Wo wir gerade beim Thema Spam-Bekämpfung sind, können wir auch gleich einen Blick auf eine andere Technik werfen, die kaum kontroverser diskutiert werden kann: Das Greylisting.
Die Idee hierbei ist, dass ein Mailserver E-Mails nicht mehr sofort via SMTP annimmt, sondern zunächst “greylisted”. Damit ist gemeint, dass der Empfang beim ersten Versuch mit der Fehlermeldung 4.7.1 geblockt wird (“ich kann deine Mail gerade nicht annehmen, probiere es später noch einmal”) und ein weiterer Zustellversuch erst nach einem bestimmten Zeitraum akzeptiert wird. Der Hintergedanke: Man nimmt an, dass Spammer beim Spam-Versenden Quantität vor Qualität stellen und ihre Spam-Software so einsetzen, dass bei einem missglückten Zustellversuch keinen zweiten Versuch unternommen wird.
Das mag funktionieren, vor allem, wenn Greylisting mit einer Strategie eingesetzt wird, beispielsweise der, nur bei unbekannten Mailservern, die bisher noch keine Mail an den Mailserver gesendet haben, Greylisting zu praktizieren. Vor allem bei “dummer” Spam wie zum Beispiel dem Versand von Malware, mag das System funktionieren, wie beispielsweise das Rechenzentrum der Rheinisch-Westfälischen Technischen Hochschule in Aachen exemplarisch zeigt. Dort ist während einer MyDoom-Spam-Welle das Greylisting eines Mailservers (“relay3”), die allesamt im Verbund arbeiten, ausgefallen und dieser hat in über sieben Stunden rund 7.000 MyDoom-Spammails empfangen, während der Rest des Verbundes einige wenige hundert empfangen haben.
Was Greylisting auf keinen Fall ist, ist eine absolut pflegeleichte Technik. Mal eben kurz Greylisting implementiert, wird früher oder später zu komplizierten Problemen führen.
Sehr beliebtes Problem: In der Spam-Szene hat es sich fast eingebürgert, beim Vorhandensein von Backup-Mailservern in MX-Konfigurationen Spam ausschließlich an die Backup-Mailserver zu senden. Hintergedanke hier ist, dass Backup-Mailserver möglicherweise keine Filterregeln haben, was beispielsweise bei Backup-Mailservern, die von Internet Service Providern gestellt werden, auch meist so ist. Wenn nun der greylistende primäre Mailserver den Backup-Mailserver nicht in seiner Whitelist hat, wird er Mails von diesem Backup-Server genauso greylisten. Das Problem verschärft sich, wenn der primäre Mailserver sich auf Dauer stur stellt, denn dann wird der Backup-Mailserver seine gepufferten Mails nicht los und sendet sie irgendwann wieder unzustellbar an den Absender zurück. Greylisting muss also absolut tabu gegenüber eventuellen Backup-Mailservern sein.
Schreibe einen Kommentar