greylisting ยังคงเป็นวิธีที่มีประสิทธิภาพในการป้องกันสแปมหรือไม่?

ฉันใช้greylistingบนเซิร์ฟเวอร์ของฉันเป็นเวลาหลายปี แต่ฉันไม่รู้ว่ามันมีประสิทธิภาพเพียงใดในปัจจุบัน

มันยังดีสำหรับการต่อสู้กับสแปมในปี 2012?

หรือผู้ส่งสแปม MTA ทั่วไปสามารถส่งอีเมล greylisted อีกครั้งได้หรือไม่

การอัปเดตจาก 2018:

ฉันเป็นแฟนตัวยงของ greylisting ที่ยอดเยี่ยมเสมอ ด้วยเหตุผลเหล่านี้:

• มันไม่เพียงทำเครื่องหมายว่าเป็นสแปมเท่านั้น แต่ยังบล็อกอีกด้วย
• การใช้เป็นผู้ให้บริการในเยอรมนีนั้นถูกกฎหมาย (ไม่เหมือนกับการลบอีเมลขยะหลังจากรับ)
• มันง่ายและมีประสิทธิภาพ
• มันเพิ่มการโหลดให้กับผู้ส่งสแปมและไม่ได้รับจดหมายเซิร์ฟเวอร์ของคุณ ดังนั้นแม้ว่าผู้ส่งอีเมลขยะอาจทำสิ่งนี้ผ่าน greylist ของคุณคุณบังคับให้เครื่องทำงานหนักขึ้นและทำให้พวกเขาสามารถส่งสแปมน้อยลง
• มันบล็อกแทบจะไม่มีจดหมายที่ถูกกฎหมาย, ไม่เหมือนกับ RBL บนพื้นฐานของ IP เป็นต้น
• มันแนะนำความล่าช้า แต่คุณสามารถทำรายชื่อลูกค้า (ส่งเซิร์ฟเวอร์) ของผู้ติดต่อบ่อยและผู้รับรายชื่อที่ต้องใช้อีเมลที่มีความล่าช้าน้อยที่สุด โปรดจำไว้ว่าการใช้ตัวกรองสแปมเช่น Spamassasin โดยตรงในจดหมายทั้งหมดของคุณ (โดยไม่มี greylisting) สามารถแนะนำความล่าช้าในจดหมายที่ถูกต้องเช่นกัน: ผู้ส่งสแปมบางคนส่งอีเมลจำนวนมากไปยังเซิร์ฟเวอร์ของคุณซึ่งตัวกรองสแปมได้รับมากเกินไป ดังนั้นมันจะส่งความล้มเหลวชั่วคราว (เช่น 451) ไปยังเซิร์ฟเวอร์ที่ส่งเมลขาเข้าเพิ่มเติม นี่เป็นสาเหตุที่ทำให้เกิดเอฟเฟกต์เช่นเดียวกับ greylisting เช่นอีเมลเกิดความล่าช้ายกเว้นว่าการยกเว้นบัญชีขาวนั้นไม่ใช่เรื่องง่าย แน่นอนคุณสามารถใช้ตัวกรองสแปมบนคลาวด์ซึ่งปรับขนาดได้ตามที่สแปมเมอร์ใช้ แต่อาจมีราคาแพงกว่า
• จำกัด หรือไม่จำเป็นต้องบำรุงรักษา ไม่มีบัญชีดำที่ต้องอัปเดตและเปลี่ยนแปลงตลอดเวลา ไม่มีกฎที่ยึดตามรูปแบบที่จำเป็นต้องได้รับการอัปเดต

แต่น่าเสียดายที่ในสถิติของฉันฉันเห็นว่าในปีนี้ greylisting จะมีประสิทธิภาพน้อยลง จำนวนข้อความที่ล่าช้านั้นเข้าใกล้ปริมาณข้อความ greylisted ค่อนข้างเร็วซึ่งหมายความว่าปริมาณของสแปมที่ถูกบล็อกลดลง

ในปีที่ผ่านมา (365 วัน) 55% ของข้อความ greylisted ทำให้ในที่สุดผ่าน greylisting นั่นคือ 45% ถูกบล็อก

จดหมายเวียนปี

โปรดทราบว่าแผนภูมินี้รวมระยะเวลาที่ไม่ได้นับข้อความ greylisted เนื่องจากข้อผิดพลาดการกำหนดค่าของ mailgraph เพียงล่าช้าเท่านั้น ซึ่งหมายความว่าการคำนวณนี้จะประเมินข้อความที่ล่าช้าเล็กน้อยสักหน่อยอันที่จริงมีการบล็อกอีเมลอีกเล็กน้อย

ในเดือนที่แล้ว 64% ล่าช้าและมีเพียง 36% ที่ถูกบล็อก

จดหมายเดือนสถิติ

ในสัปดาห์ที่แล้ว 75% ล่าช้าและมีเพียง 25% ที่ถูกบล็อก

สถิติจดหมาย

นอกจากนี้ดูจำนวนข้อความที่ถูกบล็อกทั้งหมด: เดือนนี้ greylisting บล็อก 4 411 ข้อความ แต่ Amavisd (spamassasin) ถูกบล็อก 22 763 ข้อความ ซึ่งหมายความว่ามีเพียง 16% ของสแปมที่ถูกบล็อกโดย greylisting ส่วนที่เหลือทั้งหมดเป็นของ amavisd

ยิ่งกว่านั้นผู้ให้บริการการส่งผ่านคลาวด์มากขึ้นก็ส่งจากที่อยู่ IP หลายร้อยรายการ พวกเขาพยายามแต่ละครั้งพยายามส่งจาก IP อื่น ดังนั้น greylisting อาจบล็อกอีเมลเหล่านี้เป็นเวลาหลายวัน ดังนั้นคุณต้องขึ้นบัญชีขาวที่ดีทั้งหมด สิ่งนี้จะแนะนำความพยายามในการบำรุงรักษาใหม่

ฉันเป็นแฟนตัวยงของ greylisting อยู่เสมอ แต่น่าเสียดายที่ฉันเห็นว่ามันลดลงและมีประสิทธิภาพน้อยลงและฉันคิดว่าฉันจะปิดการใช้งานในไม่ช้าเนื่องจากมันเริ่มหน่วงเวลาเพียง 14% ของอีเมลของฉันโดยไม่จำเป็น .

สถิติขีปนาวุธ

ปริมาณของอีเมลที่ถูกบล็อกในสถิติของฉัน (และของคุณ) อาจทำให้เข้าใจผิดเป็นส่วนใหญ่ ลองรับอีเมลหนึ่งฉบับที่มาจากผู้ให้บริการจดหมายบนระบบคลาวด์ขนาดใหญ่ (เช่น * .outbound.protection.outlook.com ของ Microsoft) ซึ่งยังไม่อยู่ในรายการที่อนุญาต ความพยายามครั้งแรกล้มเหลว ความพยายามในการส่งข้อมูลครั้งที่สองและครั้งที่สามมาจากเซิร์ฟเวอร์อื่น (IP) สองเครื่องดังนั้นจึงล้มเหลวอีกครั้งเนื่องจาก triplet ไม่ตรงกัน ตอนนี้ความพยายามครั้งที่สี่มาจากเซิร์ฟเวอร์เครื่องแรกอีกครั้งและสำเร็จ สิ่งนี้จะถูกนับเป็นการส่งสัญญาณล่าช้าหนึ่งข้อความและข้อความ greylisted สี่ข้อความ การคำนวณของฉันด้านบนจะระบุว่าข้อความ 1/4 = 25% greylisted ล่าช้าและ 3/4 = 75% ถูกบล็อก แต่จริงๆแล้วไม่ใช่ข้อความเดียวที่ถูกบล็อก ตอนนี้เราอนุญาตเซิร์ฟเวอร์ของผู้ให้บริการอีเมลเหล่านี้ให้ปลอดภัยดังนั้นพวกเขาจะไม่ได้รับอนุญาตอีกต่อไป สิ่งที่จะเกิดขึ้นคือจำนวนข้อความ greylisted จะลดลงมากกว่าจำนวนข้อความล่าช้า ซึ่งหมายความว่าจำนวนข้อความที่ถูกบล็อกที่เราคำนวณจะลดลง แต่ไม่เป็นความจริงที่มีการบล็อกข้อความน้อยลง

ในความเป็นจริงสิ่งที่ฉันทำตั้งแต่เดือนกุมภาพันธ์ 2017 กำลังเพิ่มผู้ให้บริการจดหมายบนระบบคลาวด์ให้กับบัญชีปลอดภัยเพื่อต่อสู้กับปัญหาความล่าช้าที่ยาวนานเนื่องจาก greylisting สิ่งนี้อาจอธิบายได้ (บางส่วน) ทำไมจำนวนอีเมลที่ถูกบล็อกที่ฉันคำนวณนั้นลดลงอย่างรวดเร็ว ดังนั้นบางทีฉันคิดว่าเวลาทั้งหมดที่ greylisting บล็อกสแปมจำนวนมาก แต่จำนวนสแปมที่ถูกบล็อกนั้นมีจำนวนน้อยกว่าตลอดเวลามันแค่คำนวณอย่างไม่ถูกต้อง ดังนั้นควรระมัดระวังเมื่อตีความสถิติของคุณ

ฉันดูปริมาณนี้ครั้งสุดท้ายในเดือนกรกฎาคมปีนี้ (2012) ในเดือนกรกฎาคมเมลเซิร์ฟเวอร์ของฉันได้รับประมาณ 46,000 ครั้งเพื่อส่งเมล ในจำนวนนั้นส่งกลับประมาณ 1,750 รายการและได้รับอนุญาตผ่าน greylisting (และผ่านโดเมนผู้ส่งที่ถูกต้อง SPF และการทดสอบที่ไม่ใช่เนื้อหาอื่น ๆ ) ในจำนวนนั้นมีอีกประมาณ 1,500 รายการที่ถูกกรองโดยการกรองตามเนื้อหาของฉัน

สมมติว่าอีเมล 44,250 ฉบับนั้นเป็นจดหมายขยะ (เนื่องจากพวกเขาไม่สามารถผ่าน greylisting ได้ฉันคิดว่านั่นเป็นข้อสันนิษฐานที่เป็นธรรม) ถ้าไม่ใช่เพราะ greylist ตัวกรองเนื้อหาตามเนื้อหาของฉันจะต้องจัดการกับ 46,000 อีเมลแทนที่จะเป็น 1,750

โหลดที่เพิ่มขึ้นยี่สิบห้าเท่าในตัวกรองตามเนื้อหาของฉันจะทำให้ฉันต้องมี CPU ที่ใหญ่กว่าและหน่วยความจำมากขึ้น นั่นจะเพิ่มค่าใช้จ่ายโฮสติ้งรายเดือนของฉันเนื่องจากการใช้พลังงานพิเศษ (และอาจขนาดของเซิร์ฟเวอร์)

ดังนั้นในระยะสั้นครั้งสุดท้ายที่ฉันนับใช่ greylisting ยังคงทำให้ความรู้สึกมากดีมากเป็นส่วนหนึ่งของระบบกรองสแปมที่สมบูรณ์ ฉันเปิดใช้งานมันสำหรับลูกค้าในช่วงสองสามสัปดาห์ที่ผ่านมาและทุกคนก็มีความสุขมากกับการลดลงของระบบการกรองตามเนื้อหา

แก้ไข : ฉันทราบว่าฉันยังไม่ได้ตอบคำถามเกี่ยวกับว่าจะมีประสิทธิภาพน้อยลงเมื่อเวลาผ่านไป เมื่อฉันเปิดใช้งานในช่วงปลายปี 2549 ประมาณการของฉันในเวลานั้นก็คือมันกรองสแปมออกไปประมาณ 95% 1,750 คิดเป็นสัดส่วน 46,000 ประมาณ 4% ดังนั้นข้อมูลของฉันแนะนำว่ามันไม่ได้มีประสิทธิภาพลดลงในช่วงเวลานั้น

สแปมบอทมักจะยังไม่ทำการจัดคิวข้อความ แต่บางคนก็ส่งสแปมสองครั้งไปยังผู้รับทุกคนโดยใช้เวลาสักครู่ในการกำจัด greylisting ทุกวันนี้สแปมจากสแปมบอทไม่ใช่ปัญหาจริงอีกต่อไปสแปมจากบัญชี yahoo ที่ถูกบุกรุกและอื่น ๆ นั้นจับยากกว่ามาก

จากมุมมองดังกล่าว Greylisting ไม่ได้มีประสิทธิภาพเท่าที่เคยเป็นมา เมื่อใช้ร่วมกับเทคนิคการป้องกันสแปมอื่น ๆ ก็ยังสามารถช่วยได้เช่นหากโดเมนของคุณมักจะอยู่ใน "ชุดแรก" ของแคมเปญสแปม greylisting สามารถช่วยชะลอข้อความนานพอที่จะทำให้บัญชีดำ / โดเมนถูกจับได้ดังนั้นหาก สแปมจะเล็ดรอดผ่านตัวกรองของคุณในการพยายามเชื่อมต่อครั้งแรกมันอาจถูกตรวจพบในการพยายามครั้งที่สอง

ในฐานะที่เป็นปัญหาเกี่ยวกับวงผมไม่ชอบอยู่ในตำแหน่งที่ต้องติดตั้งเทคนิคอย่าง greylisting โดยไม่สามารถวัดประสิทธิภาพของมันได้ บนเดเบียนด้วย postfix เป็น MTA และ postgrey เป็นเอ็นจิ้นนโยบาย greylisting คุณสามารถapt-get install mailgraphรับกราฟที่เรียบง่ายของอีเมลที่ยอมรับและอีเมลที่ถูกปฏิเสธ Mailgraph เป็นโรงเรียนเก่าและค่อนข้างโดดเดี่ยว แต่ก็ใช้งานได้และข้อมูลหรือเทคนิคสามารถรวมเข้ากับระบบตรวจสอบที่ทันสมัยและซับซ้อนได้ง่ายขึ้น

รับตัวกรองเมลตามชื่อเสียง Greylisting นั้นค่อนข้างเก่าและไม่ใช่ทางแก้ปัญหาที่ครอบคลุม มีวิธีแก้ไขปัญหา (จากมุมมองของผู้ส่งสแปม) และเวลาส่งเมลที่ไม่แน่นอนสำหรับผู้ใช้ของคุณ ...

ไม่ว่าจะเป็นการกรองจากภายนอกไปยังบริการคลาวด์หรือซื้ออุปกรณ์ที่สามารถเข้าถึงรายการดังกล่าวและมีวิธีอื่นในการตรวจสอบสแปม คำแนะนำของฉันมักจะ Barracuda สำหรับพวกเขาเครื่องหรือของพวกเขาแก้ปัญหาเมฆกรอง ตัวเลือกทั้งสองมีการประหยัดจากขนาดและการวิเคราะห์พฤติกรรมผู้ใหญ่ที่ให้โซลูชันโดยรวมที่สะอาดกว่า

มองไปที่หนึ่งในรายงานของลูกค้าของกรอง Barracuda Spam สำหรับเดือนกันยายน 2012, จาก 98,457 ข้อความ 1,623 ถูกตัดออกก่อนที่จะได้ตีเซิร์ฟเวอร์อีเมลเพราะผู้รับไม่ดี ... 34488 ถูกบล็อกเป็น SPAM มีเพียง 96 ข้อความที่น่าสงสัย ผู้ที่ได้รับการจัดอันดับว่าเป็นสแปมนั้นเป็นการรวมกันของชื่อเสียงคะแนนความตั้งใจ RBL สามรายการการกรองแบบเบย์และชุดกฎที่กำหนดเอง ทั้งหมดในหนึ่งหน่วย ... ทั้งหมดถูกประมวลผลก่อนที่จะกดเซิร์ฟเวอร์เมลที่ค่อนข้างเล็ก

ดูเพิ่มเติมที่: การต่อสู้กับสแปม - ฉันจะทำอะไรได้บ้าง: ผู้ดูแลระบบอีเมล, เจ้าของโดเมนหรือผู้ใช้?