Greylisting

Beim Greylisting handelt es sich um eine Form der Spam-Bekämpfung. Anders als bei anderen Verfahren wird hierbei aber nicht der Inhalt der E-Mails gefiltert und überprüft (wie z.B. bei heuristischen Verfahren) sondern es werden Eigenschaften des beim E-Mail-Versand benutzten Protokolls SMTP ausgenutzt. Dadurch ist dieses Verfahren sehr effizient und sog. »False-Positives«, also fälschlicherweise als Spam erkannte Nachrichten, werden fast komplett vermieden. Ein positiver Nebeneffekt: da von den E-Mails anstatt des kompletten Mail-Bodys nur die Envelope-Information übertragen und geprüft werden, fällt fast kein Traffic an, der je nach Anbindung teuer abgerechnet wird.

Funktionsweise

Wird ein Mailserver kontaktiert, damit dieser eine E-Mail in Empfang nimmt, so sind diesem Mailserver, noch bevor er die komplette Mail empfangen wurde, die folgenden Informationen bekannt:

• IP-Adresse des Servers/Clients der versucht, die E-Mail zu senden

• E-Mail-Adresse des E-Mail-Senders

• E-Mail-Adresse des E-Mail-Empfängers

Wurde eine E-Mail mit dieser Kombination noch nie zuvor empfangen, so wird, noch bevor weitere Daten (der E-Mail-Body) übertragen werden, die Auslieferung der E-Mail mit einer Meldung, dass ein temporärer Fehler aufgetreten ist, geblockt. Der sendende Server steht nun auf der Greylist. Ein korrekt konfigurierter Mailserver wird die E-Mail nach kurzer Zeit erneut zustellen. Da die Kombination aus IP-Adresse, Empfänger- und Absender-E-Mail-Adresse dann schon auf dem empfangenden System bekannt ist wird der Zustellversuch nun zugelassen und die IP-Adresse des Senders wird in einer automatisch generierten »Whitelist« eingetragen. Sollte dieser Mailserver in der Zukunft weitere E-Mails zustellen wollen, werden dieser Verbindungen sofort akzeptiert und müssen nicht mehr durch den Greylisting-Prozess.

Vorteile

Typische Software für den Massenversand von E-Mails (insbesondere Würmer oder Trojaner) versucht oft nicht, eine (Spam-)E-Mail ein zweites Mal an den selben SMTP-Server zuzustellen. Solche E-Mails werden durch Greylisting erfolgreich gefiltert. Zur Zeit ist damit, abhängig vom Mail- und Spamaufkommen, eine sehr effektive Spambekämpfung möglich, die das Spamaufkommen um 85% — 95% reduziert.

Anders als bei heuristischen Spam-Bekämpfungs-Verfahren geht durch Greylisting im Idealfall keine »reguläre« E-Mail verloren.

Nachteile

Ein Nachteil des Greylistings ist eine Verzögerung von E-Mails, die je nach sendendem System zwischen einer halben und vier Stunden liegen kann. Diese Verzögerung beschränkt sich allerdings nur auf die erste E-Mail die von diesem System zugestellt wird. Weitere Mails dieses Servers werden nach erfolgreichem durchlaufen des Greylisting-Prozesses ohne weitere Verzögerungen sofort zugestellt. Da der E-Mail-Verkehr in den meisten Netzwerken aber »statisch« und die meisten E-Mails zwischen immer den gleichen Empfängern ausgetauscht werden ist nach einer kurzen »Lernphase« des Filters (etwa ein bis zwei Wochen) von der Verzögerung nichts mehr zu spüren.

Leider gibt es auch einige (evtl. fehlerhaft, in jedem Fall aber unzureichend) entwickelte Mailserver-Programme, die bei temporären Fehlern keinen späteren Zustellversuch unternehmen, sondern die E-Mail trotz nicht erfolgter Zustellung verwerfen. Eine gewünschte Nachricht geht somit verloren. Solche Probleme treten aber sehr selten auf und können durch das manuelle Hinzufügen dieser Server zur Whitelist behoben werden.

Greylisting funktioniert nur am SMTP-Gateway. Das Verfahren kann nicht zum Einsatz kommen, wenn E-Mails z.B. per POP3 abgerufen werden. Greylisting kann nur auf dem System zum Einsatz kommen, das als MX für eine Domain eingetragen ist.