Greylisting ist eine Methode zur Bekämpfung von E-Mail-Spam, die auf dem Prinzip basiert, dass legitime E-Mail-Server sich anders verhalten als die Server von Spammern. Bei Greylisting wird jede eingehende E-Mail zunächst abgelehnt, mit der Anweisung an den sendenden Server, es später erneut zu versuchen. Dies basiert auf der Annahme, dass legitime Mailserver standardmäßig für die erneute Zustellung konfiguriert sind, während viele Spamserver diesen Aufwand nicht betreiben. Der Ablauf im Greylisting-Verfahren ist in der Regel wie folgt:
Wir verwenden eine erweiterte Form des Greylistings, um eine signifikante Menge an Spam mit minimalen Ressourcenverbrauch zu verhindern. Obwohl Greylisting eine umstrittene Technologie ist, ist es immer noch sehr effektiv, wenn sie richtig angewendet wird.
Zunächst ist es wichtig zu erwähnen, dass alle Knoten in unserem Servercluster miteinander synchronisiert werden und Kenntnis über die Verbindungen zueinander haben. Deswegen ist es für die Greylisting-Technologie egal, zu welchem Knoten die Verbindung aufgebaut wird. Des Weiteren merken wir uns seriöse Absender, um eine Verzögerung aufgrund von Greylisting bei legitimen Servern zu vermeiden.
Greylisting basiert auf den "Drillingsinformationen" bestehend aus
Immer wenn EuropeanMX eine Nachricht von einem unbekannten Drilling erhält, wird die Verbindung temporär für 10 Minuten nach dem ersten Zustellungsversuch abgelehnt (SMTP-Code 4xx). Eine temporär abgewiesene E-Mail bedeutet, dass der absendende Mailserver aufgefordert wird die Nachricht in einer Warteschlange zu speichern und die Zustellung zu einem späteren Zeitpunkt erneut zu versuchen. Jeder ordnungsgemäße Mailserver ist gemäß RFC verpflichtet diese Methode zu unterstützen. Das ist ein völlig automatisierter Prozess bei dem die Absenderadresse keine Benachrichtigung erhält. Es ist egal, ob der Server innerhalb dieses 10-minütigen Intervalls die Nachricht nochmal zustellen möchte oder diese an einen unserer anderen Knoten sendet, die erneute Zustellung wird erst nach 10 Minuten von unseren Servern akzeptiert.
Resultierend daraus ergibt sich ein kleine Verzögerung, weswegen wir ein erweitertes System nutzen, um solche Verzögerungen zu vermeiden. Nachdem die Nachricht vom zunächst unbekannten Drilling akzeptiert wurde, wird dieser als legitim markiert, damit zukünftige Nachrichten nicht mehr temporär abgewiesen werden. Des Weiteren immer wenn wir mindestens 5 verschiedene, erfolgreiche, legitime Drilling erkennen, die vom selben IP/24 Subnetz stammen oder mindestens 2 verschiedene, erfolgreiche, legitime Drillinge, die vom selben Subnetz sowie der gleichen Absenderadresse stammen, wird das Subnetz bzw. das Subnetz + Adresse zu einer internen Greylisting-Zulassungsliste hinzugefügt, um Greylisting-Verbindungen von der gleichen IP-Adresse zu vermeiden. Alle aktiven Mailserver, die eine Nachricht erfolgreich auf unseren Server einliefern, sind deshalb nicht von der Greylisting-Technologie betroffen, da diese Mailserver auf einer internen Greylisting Zulassungsliste eingetragen werden.
Das Greylisting-Verfahren wird so nur bei uns unbekannten Servern angewandt. Ein Server, der vorrübergehend auf einer Blockliste gelistet ist, verliert den Eintrag in der Zulassungsliste wieder, weswegen dieser bei neuen Verbindungen wieder überprüft wird.
Die sendende Server-IP / 24 Subnet ist im Grunde der erste Teil der IP-Adresse des sendenden Servers. Z. B. wenn ein Server die IP 222.153.243.117 besitzt, dann ist die Zeichenkette, die im Drilling genutzt wird, 222.153.243. Dies beinhaltet bis zu 256 (.0 - .255) Server, meistens innerhalb der gleichen Organisation. Das bedeutet, dass falls eine Organisation mehrere absendende Mailserver verwendet (typischerweise im gleichen Subnetz), ist es egal, von welchem Server der zweite Zustellungsversuch unternommen wird.
Die meisten Supportfragen bezüglich temporär abgewiesener Verbindungen entstehen, da viele Kunden nur den Eintrag im Log sehen, dass die Nachricht temporär abgewiesen wurde und sich nicht bewusst sind, dass dies nicht bedeutet, dass die Nachricht geblockt bzw. als Spam identifiziert wurde. Die Zustellung Nachricht wurde nur kurz verzögert, um zu verifizieren, dass der absendende Server legitim (in Übereinstimmung mit den Anforderungen für SMTP-Server) ist. Es sollte auch beachtet werden, dass Verzögerungen aufgrund von Greylisting auf der Seite des Absenders liegen: Die Meldung "451 temporary fail" bedeutet lediglich "Versuche es später nochmal". Unser System akzeptiert die Nachricht dann nach 10 Minuten, aber wir haben KEINE Kontrolle darüber, wie lange der sendende Server braucht, um es erneut zu versuchen. Die meisten Absender-Server versuchen es nach ein paar Minuten erneut, aber einige können Stunden warten.
Mehr Informationen über RFC und "Greylisting" kann in Sektion 5.3.1.1 im RFC1123 (https://www.ietf.org/rfc/rfc1123.txt) gefunden werden.