Greylisting

Der Begriff Greylisting bezeichnet eine sehr effektive Form der Spam-Bekämpfung bei E-Mails, bei der die erste E-Mail von unbekannten Absendern zunächst für 60 Sekunden abgewiesen und erst nach einem weiteren Zustellversuch angenommen wird.

Greylisting ist sowohl eine Methode, Spam zu erkennen, als auch eine Methode, den Absender aussortierter E-Mails zu benachrichtigen.

Wird ein SMTP-Server kontaktiert, damit dieser eine E-Mail in Empfang nimmt, so sind diesem Mailserver folgende drei Daten bekannt, bevor der Mail-Server die E-Mail annehmen muss (der „SMTP-Envelope“):
1. IP-Adresse des absendenden Mailservers
2. E-Mail-Adresse des Absenders laut diesem
3. E-Mail-Adresse der Adressaten

Wurde eine E-Mail mit dieser Kombination von Adressen noch nie empfangen, dann wird beim Greylisting der Zustellversuch durch den SMTP-Server abgeblockt mit einer Meldung, dass ein temporärer Fehler aufgetreten sei, der SMTP-Client die Zustellung also später noch einmal versuchen soll. Wird ein nächstes Mal versucht, eine E-Mail mit derselben Kombination von Daten zuzustellen (was ein regulärer und RFC-konform konfigurierter SMTP-Server auf jeden Fall tun sollte), so wird diese E-Mail (nach einem konfigurierbaren Zeitintervall) akzeptiert. Ob und wann ein erneuter Zustellversuch unternommen wird, hängt einzig und allein vom Versender ab. Es gibt auch Greylisting-Implementierungen, die die Regeln ein wenig lockern, indem z. B. die beteiligten Domains statt der E-Mail-Adressen eingetragen und überprüft werden.

Typische Software für den Massen-Versand von E-Mails (insbesondere Würmer oder Trojaner) versucht oft nicht, eine (Spam-)E-Mail ein zweites Mal an denselben SMTP-Server zuzustellen. Solche E-Mails werden durch „Greylisting“ erfolgreich gefiltert. Zurzeit ist damit eine sehr effektive Spambekämpfung möglich, die den Spam auf bis zu ein Zehntel reduziert.

Durch die verzögerte Zustellung greifen auch Verfahren zur Spamerkennung, die auf Netzwerkprüfungen basieren, effektiver (wie z. B. RBLs, Vipul’s Razor und DCC), da zwischen erstem und zweitem Zustellungsversuch die Spamwelle evtl. bereits erkannt und auf den entsprechenden Blacklisten eingetragen wurde.

Eine E-Mail kann bereits abgelehnt werden, wenn lediglich der E-Mail-Envelope mit Absender- und Empfängerdaten empfangen wurde und nicht erst nachdem die komplette E-Mail (mit Body und ggf. Anhängen) erhalten wurde. Auf diese Weise werden weitere Spamfilter wie z. B. Spamassassin nicht mit einer abgewiesenen E-Mail belastet, was erheblich Ressourcen spart.

Anders als bei heuristischen Spam-Bekämpfungs-Verfahren geht durch „Greylisting“ im Normalfall keine E-Mail verloren. Unsere Greylisting-Implementierungen führt eine dynamische Whitelist. Nach einer erfolgreichen E-Mail-Zustellung wird die Kombination Sender, Empfänger und E-Mail-Server für 30 Tage in die Whitelist eingetragen. Kombinationen, die in der Whitelist vermerkt sind, umgehen das Greylisting, wodurch die E-Mail bereits beim ersten Versuch zugestellt wird. Findet zwischen zwei Personen wiederholt ein E-Mail-Versand statt, wird dieser also nicht durch das Greylisting behindert.

Damit eine Mail von einem Mailpartner, mit dem Sie bisher schon Kontakt hatten bei uns wieder ins Greylisting zurückfällt, muss auf den Absender (mindestens) eine der folgenden Punkte zutreffen:

1. Die letzte Mail von diesem Absender an Sie (mit der selben Absender-Email-Adresse) ist länger als 30 Tage her
2. Der Absender hat seinen Mail-Server getauscht
3. Der Absende-Mailserver steht auf einer von uns nur bedingt zur Ablehnung verwendeten Blacklist (z.B. cbl.abuseat.org). Wenn ein Mailserver auf einer dieser Liste steht, genügt uns dies nicht, um eine Mail Direkt abzulehnen. Sie wird nur einmalig verzögert um sicherzugehen.