+49 (0) 7245 919 581 info@eunetic.com
Login
  1. Home
  2. EuropeanMX Wissensdatenbank
  3. EuropeanMX Eingehender Filter
  4. Was bedeutet Greylisting und wie wird das bei EuropeanMX gehandhabt?
europeanMX
Wissensdatenbank

Was bedeutet Greylisting und wie wird das bei EuropeanMX gehandhabt?

Greylisting ist eine Methode zur Bekämpfung von E-Mail-Spam, die auf dem Prinzip basiert, dass legitime E-Mail-Server sich anders verhalten als die Server von Spammern. Bei Greylisting wird jede eingehende E-Mail zunächst abgelehnt, mit der Anweisung an den sendenden Server, es später erneut zu versuchen. Dies basiert auf der Annahme, dass legitime Mailserver standardmäßig für die erneute Zustellung konfiguriert sind, während viele Spamserver diesen Aufwand nicht betreiben. Der Ablauf im Greylisting-Verfahren ist in der Regel wie folgt:

  1. E-Mail-Empfang
    Wenn eine E-Mail von einem unbekannten Absender ankommt, wird sie temporär abgelehnt. Dabei wird ein temporärer Fehlercode zurückgegeben, der den Absender-Server informiert, dass die Zustellung zu einem späteren Zeitpunkt erneut versucht werden soll.
  2. Speicherung der Daten
    Der Mailserver, der Greylisting implementiert, speichert spezifische Daten über den abgelehnten Zustellungsversuch. Dies sind in der Regel die IP-Adresse des sendenden Servers, die E-Mail-Adresse des Absenders und die E-Mail-Adresse des Empfängers. Diese Informationen werden für eine bestimmte Zeitspanne aufbewahrt.
  3. Erneuter Zustellungsversuch
    Legitime E-Mail-Server sind so konfiguriert, dass sie nach einer gewissen Zeit erneut versuchen, die E-Mail zuzustellen. Spammer hingegen benutzen oft Software, die diese erneuten Zustellversuche nicht unternimmt, da sie darauf ausgelegt ist, so viele E-Mails wie möglich in kürzester Zeit zu versenden.
  4. Zustellung der E-Mail
    Wenn der Absender-Server die E-Mail nach einer bestimmten Zeit erneut sendet, akzeptiert der empfangende Server die Nachricht, da der erneute Zustellversuch zeigt, dass es sich wahrscheinlich um eine legitime E-Mail handelt.

Wie wird Greylisting bei EuropeanMX angewandt?

Wir verwenden eine erweiterte Form des Greylistings, um eine signifikante Menge an Spam mit minimalen Ressourcenverbrauch zu verhindern. Obwohl Greylisting eine umstrittene Technologie ist, ist es immer noch sehr effektiv, wenn sie richtig angewendet wird.

Zunächst ist es wichtig zu erwähnen, dass alle Knoten in unserem Servercluster miteinander synchronisiert werden und Kenntnis über die Verbindungen zueinander haben. Deswegen ist es für die Greylisting-Technologie egal, zu welchem Knoten die Verbindung aufgebaut wird. Des Weiteren merken wir uns seriöse Absender, um eine Verzögerung aufgrund von Greylisting bei legitimen Servern zu vermeiden.

Greylisting basiert auf den "Drillingsinformationen" bestehend aus

  • Absenderserver IP/24 Subnetz
  • Absenderadresse
  • Empfängeradresse

Immer wenn EuropeanMX eine Nachricht von einem unbekannten Drilling erhält, wird die Verbindung temporär für 10 Minuten nach dem ersten Zustellungsversuch abgelehnt (SMTP-Code 4xx). Eine temporär abgewiesene E-Mail bedeutet, dass der absendende Mailserver aufgefordert wird die Nachricht in einer Warteschlange zu speichern und die Zustellung zu einem späteren Zeitpunkt erneut zu versuchen. Jeder ordnungsgemäße Mailserver ist gemäß RFC verpflichtet diese Methode zu unterstützen. Das ist ein völlig automatisierter Prozess bei dem die Absenderadresse keine Benachrichtigung erhält. Es ist egal, ob der Server innerhalb dieses 10-minütigen Intervalls die Nachricht nochmal zustellen möchte oder diese an einen unserer anderen Knoten sendet, die erneute Zustellung wird erst nach 10 Minuten von unseren Servern akzeptiert. 

Resultierend daraus ergibt sich ein kleine Verzögerung, weswegen wir ein erweitertes System nutzen, um solche Verzögerungen zu vermeiden. Nachdem die Nachricht vom zunächst unbekannten Drilling akzeptiert wurde, wird dieser als legitim markiert, damit zukünftige Nachrichten nicht mehr temporär abgewiesen werden. Des Weiteren immer wenn wir mindestens 5 verschiedene, erfolgreiche, legitime Drilling erkennen, die vom selben IP/24 Subnetz stammen oder mindestens 2 verschiedene, erfolgreiche, legitime Drillinge, die vom selben Subnetz sowie der gleichen Absenderadresse stammen, wird das Subnetz bzw. das Subnetz + Adresse zu einer internen Greylisting-Zulassungsliste hinzugefügt, um Greylisting-Verbindungen von der gleichen IP-Adresse zu vermeiden. Alle aktiven Mailserver, die eine Nachricht erfolgreich auf unseren Server einliefern, sind deshalb nicht von der Greylisting-Technologie betroffen, da diese Mailserver auf einer internen Greylisting Zulassungsliste eingetragen werden.

Das Greylisting-Verfahren wird so nur bei uns unbekannten Servern angewandt. Ein Server, der vorrübergehend auf einer Blockliste gelistet ist, verliert den Eintrag in der Zulassungsliste wieder, weswegen dieser bei neuen Verbindungen wieder überprüft wird.

Wichtige Punkte:

  • Greylisted Drillinge werden nach 10 Minuten als legitim eingestuft.
  • IP-Subnetze werden nach 5 legitimen Drillingen auf die Greylisting-Zulassungsliste gesetzt.
  • Paare aus IP-Subnetz + Absenderadresse werden nach 2 legitimen Subnetz+Adress-Paaren auf die Greylisting-Zulassungsliste gesetzt.
  • "Graue" Einträge in der "Greylist" laufen nach 8 Stunden ab.
  • Legitime Einträge in der "Greylist" laufen nach 60 Tagen ab (sofern keine Verbindung mehr aufgebaut wurde).
  • Greylisted Drillinge werden nur für bestimmte Empfängerdomains verwendet; die Greylisting-Zulassungsliste wird für alle Domains im Cluster geteilt.

Die sendende Server-IP / 24 Subnet ist im Grunde der erste Teil der IP-Adresse des sendenden Servers. Z. B. wenn ein Server die IP 222.153.243.117 besitzt, dann ist die Zeichenkette, die im Drilling genutzt wird, 222.153.243. Dies beinhaltet bis zu 256 (.0 - .255) Server, meistens innerhalb der gleichen Organisation. Das bedeutet, dass falls eine Organisation mehrere absendende Mailserver verwendet (typischerweise im gleichen Subnetz), ist es egal, von welchem Server der zweite Zustellungsversuch unternommen wird.

Die meisten Supportfragen bezüglich temporär abgewiesener Verbindungen entstehen, da viele Kunden nur den Eintrag im Log sehen, dass die Nachricht temporär abgewiesen wurde und sich nicht bewusst sind, dass dies nicht bedeutet, dass die Nachricht geblockt bzw. als Spam identifiziert wurde. Die Zustellung Nachricht wurde nur kurz verzögert, um zu verifizieren, dass der absendende Server legitim (in Übereinstimmung mit den Anforderungen für SMTP-Server) ist. Es sollte auch beachtet werden, dass Verzögerungen aufgrund von Greylisting auf der Seite des Absenders liegen: Die Meldung "451 temporary fail" bedeutet lediglich "Versuche es später nochmal". Unser System akzeptiert die Nachricht dann nach 10 Minuten, aber wir haben KEINE Kontrolle darüber, wie lange der sendende Server braucht, um es erneut zu versuchen. Die meisten Absender-Server versuchen es nach ein paar Minuten erneut, aber einige können Stunden warten.

Mehr Informationen über RFC und "Greylisting" kann in Sektion 5.3.1.1 im RFC1123 (https://www.ietf.org/rfc/rfc1123.txt) gefunden werden.

Verwandte Themen: Zurück zum Inhaltsverzeichnis...
Empfanden Sie diesen Artikel als hilfreich?
Nein Ja
Wir verwenden Cookies für die technische Funktionalität dieser Website. Mit Ihrer Zustimmung erfassen wir außerdem Seitenaufrufe und andere statistische Daten in anonymisierter Form.

Nur notwendige
Allen zustimmen
Einzeln auswählen
Cookie-Einstellungen
Datenschutzbestimmungen lesen