Проект

Общее

Профиль

Действия

Приложение 1. Технологии защиты на примере Greylisting

Greylisting — способ автоматической блокировки спама, основанный на том, что поведение спамерского сервера, оптимизированного на рассылки, отличается от поведения обычных серверов электронной почты.

Сервер, который использует Greylisting, отклоняет любое письмо от неизвестного отправителя, но при этом запоминает адрес отправителя. Смаперский сервер не повторяет попытки доставки, не смотря на то, что так положено по протоколу SMTP. Правильный сервер согласно RFC повторит попытку. В этом случае принимающий сервер найдет адрес отправителя в своих серых списках и незамедлительно примет письмо.

Вот как это выглядит в логе почтового сервера Tegu.

Разберемся:

  • 18:25:20 - Входящее письмо с адреса . Tegu отказывается принять письмо и помещает адрес отправителя в серый список.
  • 18:31:37 - Повторная попытка отправки письма с адреса . Tegu нашел пару IP адрес и email отправителя в серых списках, поэтому перемещает адрес в белые списки и принимает письмо.
  • 18:31:51 - Обработка принятого письма завершена. Письмо доставлено получателю

Выводы:

  • На сколько же затормозится доставка почты? Очевидно, что точный ответ на данный вопрос дать невозможно т.к. это зависит не от Tegu, а от настроек отправляющего сервера. Обычно это несколько минут.
  • Обратите также внимание, что сессия в 18:25:20 была инициирована с вычислительной нодой tegu-node1, а в 18:31:37 балансировщик отправил трафик на ноду tegu-node2. Однако т.к. все сессии почтового кластера хранятся в единой БД, то вторая нода корректно отработала сессию, начатую первой нодой.
  • Как показывает практика, долю нежелательной почты, которую удаётся отсечь с помощью Greylisting, достаточно велика. При этом ощутимо снизится и почтовый трафик, т.к. в отличие от анализаторов спама приём спамерского сообщения не производится.
  • Greylisting исключает ложные срабатывания, когда добропорядочное письмо блокируется фильтром и не попадает к адресату.
  • Greylisting юридически чист. Блокирование почты на основании DNSBL, или прочтение почты анализаторами может вступить в определенное противоречие, но не Greylisting.

Обновлено Кальметов Игорь 17 дня назад · 3 изменени(я, ий)