Spambekämpfung durch Greylisting

Durch die ständige Zunahme an nicht erwünschten E-Mails werden unsere Mail-Server und folglich auch das hochschulinterne Netz immer mehr belastet. Die Auswertung unserer Mail-Logs zeigte, dass teilweise über 80% der eingehenden Mails von unserem Spam-Filter als Spam erkannt wurden. Von durchschnittlich 90.000 eingehenden Mails sind nur ca. 16.000 erwünscht! Zusätzlich zur Spam-Filterung durchlaufen die Mails noch zwei Virenscanner, die durch die unerwünschten Mails ebenfalls stärker belastet werden.

Oft sind auch die Absender und Empfängeradressen gefälscht und nicht existent. In diesem Fall versuchen unsere Mail-Server den Absender zu benachrichtigen, dass seine Mail nicht zugestellt werden konnte. Da der Absender aber nicht existiert, versuchen unsere Mail-Server 2 Tage lang vergeblich, diese Benachrichtigungen zuzustellen. In dieser Zeit verbleiben sie in den Warteschlangen unserer Mail-Server und stellen eine zusätzliche Belastung dar.

Auch lässt sich ein vermehrtes Aufkommen an Viren in Spam-Mails beobachten.

Die o.g. Gründe sowie der erfolgreiche Einsatz des Greylisting an vielen Universitäten und am Lehrstuhl für Simulationstechnik der Universität Siegen haben uns dazu bewogen, unsere Mail-Eingangs-Server mit der entsprechenden Software auszustatten.

Innerhalb des ersten Tages nach Einsatz des Greylisting konnten wir beobachten, dass die Spamflut deutlich zurückging (nur noch ~25% waren Spam-Mails).

Funktionsweise des Greylisting

Spammer sind darauf bedacht, innerhalb kurzer Zeit möglichst viel Spam zu verbreiten. Bei nicht zustellbaren Spam-Mails wird meistens kein zweiter Versuch unternommen, diese doch noch auszuliefern. Dies würde zu einer Mehrbelastung des Spam-Servers und dadurch zu einer langsameren und weniger effizienteren Verbreitung von Spam führen. An diesem Punkt setzt das Greylisting an. Der erste Zustellungsversuch einer Mail wird abgelehnt und der sendende Mail-Server erhält die Aufforderung es später noch einmal zu versuchen. Gleichzeitig wird ein Triplet aus folgenden Informationen vorübergehend gespeichert:

• Die IP-Adresse des versendenden Mail-Servers
• Die Absender E-Mail-Adresse
• Die Empfänger E-Mail-Adresse

Regelkonforme Mailserver werden nach einer gewissen Zeit (z.B. einer halben Stunde) erneut versuchen, die Mail zuzustellen. Das Greylisting sieht, dass es das Triplet schon einmal erhalten hat und trägt es in eine Datenbank ein. Weitere Mails von diesem Absender an den gleichen Empfänger werden nun ohne Verzögerung zugestellt. Der Eintrag in der Datenbank existiert zunächst 30 Tage. Bei jeder weiteren Mail von diesem Absender verlängert sich die Frist um 30 Tage.

Der erneute Zustellungsversuch darf frühestens nach 5 Minuten und muss spätestens innerhalb von zwei Tagen erfolgen.

Absender- und Empfänger-Whitelist

Es besteht die Möglichkeit, die Mail-Server bestimmter Domänen auf eine Whitelist zu setzen. Die Mails dieser Server durchlaufen dann nicht das Greylisting. Hier werden z.B. Server eingetragen, die Probleme mit dem Greylisting-Verfahren haben.

Desweiteren können auch Empfänger, die vom Verfahren des Greylisting ausgeschlossen werden möchten, auf eine Whitelist gesetzt werden.

Ansprechpartner

• Markus Darges, H-D 5212, Tel. 3484, markus.darges@uni-siegen.de
• Dominik Schikora, H-D 5210, Tel. 3239, dominik.schikora@uni-siegen.de

Weitere Infos

• http://projects.puremagic.com/greylisting/
  Greylisting: The Next Step in the Spam Control War
• http://www.faqs.org/rfcs/rfc2821.html
  RFC 2821 (rfc2821) - Simple Mail Transfer Protocol
• http://www.bsi.bund.de/literat/studien/antispam/index.htm
  Antispam - Strategien
  Unerwünschte E-Mails erkennen und abwehren