Was ist Greylist?

Greylisting ist eine Methode, die bei der Spam-Filterung verwendet wird, um E-Mails von Absendern, die nicht erkannt werden, vorübergehend zurückzuweisen. Wenn die E-Mail legitim ist, wird der Server, von dem sie stammt, nach einer Verzögerung einen neuen Versuch unternehmen und die E-Mail akzeptieren, wenn genügend Zeit vergangen ist. Wenn die E-Mail von einem Spammer stammt, wird sie in der Regel nicht erneut versucht und daher nie akzeptiert, da ein Spammer Tausende von E-Mail-Adressen durchläuft und sich die Zeitverzögerung in der Regel nicht leisten kann.

Der Begriff "Greylisting" leitet sich von den Begriffen "Blacklist" und "Whitelist" ab, wobei eine Blacklist den Zugang verweigert und eine Whitelist den Zugang erlaubt. Beim Greylisting wird der Eintrag zunächst verweigert, kann aber später zugelassen werden, wenn die Kriterien erfüllt sind. Diese Methode ist besonders effektiv gegen Massen-E-Mail-Tools, die von Spammern verwendet werden und die E-Mails nicht in eine Warteschlange stellen und erneut versuchen, sie zuzustellen, wie es bei einem regulären Mail Transfer Agent üblich ist.

Wie funktioniert das Greylisting?

Greylisting funktioniert nach dem Prinzip der "Triplets". Ein Triplett besteht aus der IP-Adresse des Clients, der die E-Mail versendet, der Absenderadresse des Umschlags und der Empfängeradresse des Umschlags. Wenn eine eingehende E-Mail eintrifft, prüft der empfangende Mailserver seine Greylist auf das Triplett. Wenn das Triplett nicht existiert, sendet der Server eine "temporäre Fehlermeldung", auch bekannt als "soft bounce", an den Absender zurück.

Die legitimen E-Mail-Server werden versuchen, die E-Mail nach einer Verzögerung erneut zu senden, in Übereinstimmung mit dem Simple Mail Transfer Protocol (SMTP). Wenn die E-Mail erneut gesendet wird, erkennt der empfangende Server das Triplett und erlaubt die Zustellung der E-Mail. Die meisten Spamming-Programme versuchen jedoch nicht, die E-Mail erneut zu senden, so dass die Spam-E-Mail nie zugestellt werden kann.

Greylisting Zeitverzögerung

Die Zeitverzögerung, die beim Greylisting verwendet wird, ist entscheidend. Sie wird normalerweise so eingestellt, dass sie lang genug ist, um die meisten Spammer abzuschrecken, die nicht warten werden, um eine E-Mail erneut zu senden, aber kurz genug, um legitime E-Mails nicht wesentlich zu verzögern. Die genaue Länge der Verzögerung kann variieren, aber eine übliche Verzögerungszeit ist 15 Minuten.

Diese Verzögerung kann jedoch bei zeitkritischen, legitimen E-Mails zu Problemen führen. So müssen beispielsweise E-Mails zum Zurücksetzen von Passwörtern oder Bestätigungsmails oft sofort zugestellt werden. In solchen Fällen kann die durch das Greylisting verursachte Verzögerung ein Nachteil sein.

Whitelisting und Greylisting

Einige Server verwenden eine Kombination aus Whitelisting und Greylisting. Sobald eine IP-Adresse den Greylisting-Prozess durchlaufen hat, kann sie in eine Whitelist aufgenommen werden. E-Mails von IP-Adressen, die auf der Whitelist stehen, unterliegen nicht der Verzögerung durch das Greylisting, was dazu beiträgt, dass legitime E-Mails rechtzeitig zugestellt werden.

Die Whitelist kann jedoch möglicherweise Spam-E-Mails durchlassen, wenn die IP-Adresse eines Spammers auf die Whitelist kommt. Um dies zu verhindern, entfernen einige Server in regelmäßigen Abständen IP-Adressen aus der Whitelist und zwingen sie, den Greylisting-Prozess erneut zu durchlaufen.

Vorteile von Greylisting

Einer der Hauptvorteile von Greylisting ist, dass es sich um eine passive Form der Spam-Filterung handelt. Es ist nicht erforderlich, den Inhalt der E-Mail zu scannen oder zu analysieren, was ressourcenintensiv sein kann. Stattdessen verlässt es sich auf das Verhalten des sendenden Servers, was viel weniger Ressourcen beansprucht.

Greylisting ist auch wirksam gegen "Wörterbuchangriffe", bei denen ein Spammer E-Mails an eine große Anzahl von erfundenen E-Mail-Adressen sendet, in der Hoffnung, dass einige davon gültig sind. Da jede neue E-Mail-Adresse zu einem neuen Triplett führt, müsste der Spammer die E-Mail an jede Adresse erneut senden, was in der Regel nicht machbar ist.

Ressourcen-Effizienz

Greylisting ist eine äußerst ressourceneffiziente Methode der Spam-Filterung. Im Gegensatz zu inhaltsbasierten Filtern muss bei Greylisting nicht jede eingehende E-Mail geprüft und analysiert werden, was ein ressourcenintensiver Prozess sein kann. Stattdessen wird bei Greylisting lediglich das Triplett jeder eingehenden E-Mail mit der Liste abgeglichen, was sehr wenig Rechenleistung erfordert.

Da das Greylisting zunächst alle unbekannten Triplets zurückweist, werden die Ressourcen des Servers nicht für die Verarbeitung von Spam-E-Mails verschwendet. Dies kann die Arbeitslast des Servers erheblich reduzieren und seine Leistung verbessern.

Effektivität gegen Wörterbuchangriffe

Wörterbuchangriffe sind eine gängige Methode von Spammern, bei der sie E-Mails an eine große Anzahl von erfundenen E-Mail-Adressen senden, in der Hoffnung, dass einige davon gültig sind. Greylisting ist besonders effektiv gegen diese Art von Angriffen.

Jede neue E-Mail-Adresse führt zu einem neuen Drilling, und da Greylisting zunächst alle unbekannten Drillinge zurückweist, müsste der Spammer die E-Mail an jede Adresse erneut versenden. Das ist für Spammer, die lieber eine große Anzahl von E-Mails in kurzer Zeit verschicken, in der Regel nicht machbar. Daher kann Greylisting wirksam vor Wörterbuchangriffen schützen.

Nachteile von Greylisting

Trotz seiner Vorteile hat das Greylisting auch einige Nachteile. Der wichtigste davon ist die Verzögerung, die es bei der Zustellung von legitimen E-Mails verursacht. Obwohl diese Verzögerung in der Regel nur kurz ist, kann sie bei zeitkritischen E-Mails dennoch ein Problem darstellen.

Ein weiterer Nachteil ist, dass das Greylisting umgangen werden kann, wenn der Server des Spammers so eingestellt ist, dass er E-Mails nach einer Verzögerung automatisch erneut versendet. Dies ist jedoch relativ selten der Fall, da es zusätzliche Ressourcen erfordert und die Geschwindigkeit, mit der der Spammer E-Mails versenden kann, verringert.

Verzögerung bei der E-Mail-Zustellung

Die durch das Greylisting verursachte Verzögerung kann ein erheblicher Nachteil sein. Obwohl die Verzögerung in der Regel nur kurz ist (oft um die 15 Minuten), kann sie bei zeitkritischen E-Mails dennoch ein Problem darstellen. So müssen beispielsweise E-Mails zum Zurücksetzen von Passwörtern oder Bestätigungsmails oft sofort zugestellt werden. In solchen Fällen kann die durch Greylisting verursachte Verzögerung ein Nachteil sein.

Außerdem kann die Verzögerung länger sein, wenn der sendende Server so eingestellt ist, dass er die Zustellung nach einer längeren Zeitspanne erneut versucht. Obwohl der SMTP-Standard eine Verzögerung von 15 Minuten empfiehlt, halten sich nicht alle Server an diese Empfehlung. Einige Server versuchen die Zustellung nach einer viel längeren Verzögerung erneut, was die Zustellung der E-Mail weiter verzögern kann.

Umgehung von Greylisting

Ein weiterer Nachteil des Greylisting ist, dass es umgangen werden kann, wenn der Server des Spammers so eingerichtet ist, dass er E-Mails nach einer Verzögerung automatisch erneut versendet. Dies erfordert zusätzliche Ressourcen und verringert die Geschwindigkeit, mit der der Spammer E-Mails verschicken kann, und ist daher relativ selten. Es ist jedoch immer noch eine Möglichkeit und bedeutet, dass Greylisting keine narrensichere Methode zur Spam-Filterung ist.

Außerdem verwenden manche Spammer eine große Anzahl verschiedener IP-Adressen, um ihre E-Mails zu versenden. Da das Greylisting auf dem Tripel aus der sendenden IP-Adresse, der Absenderadresse des Umschlags und der Empfängeradresse des Umschlags basiert, kann die Änderung eines dieser Elemente das Greylisting umgehen. Dies wird als "IP-Rotation" bezeichnet und ist eine weitere Möglichkeit für Spammer, das Greylisting zu umgehen.

Greylisting und CAPTCHA

Greylisting kann in Verbindung mit anderen Spam-Filtertechniken eingesetzt werden, um seine Wirksamkeit zu erhöhen. Eine solche Technik ist die Verwendung von CAPTCHA.

CAPTCHA steht für "Completely Automated Public Turing test to tell Computers and Humans Apart" (Vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen) und ist eine Art Challenge-Response-Test, der verwendet wird, um festzustellen, ob ein Benutzer ein Mensch oder ein Computer ist. Er wird häufig verwendet, um Bots daran zu hindern, auf bestimmte Teile einer Website zuzugreifen oder bestimmte Aktionen wie das Versenden von E-Mails auszuführen.

Wie CAPTCHA funktioniert

CAPTCHAs funktionieren, indem sie eine Aufgabe stellen, die für einen Menschen leicht, für einen Computer jedoch schwierig zu lösen ist. Dabei kann es sich zum Beispiel um die Identifizierung von Objekten in einem Bild, die Lösung einer einfachen Rechenaufgabe oder die Transkription von verzerrtem Text handeln. Wenn der Benutzer die Aufgabe erfolgreich löst, wird angenommen, dass er ein Mensch ist, und er darf fortfahren.

Durch die Verwendung von CAPTCHA in Verbindung mit Greylisting ist es möglich, die Menge der Spam-E-Mails weiter zu reduzieren. Wenn eine E-Mail durch den Greylisting-Prozess abgelehnt wird, könnte dem Absender ein CAPTCHA vorgelegt werden. Wenn das CAPTCHA erfolgreich ausgefüllt wird, könnte die E-Mail durchgelassen werden, in der Annahme, dass der Absender ein Mensch und kein Spam-Bot ist.

Vor- und Nachteile der Verwendung von CAPTCHA mit Greylisting

Die Verwendung von CAPTCHA in Verbindung mit Greylisting hat mehrere Vorteile. Erstens kann es dazu beitragen, die Anzahl der Spam-E-Mails zu reduzieren, da Bots in der Regel nicht in der Lage sind, CAPTCHAs auszufüllen. Zweitens kann es dazu beitragen, dass legitime E-Mails nicht durch den Greylisting-Prozess verzögert werden. Wenn ein rechtmäßiger Absender ein CAPTCHA erhält, nachdem seine E-Mail abgelehnt wurde, kann er das CAPTCHA ausfüllen, damit seine E-Mail sofort zugestellt wird und die Verzögerung durch das Greylisting umgangen wird.

Es gibt jedoch auch einige Nachteile bei der Verwendung von CAPTCHA mit Greylisting. CAPTCHAs können für Benutzer lästig sein und sie können für Benutzer mit bestimmten Behinderungen ein Hindernis für die Zugänglichkeit darstellen. Außerdem sind einige fortgeschrittene Bots in der Lage, bestimmte Arten von CAPTCHAs auszufüllen, so dass sie keine narrensichere Methode sind, um Menschen von Bots zu unterscheiden.

Fazit

Greylisting ist eine einfache, aber effektive Methode der Spam-Filterung. Indem E-Mails von unbekannten Absendern vorübergehend zurückgewiesen werden, kann die Menge der Spam-E-Mails erheblich reduziert werden. Es ist jedoch keine narrensichere Methode, und es kann zu Verzögerungen bei der Zustellung legitimer E-Mails kommen. Daher wird sie oft in Verbindung mit anderen Spam-Filtertechniken wie CAPTCHA verwendet, um ihre Wirksamkeit zu erhöhen.

Trotz seiner Nachteile ist das Greylisting aufgrund seiner Einfachheit und Ressourceneffizienz nach wie vor eine beliebte Methode der Spam-Filterung. Sie ist ein wertvolles Instrument im Kampf gegen Spam und wird es wohl auch in absehbarer Zukunft bleiben.