Wir wenden eine fortschrittliche Form des Greylisting an, um eine erhebliche Menge an Spam mit minimalem Ressourcenverbrauch zu stoppen. Obwohl Greylisting eine umstrittene Technologie ist, ist sie, wenn sie richtig angewendet wird, sehr effektiv.
Zunächst einmal ist es wichtig zu erwähnen, dass alle Knoten innerhalb des Clusters synchronisiert sind und die Verbindungen untereinander kennen. Daher spielt es für die Greylisting-Technologie keine Rolle, zu welchem Knoten eine Verbindung hergestellt wird. Außerdem werden die "seriösen Hosts" zentral erfasst, um Verzögerungen beim Greylisting von bekannten legitimen Servern zu vermeiden.
Die Greylisting-Funktion basiert auf den „Triplet“-Informationen, die aus „IP des sendenden Servers /24 Subnetz“/“E-Mail-Adresse des Absenders“/“E-Mail-Adresse des Empfängers“ bestehen. Wenn wir eine Verbindung von einem unbekannten „Triplet“ erhalten, wird die Verbindung für 10 Minuten nach dem ersten Versuch vorübergehend abgelehnt (SMTP-Code 4xx). Eine vorübergehende Zurückweisung bedeutet in diesem Fall, dass der sendende Server aufgefordert wird, die E-Mail vorübergehend in eine Warteschlange zu stellen und es später automatisch erneut zu versuchen. Jeder legitime SMTP-Server muss dies laut RFC unterstützen, und es handelt sich um einen vollautomatischen Prozess, über den der ursprüngliche Absender nicht benachrichtigt wird. Es spielt keine Rolle, wie oft der Server es innerhalb des 10-Minuten-Intervalls erneut versucht oder an welchen Knotenpunkt, erst nach Ablauf der 10 Minuten akzeptieren wir die E-Mail. Dies führt zu einer kurzen Verzögerung bei der Zustellung, daher gibt es ein fortschrittliches automatisches System, um solche Verzögerungen zu minimieren. Nachdem die E-Mail von einem zuvor unbekannten „Drilling“ akzeptiert wurde, wird der „Drilling“ „weiß“, um zu vermeiden, dass Verbindungen von solchen Drillingen in Zukunft vorübergehend abgelehnt werden. Darüber hinaus wird das Subnetz bzw. die Subnetz+Adresse in ein internes „Greylisting Whitelist“-System aufgenommen, um zu verhindern, dass Verbindungen von dieser IP-Adresse auf die Greylisting-Liste gesetzt werden, wenn wir (mindestens) 5 verschiedene erfolgreiche (weiße) Tripletts von derselben IP /24-Subnetze oder (mindestens) 2 verschiedene erfolgreiche (weiße) Tripletts vom selben Subnetz und derselben Absender-E-Mail-Adresse gesehen haben.
Alle aktiven Mailserver, die den Servern E-Mails zustellen, werden daher nicht von der Greylisting-Technologie beeinflusst, da sie auf der internen „Greylist-Whitelist“ stehen. Die Greylisting-Technologie wird nur auf neue, unbekannte Server angewandt. Server, die wegen des Versands von Spam auf eine schwarze Liste gesetzt wurden, verlieren ihren Eintrag in der Whitelist wieder, sodass sie in Kürze für neue Verbindungen auf die Greylist gesetzt werden können.
- Greylist-Drillinge werden nach 10 Minuten weiß.
- IP-Subnetze werden nach 5 weißen Triplets in die „Greylisting-Whitelist“ aufgenommen.
- IP-Subnetz + Absender-Adresspaare werden nach 2 weißen Subnetz+Adresspaaren in die „Greylisting-Whitelist“ aufgenommen.
- Graue Einträge in der Greylist verfallen nach 8 Stunden.
- Weiße Einträge in der Greylist verfallen nach 60 Tagen (wenn sie nicht mehr gesehen wurden).
- Greylist-Tripletts gelten nur für einzelne Empfängerdomänen, aber die „Greylisting-Whitelist“ wird für alle Domänen eines Clusters gemeinsam genutzt.
Info = Informationsmeldung
Die meisten Supportanfragen zu vorübergehend abgelehnten Verbindungen sind darauf zurückzuführen, dass die Kunden die Protokolleinträge zur vorübergehenden Ablehnung sehen und nicht wissen, dass die Nachricht NICHT blockiert/als Spam identifiziert wurde. Die Nachricht wurde nur kurz verzögert, um zu überprüfen, ob sich der sendende Server korrekt verhält (gemäß den Anforderungen an SMTP-Server).
Die „IP des sendenden Servers /24 Teilnetze“ ist im Grunde der erste Teil der IP-Adresse des sendenden Servers. Wenn die IP-Adresse des Servers zum Beispiel 222.153.243.117 lautet, würde die Zeichenfolge im „Triplett“ „222.153.243“ lauten. Dies schließt bis zu 256 (.0 bis .255) Server ein, fast immer innerhalb derselben Organisation. Das heißt, wenn eine Organisation mehrere sendende Server hat (typischerweise innerhalb desselben Subnetzes), spielt es keine Rolle, welcher sendende Server den zweiten Versuch unternimmt. Weitere Informationen zu RFC und Greylisting finden Sie in Abschnitt 5.3.1.1 von RFC1123