Apakah greylisting masih merupakan metode yang efisien untuk mencegah spam?

Saya telah menggunakan greylisting di server saya selama bertahun-tahun, tetapi saya tidak tahu seberapa efektifnya saat ini.

Apakah masih bagus untuk memerangi spam di tahun 2012?

Atau apakah MTA spammer khas mampu mengirim ulang email yang di-greyl sekarang?

Pembaruan dari 2018:

Saya selalu penggemar greylisting. Untuk alasan-alasan ini:

• Itu tidak hanya menandai spam, tetapi memblokirnya.
• Adalah sah untuk digunakan sebagai penyedia layanan di Jerman (tidak seperti menghapus email spam setelah penerimaan)
• Sederhana dan efektif.
• Itu menambah beban ke spammer dan bukan ke server surat yang Anda terima. Jadi meskipun spammer mungkin berhasil melalui greylisting Anda, Anda memaksa mesin mereka untuk bekerja lebih keras dan dengan demikian mereka dapat mengirim lebih sedikit spam secara total.
• Itu hampir tidak memblokir surat yang sah, tidak seperti RBL berbasis IP dll.
• Ini menimbulkan penundaan, tetapi Anda dapat memasukkan daftar putih klien (pengirim server) dari kontak yang sering dan penerima daftar putih yang benar-benar membutuhkan email dengan penundaan minimum. Ingatlah bahwa menggunakan filter spam seperti Spamassasin secara langsung pada semua email Anda (tanpa greylisting) juga dapat menyebabkan penundaan email yang sah: Beberapa spammer mengirim begitu banyak email ke server Anda sehingga filter spam kelebihan beban. Dengan demikian, itu akan mengirim kegagalan sementara (misalnya 451) ke server pengirim surat masuk lebih lanjut. Hal ini menyebabkan efek yang sama dengan daftar hijau, yaitu surat tertunda, dengan pengecualian bahwa daftar putih tidak semudah itu. Tentu saja, Anda dapat menggunakan filter spam cloud yang berskala pada kekuatan apa pun yang dimiliki oleh spammer, tetapi itu mungkin lebih mahal.
• Perawatan terbatas atau tidak diperlukan. Tidak ada daftar hitam yang perlu diperbarui dan diubah seiring waktu. Tidak ada aturan berbasis pola yang perlu diperbarui.

Tapi sayangnya, dalam statistik saya, saya melihat bahwa di tahun ini, greylisting menjadi kurang efektif. Jumlah pesan yang tertunda sangat mendekati jumlah pesan yang di-greylist lebih cepat, yang berarti jumlah spam yang diblokir berkurang.

Pada tahun lalu (365 hari), 55% dari pesan yang di-greylade akhirnya berhasil melalui greylisting, yaitu 45% diblokir.

statistik surat pos tahun

Perhatikan bahwa bagan ini termasuk jangka waktu di mana pesan yang di-greylized tidak dihitung karena kesalahan konfigurasi mailgraph, hanya yang tertunda. Ini berarti perhitungan ini sedikit melebih-lebihkan pesan tertunda, bahkan lebih banyak email diblokir.

Pada bulan lalu, 64% tertunda dan hanya 36% diblokir.

statistik pos bulan

Dalam minggu terakhir, 75% tertunda dan hanya 25% diblokir.

statistik pos minggu

Selain itu, melihat jumlah total pesan yang diblokir: Bulan ini, greylisting memblokir 4 411 pesan, tetapi Amavisd (spamassasin) memblokir 22.763 pesan. Ini berarti hanya 16% dari spam yang diblokir oleh greylisting, dan sisanya oleh amavisd.

Selain itu, semakin banyak penyedia pengiriman awan mengirim dari beberapa ratus alamat IP. Mereka mencoba setiap upaya transmisi dari IP lain. Dengan demikian, greylisting dapat memblokir email ini selama berhari-hari. Karena itu, Anda perlu memasukkan semua penyedia email "baik" ke daftar putih. Ini memperkenalkan upaya pemeliharaan baru.

Saya selalu menjadi penggemar greylisting, tetapi sayangnya, saya melihat ini menjadi semakin tidak efektif, dan saya pikir saya akan segera menonaktifkannya, karena mulai hanya menunda 14% dari email saya yang tidak perlu tanpa memblokir banyak spam .

Statistik yang menyesatkan

Jumlah surat yang diblokir dalam statistik saya (dan Anda) mungkin juga sebagian besar menyesatkan. Mari kita ambil satu email yang datang dari penyedia cloud mail besar (seperti Microsoft * .outbound.protection.outlook.com) yang belum masuk daftar putih. Upaya pertama gagal. Upaya transmisi kedua dan ketiga datang dari dua server lain (IP), sehingga gagal lagi, karena triplet tidak cocok. Sekarang upaya keempat datang dari server pertama lagi dan berhasil. Ini akan dihitung sebagai satu transmisi yang tertunda dan empat pesan berwarna. Perhitungan saya di atas akan menunjukkan bahwa 1/4 = 25% pesan greylisted tertunda dan 3/4 = 75% diblokir. Namun faktanya, tidak ada satu pesan pun yang diblokir. Sekarang kami membuat daftar putih server dari penyedia surat ini, sehingga mereka tidak akan di-greylisted lagi. Apa yang akan terjadi adalah jumlah pesan yang di-greyl akan turun lebih banyak dari jumlah pesan yang tertunda. Ini berarti bahwa jumlah pesan yang diblokir yang kami hitung akan turun. Tetapi tidak benar bahwa lebih sedikit pesan yang diblokir.

Bahkan, apa yang saya lakukan sejak Februari 2017, adalah menambahkan semakin banyak penyedia cloud mail ke daftar putih untuk mengatasi masalah penundaan yang lama karena greylisting. Ini mungkin menjelaskan (sebagian?), Mengapa jumlah surat yang diblokir yang saya hitung akan turun dengan cepat. Jadi mungkin, saya hanya berpikir sepanjang waktu bahwa greylisting memblokir banyak spam, tetapi jumlah spam yang diblokir jauh lebih sedikit sepanjang waktu, itu hanya dihitung secara tidak benar. Jadi berhati-hatilah saat menafsirkan statistik Anda.

Saya terakhir melihat ini secara kuantitatif pada bulan Juli tahun ini (2012). Pada bulan Juli, server surat saya menerima sekitar 46.000 upaya untuk mengirim surat; dari mereka, sekitar 1.750 dikembalikan dan diizinkan melalui greylisting (dan lulus domain pengirim yang valid, SPF dan beberapa tes berbasis non-konten lainnya). Dari jumlah tersebut, sekitar 1.500 lainnya difilter oleh pemfilteran berbasis konten saya ..

Dengan asumsi bahwa 44.250 email itu adalah spam (karena mereka tidak bisa lulus greylisting, saya pikir itu asumsi yang adil), jika bukan karena greylisting, penyaringan berbasis konten saya harus berurusan dengan 46.000 mail, bukannya 1.750.

Peningkatan beban 25 kali lipat pada pemfilteran berbasis konten saya akan mengharuskan saya memiliki CPU yang lebih besar dan lebih banyak memori. Itu pada gilirannya akan meningkatkan biaya hosting bulanan saya, karena konsumsi daya ekstra (dan, mungkin, ukuran server).

Singkatnya, terakhir kali saya hitung, ya, greylisting masih masuk akal, sebagai bagian dari sistem penyaringan spam yang lengkap . Saya telah mengaktifkannya untuk klien dalam beberapa minggu terakhir, dan semuanya sangat senang dengan penurunan beban pada sistem penyaringan berbasis konten mereka juga.

Sunting : Saya perhatikan bahwa saya belum menjawab pertanyaan tentang apakah itu menjadi kurang efektif seiring waktu. Ketika saya menyalakannya, pada akhir 2006, perkiraan saya pada waktu itu adalah bahwa ia menyaring sekitar 95% dari spam. 1.750 dengan proporsi 46.000 adalah sekitar 4%, jadi data saya menunjukkan bahwa itu tidak menjadi kurang efektif selama periode waktu itu.

robot spam biasanya masih tidak melakukan antrian pesan, tetapi beberapa dari mereka hanya mengirim spam dua kali ke setiap penerima dengan penundaan beberapa menit untuk mengalahkan greylisting. juga, saat ini, spam dari robot spam bukan masalah sebenarnya lagi, spam dari akun yahoo yang dikompromikan dll jauh lebih sulit untuk ditangkap.

Dari sudut pandang itu, greylisting tidak seefektif dulu. Dalam kombinasi dengan teknik anti-spam lainnya masih bisa membantu, misalnya jika domain Anda sering berada di "batch pertama" dari kampanye spam, greylisting dapat membantu menunda pesan cukup lama untuk daftar domain / ip blacklist untuk menyusul, jadi jika spam akan menyelinap melalui filter Anda pada upaya koneksi pertama, mungkin terdeteksi pada upaya kedua.

Sebagai masalah tangensial, saya tidak suka berada dalam posisi telah menggunakan teknik seperti greylisting tanpa dapat mengukur efektivitasnya. Pada Debian, dengan postfix sebagai MTA dan postgrey sebagai mesin kebijakan greylisting, Anda bisa apt-get install mailgraphmendapatkan grafik sederhana dari surat yang diterima dan ditolak. Mailgraph agak kuno dan sepenuhnya mandiri, tetapi berfungsi, dan data atau tekniknya dapat dengan mudah diintegrasikan ke dalam sistem pemantauan modern yang lebih kompleks.

Dapatkan filter surat berbasis reputasi. Greylisting agak kuno dan bukan solusi yang komprehensif. Ada beberapa solusi (dari perspektif spammer), dan waktu pengiriman surat yang tidak dapat diprediksi untuk pengguna Anda ...

Entah menyaring pemfilteran ke layanan cloud atau membeli alat yang memiliki akses ke daftar tersebut dan memiliki metode lain untuk memvalidasi spam. Rekomendasi saya biasanya Barracuda untuk alat mereka atau untuk solusi penyaringan cloud mereka . Kedua opsi memiliki skala ekonomis dan heuristik matang yang memberikan solusi keseluruhan yang lebih bersih.

Melihat salah satu laporan Barracuda Spam Filter klien saya untuk September 2012, dari 98.457 pesan, 1.623 terputus bahkan sebelum mengenai server email karena penerima yang buruk ... 34.488 diblokir sebagai SPAM . Hanya 96 pesan yang dipertanyakan yang berhasil dilaluinya. Yang dinilai sebagai SPAM adalah kombinasi antara reputasi, skor, niat, tiga RBL, filter Bayesian , dan aturan kebiasaan. Semua dalam satu unit ... Semua diproses sebelum mengenai server surat yang relatif kecil.

Lihat juga: Memerangi Spam - Apa yang dapat saya lakukan sebagai: Administrator Email, Pemilik Domain, atau Pengguna?