Что такое Greylisting?

Greylisting — это эффективный метод предотвращения рассылки спама по электронной почте. Он работает на почтовом сервере получателя электронной почты и не требует от отправителя или получателя выполнения каких-либо настроек.

Теоретически, ни одно законное письмо не должно быть потеряно из-за greylisting. Поэтому он является одним из наиболее широко используемых методов в глобальной борьбе со спамом.

Совет

Используйте частный или корпоративный адрес электронной почты с собственным доменом.

Если вы используете собственный почтовый сервер, вам следует рассмотреть возможность использования greylisting для обеспечения базовой защиты от спама.

Сфера применения greylisting

Спам-фильтры — это сложные программные продукты, которые используют эвристику для обнаружения спама. В отличие от этих сложных процедур, greylisting предназначен для предотвращения доставки откровенного спама. Поскольку Greylisting основан на простом процессе, для его выполнения не требуется значительного количества ресурсов.

Greylisting используется, в частности, для борьбы с незаконной массовой рассылкой спама по электронной почте. Незапрашиваемая массовая электронная почта (UBE) относится к неперсонализированным массовым электронным письмам. Для этой цели часто используются списки купленных или украденных адресов электронной почты.

Эти электронные письма обычно отправляются с захваченных компьютеров ничего не подозревающих пользователей. Компьютеры объединяются в ботнеты с удаленным управлением и используются для массовой рассылки спама по электронной почте. Обычно в таких волнах спама используются поддельные адреса отправителей электронной почты.

Greylisting не подходит для борьбы с нежелательной коммерческой электронной почтой (UCE). Они рассылаются индивидуально и часто являются персонализированными письмами от реальных компаний или профессионалов. Для борьбы с этим типом спама используются фильтры на основе содержания и черные списки.

Принцип работы greylisting

Greylisting фокусируется на фильтрации потенциально спамовых писем в процессе доставки. Давайте рассмотрим, как именно работает этот процесс.

Для передачи электронного письма от отправителя к получателю используется простой протокол передачи почты (SMTP). Как правило, электронное письмо, отправленное через Интернет, проходит путь, описанный ниже:

  1. Отправитель составляет письмо с помощью своего почтового агента пользователя (MUA). Это может быть локально установленное почтовое приложение или интерфейс веб-почты.
     
  2. Чтобы отправить письмо, агент пользователя почты устанавливает SMTP-соединение с агентом передачи почты отправителя (MTA). Это программное обеспечение на SMTP-сервере, которое принимает и пересылает электронную почту.
     
  3. Агент передачи почты отправителя пересылает электронное письмо агенту передачи почты получателя. Если агент принимает письмо, оно доставляется в папку входящих сообщений получателя.
     
  4. Если получатель синхронизирует свой локальный почтовый ящик с помощью протокола IMAP или POP3, письмо будет отображено как новое сообщение.

Создание Greylisting происходит на третьем этапе, когда агент передачи почты получателя получает письмо. Получающему MTA необходимы три части данных, прежде чем будет принято полное письмо:

  • IP-адрес почтового сервера отправителя
  • Адрес электронной почты отправителя с помощью SMTP-команды «MAIL FROM»
  • Адрес электронной почты получателя с помощью команды SMTP «RCPT TO».

Так как эти данные доступны Агенту передачи почты до получения самого сообщения, они также называются «данными конверта». Mail Transfer Agent записывает данные конверта для каждого входящего письма в список (т.е. greylist). Вот пример того, как может выглядеть запись в списке greylist:

IP-адрес Отправитель Получатель
192.0.2.3 anne@example.com fred@example.net

Когда набор данных конверта встречается впервые, агент передачи почты сначала отклоняет письмо. Затем возвращается код ошибки, указывающий на возникновение технической проблемы. Агенту передачи почты будет предложено повторить попытку отправки письма после определенного периода ожидания.

Легитимный агент передачи почты, соответствующий стандартам, выполнит этот запрос и попытается переслать письмо позже. При повторной попытке переслать письмо данные конверта уже будут в списке greylist, и письмо будет доставлено.

В отличие от этого, незаконно отправляющий почтовый агент обычно не будет повторять попытку. Здесь мы видим работу функции защиты от спама, которую выполняет greylisting. Поскольку вторая попытка доставки письма не предпринимается, спам никогда не будет доставлен. Получатель, защищенный этой функцией, даже не заметит этого. Это очень элегантное решение для избавления от надоедливого спама.

Однако у greylisting есть существенный недостаток. Из-за времени ожидания, необходимого для второй попытки доставки, некоторые письма могут дойти до получателя только после заметной задержки. Иногда это может занять несколько часов.

Вы могли столкнуться с этой проблемой при использовании функции сброса пароля для онлайн-сервиса: Вы не получили запрошенное вами сообщение электронной почты для сброса пароля. Вы несколько раз безуспешно пытаетесь запросить письмо еще раз. Через несколько часов вы получаете несколько таких писем почти одновременно. Однако срок действия содержащихся в них ссылок на сброс пароля уже истек. Источником этой неприятной ситуации является greylisting вашего адреса электронной почты.

Схема того, как работает greylisting

(a) Почтовый агент пользователя (MUA) передает электронное письмо на почтовый сервер отправителя (P).

(b) Почтовый сервер отправителя (P) пересылает письмо на почтовый сервер получателя (Q). Он проверяет данные конверта письма: IP-адрес сервера-отправителя и адреса электронной почты отправителя и получателя. Если набор данных, содержащий эти три части информации, не может быть найден на почтовом сервере получателя (Q), сервер первоначально отклоняет письмо, указывая, что произошла техническая ошибка. Почтовый сервер получателя (Q) запишет данные о конверте в таблицу, тем самым занеся письмо в «зеленый список».

(c) Если это законно отправленное письмо, почтовый сервер отправителя (P) попытается отправить письмо снова после периода ожидания. Поскольку данные конверта теперь могут быть найдены на почтовом сервере получателя (Q), письмо будет отправлено. По желанию данные конверта могут быть добавлены в белый список почтового сервера. В этом случае все последующие входящие письма с теми же данными конверта будут доставлены без задержки.

(d) Если это незаконно отправленное письмо, то, как правило, повторная попытка его доставки не предпринимается. В этом случае грейлистинг выполнил свою задачу по борьбе со спамом, поскольку незаконное письмо никогда не будет доставлено.

Greylisting обычно используется в сочетании с другими технологиями борьбы со спамом. Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication, Reporting and Conformance (DMARC) используются для защиты электронной почты от распространенных видов злоупотреблений.

Greylisting особенно хорошо работает в сочетании с белыми и черными списками, которые являются аналогичными методами. В качестве примера рассмотрим хронологическую последовательность попыток доставки, предпринятых на принимающий почтовый сервер:

Это список попыток доставки электронной почты (от e1 до e5), расположенных в хронологическом порядке.

e1) Получено письмо от отправителя, который еще не найден в списке greylist («Listed? No.»). Агент по передаче почты отклоняет письмо, указывая, что произошла техническая ошибка. Данные конверта записываются в greylist.

e2) Позже от того же отправителя доставляется другое электронное письмо тому же получателю. Поскольку данные конверта уже есть в списке greylist, письмо доставляется. Кроме того, данные конверта внесены в белый список.

e3) После последней переписки между Анной и Фредом IP-адрес SMTP-сервера Анны изменился. Ранее он был 192.0.2.3, а теперь 192.0.2.34. Таким образом, Анна рассматривается как неизвестный отправитель и попадает в greylist первой.

e4) Позже Анна снова пишет Фреду. На этот раз SMTP-сервер используется под исходным IP-адресом 192.0.2.3. Поскольку данные конверта уже находятся в белом списке, письмо Анны доставляется немедленно.

e5) Попытка доставки осуществляется с сервера под IP-адресом 192.0.2.66. Поскольку этот сервер занесен в черный список как известный вредоносный сервер, доставка письма отклоняется. Похоже, что адрес отправителя anne@example.com был подделан.

Преимущества и недостатки greylisting

Преимущества Недостатки
Пользователь не нуждается в настройке Пользователь может не знать, что greylisting активен
Обычно не приводит к потере электронной почты В редких случаях некоторые законные электронные письма могут быть потеряны
Временная задержка при приеме электронной почты может помочь внести вредоносных отправителей в черный список Временные задержки могут заставить пользователей задуматься о том, правильно ли работает их почтовый сервер: «Иногда электронные письма не доходят».
Временные задержки могут защитить вас от новых неопознанных вредоносных программ Может быть слишком медленным для чувствительного ко времени содержимого электронной почты (например, ссылки на сброс пароля и т.д.)
В отличие от большинства спам-фильтров, использует меньше ресурсов  
Очень эффективная технология, обеспечивающая значительную поддержку почтовых серверов по всему миру  

Какие проблемы связаны с greylisting?

Хотя greylisting обеспечивает некоторые привлекательные преимущества, у этой технологии есть и некоторые проблемы:

  • IP-адрес SMTP-сервера отправителя должен оставаться неизменным. Если IP-адрес SMTP-сервера отправителя изменится, входящее письмо на SMTP-сервер получателя будет определено как неизвестное, что приведет к занесению письма в greylisting.
     
  • Иногда доставка может быть неудачной, если почтовый сервер отправителя неправильно внедрен или настроен. Если Mail Transfer Agent отправителя не выполнит запрос на повторную отправку письма, оно не будет доставлено.
     
  • Эта мера безопасности может быть обойдена спамерами, использующими значительное количество ресурсов. Теоретически, спамеры могут отправлять свои письма несколько раз, чтобы обойти greylisting. Однако в настоящее время это требует настолько больших материально-технических затрат, что не стоит того.

Временные задержки могут привести к тому, что чувствительное ко времени содержимое электронной почты может стать недействительным. Это распространенная проблема при попытке сбросить пароль. Письмо со сбросом пароля приходит от неизвестного отправителя и, таким образом, застревает в процессе грейлистинга получателя. К тому времени, когда отправитель снова посылает письмо, проходит так много времени, что срок действия ссылки для сброса пароля или кода входа уже истек.

Оцените статью
cdelat.ru
Добавить комментарий