen. Das ist ja schon ein Leistungs- und Kapazitätsproblem.
Falsch. Im Vergleich zu SA ist Greylisting ein Leichtgewicht. Die Mails werden ja schon im SMTP Dialog abgewiesen, bevor der Body ueberhaupt uebertragen wird. Ich kenne diverse deutsche Universitaeten, die auf ihren durchaus grossen Installationen Greylisting aus genau diesen Gruenden einsetzen. Die Unis kriegen ja immer mehr Gelder gekuerzt, koennen also nicht so einfach neue, bessere Maschinen danebenstellen, wie dies kommerzielle Anbieter tun koennen. Daher bevorzugen diverse Unis Greylisting, weil es den Server schont. SA dagegen ist ein CPU und RAM Fresser seinesgleichen.

tic
Posts: 47
Joined: 2003-11-19 13:47

Re: Greylisting?

Post by tic » 2005-06-02 09:23

Falsch. Im Vergleich zu SA ist Greylisting ein Leichtgewicht. Die Mails werden ja schon im SMTP Dialog abgewiesen, bevor der Body ueberhaupt uebertragen wird.
Danke für die Richtigstellung.
Ist ja eigentlich mehr als logisch. Wieder mal schneller geschrieben als gedacht, aber ich wollte auch hauptsächlich verschiedene Meinungen zu dem Thema hören.

Was wird denn dann sonst noch sinnvoll ausser SA und Greylisting mit guten Erfahrungen gegen Spam auf dem eigenen Server unternommen?

--tic

antondollmaier
Posts: 485
Joined: 2004-03-30 10:06

Re: Greylisting?

Post by antondollmaier » 2005-06-02 12:46

Ich setze hier greylisting ein, mit großen Erfolg ...

der neue Sober kam genau 2mal am Greylisting vorbei ... Da war aber dann Amavis mit ClamAV da, Pech gehabt ;)


Was bei Greylisting äußerst pflegeintensiv ist, ist die Whitelist ...

Viele Server (Mailinglisten z.B.) verwenden pro Versuch einen einzigartigen Absendernamen ... somit wird jede Mail der Liste erstmal abgewiesen ...

Auch gehts bei Schlund, T-Online etc schlecht ... bei solchen am besten das gesamte Subnetz mit den Mailout-Servern in die Whitelist stecken ...


Wo ich "leicht" sauer war/bin, is Strato mit ihren Webhosting-Servern ( also keine dedicated Server, sondern die Mailserver von den Strato-Webhosting-Präsenzen) ... Ne Mail kam rein, wurde greylisted ... Aber der Stratomailserver hat NICHT gewartet ( Fehler 450 wurde ordnungsgemäß gesendet), sondern hat SOFORT gebouncet ... "this address hat permanent errors, errorcode 450" ... Der Absender stand glücklicherweise mit mir in IRC-Kontakt, und hat mir den Bounce gezeigt ... Eine Mail an den Postmaster des Servers blieb unbeantwortet ...


Ansonsten läuft die Kombination aus postfix-gld, amavisd-new, Spamassassin und ClamAV einwandfrei ...

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Greylisting?

Post by dodolin » 2005-06-02 15:08

Was wird denn dann sonst noch sinnvoll ausser SA und Greylisting mit guten Erfahrungen gegen Spam auf dem eigenen Server unternommen?
Auf dem eigenen Server? Ich brauche momentan kaum mehr als SA und ein paar manuelle Black- und Whitelisten plus wenige DNSBL. Ich nutze den Server aber fast nur fuer mich selbst.

Grosse Installationen benutzen meist alles, was schon vor der Uebertragung des Bodys greift, also DNSBL, manuelle Black-/Whitelisten, HELO Checks, DUL, RDNS, strenge SMTP Syntax Pruefungen, ...

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Greylisting?

Post by Joe User » 2005-06-02 17:21

Für mich (private Projekte) ist derzeit folgende Config völlig ausreichend:

Code: Select all

allow_percent_hack = no
disable_vrfy_command = yes
smtpd_data_restrictions =
  reject_unauth_pipelining,
  permit
smtpd_helo_required = yes
smtpd_recipient_restrictions =
  reject_invalid_hostname,
  reject_non_fqdn_hostname,
  reject_non_fqdn_sender,
  reject_non_fqdn_recipient,
  reject_unknown_sender_domain,
  reject_unknown_recipient_domain,
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unauth_destination,
  reject_rbl_client relays.ordb.org,
  reject_rbl_client opm.blitzed.org,
  reject_rbl_client list.dsbl.org,
  reject_rbl_client sbl-xbl.spamhaus.org,
  check_policy_service unix:private/spfpolicy
  check_policy_service inet:127.0.0.1:10030 # greylisting
  permit
Der durchkommende Spam (<1/Woche) wird manuell gefiltert...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: Greylisting?

Post by chris76 » 2005-06-03 09:13

Hi, habe ich gerade bei de.admin.net-abuse.mail gefunden.

http://groups.google.de/group/de.admin. ... 2c23ef2b41
vll für den einen oder anderen ganz interessant.
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error