Greylisting

Spam nas zalewa. Jak z nim walczyć? Jest wiele sposobów. Albo rozpoznawać spam, albo wykorzystywać mechanizmy, których maszyny spamujące nie stosują. Jednym z przykładów użycia tej drugiej metody jest tzw. greylisting.

Nigdy specjalnie nie chroniłem mojego adresu antyspamowo – podawałem go na Usenecie itp. Przez to na mój adres przychodzi ok. 100-150 spamów dziennie. Do tego jeszcze w logach widziałem masę prób spamowania na nieistniejące adresy z mojej domeny. Dotychczas radziłem sobie połączeniem filtru bayesiańskiego i mojego własnego programiku (odrzuca na podstawie słów kluczowych/regexpów w adresie nadawcy, odbiorcy lub temacie), jednak to nie wystarczało – spamy robiły się na tyle bezsensowne (masa losowych znaków), że przechodziły przez filtry.

Jakiś czas temu usłyszałem o greylistowaniu. Zasada działania systemu greylistingu jest dosyć prosta. Serwer, kiedy chce przesłać list do nas, dostaje odpowiedź „teraz nie mogę, spróbuj za 5 minut”. W tym momencie większość serwerów spamerów, komputerów zombie i wirusów daje sobie spokój – nie próbuje więcej. Normalne serwery (a przynajmniej ich większość) po 5 minutach wysyłają list ponownie, po czym zostają dodane do białej listy, przez co więcej nie będą proszone o „repetę” listu.

Rozwiązanie to ma kilka wad. Pierwsza to taka, że na pierwszy list z danego serwera trzeba czekać 5 minut (czy ile sobie admin ustawi w konfiguracji). Druga – jest kilka serwerów, które nie próbują wysłać drugi raz. To są problemy obiektywne. Jest jeszcze jedna rzecz. Mianowicie greylisting nie rozwiązuje problemu ze spamem wysyłanym na aliasy – greylistowaniu podlega serwer, który obsługuje alias, więc tak czy tak dla aliasów trzeba stosować jakieś dodatkowe zabezpieczenie.

A jak wygląda techniczna realiacja całości? Na moim serwerze korzystam z Postfiksa. Dla tego daemona dostępny jest pakiet postgrey. Działa on w trybie daemona, jako usługa autoryzująca dla postfiksa. Aby z niej korzystał, wystarczy dopisać jedną linijkę do konfiguracji (albo dopisać jedną rzecz na końcu istniejącej) – wszystko jest w dokumentacji.

Jak efekty? Zanim nie włączyłem z powrotem filtrów, z których korzystałem wcześniej, nie dostałem żadnego spamu na adres inny niż aliasy, tak więc skuteczność jest bardziej niż zadowalająca.

Autor: leafnode

Architekt oprogramowania webowego, programista, analityk bezpieczeństwa serwisów internetowych, speaker, konsultant. Potrzebujesz pomocy? Skontaktuj się ze mną!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *