Liệu greylning vẫn là một phương pháp hiệu quả để ngăn chặn thư rác?


50

Tôi đã sử dụng chế độ xám trên máy chủ của mình trong nhiều năm, nhưng tôi không biết ngày nay nó hiệu quả như thế nào.

Nó vẫn còn tốt để chống thư rác trong năm 2012?

Hoặc là MTA spammer điển hình có khả năng gửi lại các email greylisted bây giờ?


2
@Michael: Để chống thư rác. Đọc câu hỏi :)
neu242

1
Chúng ta có thể đối phó với những ưu và nhược điểm của greylning trong một câu hỏi khác :)
neu242

1
Tôi thay đổi tiêu đề một chút. Bây giờ trông nó có tốt hơn không?
neu242

2
@MichaelHampton Uh, điểm quan tâm ... bạn sử dụng biện pháp ngăn chặn thư rác nào mà không khiến CEO phàn nàn? Hoặc có thể, nếu phù hợp hơn, bạn có loại CEO nào không phải là một người hư hỏng, tự hào $ # ^ & * @ ai sẽ tìm thấy điều gì đó để phàn nàn về bất cứ điều gì hoàn toàn?
HoplessN00b

1
@ HoplessN00b CEO của chúng tôi không như vậy. Tôi sẽ không đánh giá tính cách hoặc hành vi của ai đó chỉ dựa trên nghề nghiệp của họ.
darvids0n

Câu trả lời:


6

Bản cập nhật từ năm 2018:

Tôi luôn luôn là một fan hâm mộ tuyệt vời của greylning. Vì những lý do:

  • Nó không chỉ đánh dấu thư rác, nó chặn nó.
  • Sử dụng như một nhà cung cấp dịch vụ ở Đức là không hợp pháp (không giống như xóa thư rác sau khi tiếp nhận)
  • Nó đơn giản và hiệu quả.
  • Nó thêm tải cho người gửi thư rác chứ không phải cho máy chủ nhận thư của bạn. Vì vậy, mặc dù những kẻ gửi thư rác có thể vượt qua được trình duyệt của bạn, bạn đã buộc máy của họ phải làm việc chăm chỉ hơn và do đó họ có thể gửi tổng số thư rác ít hơn.
  • Nó chặn hầu như không có thư hợp pháp, không giống như RBL dựa trên IP, v.v.
  • Nó giới thiệu sự chậm trễ, nhưng bạn có thể đưa khách hàng vào danh sách trắng (gửi máy chủ) các liên hệ thường xuyên và người nhận danh sách trắng thực sự cần email với độ trễ tối thiểu. Hãy nhớ rằng việc sử dụng bộ lọc thư rác như Spamassasin trực tiếp trên tất cả thư của bạn (không có sự hiện diện) cũng có thể gây ra sự chậm trễ cho thư hợp pháp: Một số người gửi thư rác gửi rất nhiều thư đến máy chủ của bạn khiến bộ lọc thư rác bị quá tải. Do đó, nó sẽ gửi một lỗi tạm thời (ví dụ 451) đến máy chủ gửi các thư đến tiếp theo. Điều này gây ra các hiệu ứng tương tự như greylning, tức là thư bị trì hoãn, ngoại trừ việc danh sách trắng không dễ dàng. Tất nhiên, bạn có thể sử dụng bộ lọc thư rác trên đám mây có thể mở rộng theo bất kỳ sức mạnh nào mà người gửi thư rác có, nhưng điều đó có thể tốn kém hơn.
  • Hạn chế hoặc không cần bảo trì. Không có danh sách đen cần được cập nhật và thay đổi theo thời gian. Không có quy tắc dựa trên mẫu cần được cập nhật.

Nhưng thật không may, trong số liệu thống kê của tôi, tôi thấy rằng trong năm nay, việc tăng cường trở nên ngày càng kém hiệu quả. Lượng tin nhắn bị trì hoãn thực sự tiếp cận với lượng tin nhắn bị xóa khá nhanh, điều đó có nghĩa là lượng thư rác bị chặn đang giảm.

Trong năm ngoái (365 ngày), 55% các tin nhắn được ghi lại cuối cùng đã thông qua việc ghi lại, tức là 45% đã bị chặn.

số liệu thống kê năm

số liệu thống kê năm

Lưu ý rằng biểu đồ này bao gồm một khung thời gian trong đó các tin nhắn được ghi lại không được tính do lỗi cấu hình của thư tín, chỉ những cái bị trì hoãn. Điều này có nghĩa là tính toán này đánh giá quá cao các tin nhắn bị trì hoãn một chút, trên thực tế, một ít thư bị chặn hơn.

Trong tháng trước, 64% bị trì hoãn và chỉ 36% bị chặn.

số liệu thống kê tháng

số liệu thống kê tháng

Trong tuần trước, 75% đã bị trì hoãn và chỉ 25% bị chặn.

số liệu thống kê tuần

số liệu thống kê tuần

Hơn nữa, nhìn vào tổng số lượng tin nhắn bị chặn: Trong tháng này, greyl hiện đã chặn 4 411 tin nhắn, nhưng Amav điều (spamassasin) đã chặn 22 763 tin nhắn. Điều này có nghĩa là chỉ có 16% thư rác bị chặn bởi greyl hiện, tất cả phần còn lại là do cơ quan quản lý.

Hơn nữa, ngày càng nhiều nhà cung cấp dịch vụ gửi đám mây gửi từ một loạt hàng trăm địa chỉ IP. Họ cố gắng từng nỗ lực truyền từ một IP khác. Do đó, greylning có thể chặn những thư này trong những ngày chẵn. Do đó, bạn cần đưa danh sách trắng tất cả các nhà cung cấp thư "tốt". Điều này giới thiệu nỗ lực bảo trì mới.

Tôi luôn là một người hâm mộ cuồng nhiệt, nhưng thật đáng buồn, tôi thấy rằng nó đang ngày càng kém hiệu quả hơn và tôi nghĩ rằng tôi sẽ sớm vô hiệu hóa nó, vì nó bắt đầu chỉ trì hoãn 14% thư của tôi một cách không cần thiết mà không chặn nhiều thư rác .

Các số liệu thống kê sai

Số lượng thư bị chặn trong số liệu thống kê của tôi (và của bạn) cũng có thể bị sai lệch phần lớn. Chúng ta hãy lấy một email đến từ một nhà cung cấp thư điện toán đám mây lớn (như Microsoft * .outbound.protection.outlook.com) chưa được đưa vào danh sách trắng. Lần thử đầu tiên thất bại. Các nỗ lực truyền thứ hai và thứ ba đến từ hai máy chủ (IP) khác, do đó, một lần nữa nó lại thất bại, vì bộ ba không khớp. Bây giờ lần thử thứ tư đến từ máy chủ đầu tiên một lần nữa và thành công. Điều này sẽ được tính là một lần truyền bị trì hoãn và bốn tin nhắn được ghi lại. Các tính toán của tôi ở trên sẽ chỉ ra rằng 1/4 = 25% tin nhắn bị xóa đã bị trì hoãn và 3/4 = 75% đã bị chặn. Nhưng trên thực tế, không một tin nhắn nào bị chặn. Bây giờ chúng tôi đưa vào danh sách trắng các máy chủ của các nhà cung cấp thư này, vì vậy chúng sẽ không bị xóa sổ nữa. Điều gì sẽ xảy ra là số lượng tin nhắn greylisted sẽ giảm nhiều hơn số lượng tin nhắn bị trì hoãn. Điều này có nghĩa là số lượng tin nhắn bị chặn mà chúng tôi tính toán sẽ giảm xuống. Nhưng sự thật là ít tin nhắn bị chặn hơn.

Trên thực tế, những gì tôi đã làm kể từ tháng 2 năm 2017, là thêm ngày càng nhiều nhà cung cấp thư điện toán đám mây vào danh sách trắng để chống lại vấn đề chậm trễ do greylning. Điều này có thể giải thích (một phần?), Tại sao số lượng thư bị chặn mà tôi tính toán đang giảm nhanh chóng. Vì vậy, có lẽ, tôi chỉ nghĩ rằng tất cả thời gian mà greyl hiện đang chặn rất nhiều thư rác, nhưng số lượng thư rác bị chặn ít hơn rất nhiều, nó chỉ được tính toán không chính xác. Vì vậy, hãy cẩn thận khi giải thích số liệu thống kê của bạn.


1
Điều đó rất thú vị - cảm ơn bạn đã đăng bài nghiên cứu!
Jenny D nói Phục hồi lại

+1 từ tôi - thời gian để kiểm tra lại dữ liệu của tôi. Tôi đồng ý rằng những người khó chịu đẫm máu này đã gửi thư xung quanh tài sản máy chủ nội bộ của họ, để mỗi lần thử đến từ một máy chủ khác nhau, sẽ làm lệch dữ liệu. Tôi không chắc chắn tôi đã mua phần cuối cùng của bạn, điều này dường như đang tranh luận rằng tất cả hoặc hầu hết các lợi ích rõ ràng nhất của việc lấy từ đều được gây ra bởi việc đếm quá nhiều email gửi đến.
MadHatter

Số liệu thống kê cho máy chủ thư riêng của tôi trong năm ngoái (tính đến tháng 7 năm 2019) cho thấy chỉ có 15% thư bị trì hoãn và 85% bị chặn. Tôi đã xem xét những người gửi bị chặn và họ trông giống như những kẻ gửi thư rác. Tuy nhiên, tôi không tham gia tất cả mọi thứ, mà chỉ những người gửi được RBL liệt kê vào danh sách đen (zen.spamhaus.org, spam.dnsbl.sorbs.net và psbl.surriel.com). Greylning được cấu hình tốt dường như vẫn hiệu quả.
michau

1
@michau Chắc chắn các thư đáng ngờ đang hoạt động hiệu quả hơn so với tất cả mọi thứ. Rspamd là một bộ lọc thư rác khá thú vị, hoạt động khá tốt. Nó greylists thư đạt được điểm thư rác thấp. Vì vậy, giống như bạn, nó cũng sẽ gửi thư từ những người gửi được liệt kê RBL (miễn là thư không đủ điểm cao để từ chối). Nhưng nó cũng sẽ gửi thư greylist phù hợp với một vài quy tắc spam nhưng không đủ điểm cao để từ chối.
Christopher K.

55

Lần cuối cùng tôi đã xem xét điều này một cách định lượng vào tháng Bảy năm nay (2012). Vào tháng 7, máy chủ mail của tôi đã nhận được khoảng 46.000 lần thử gửi thư; trong số đó, khoảng 1.750 được trả lại và được cho phép thông qua greylning (và đã thông qua miền người gửi hợp lệ, SPF và một số thử nghiệm không dựa trên nội dung khác). Trong số đó, khoảng 1.500 người khác đã được lọc bởi bộ lọc dựa trên nội dung của tôi ..

Giả sử rằng 44.250 email đó là thư rác (vì chúng không thể vượt qua được chế độ từ chối, tôi nghĩ đó là một giả định hợp lý), nếu không phải là để lấy lại bộ lọc dựa trên nội dung của tôi thì sẽ phải xử lý 46.000 thư thay vì 1.750 thư.

Việc tăng tải gấp hai mươi lăm lần cho bộ lọc dựa trên nội dung của tôi sẽ yêu cầu tôi phải có CPU mạnh hơn và nhiều bộ nhớ hơn. Điều đó sẽ làm tăng chi phí lưu trữ hàng tháng của tôi, do mức tiêu thụ năng lượng tăng thêm (và, có lẽ, kích thước của máy chủ).

Vì vậy, trong ngắn hạn, lần cuối cùng tôi đếm, vâng, greylning vẫn có ý nghĩa rất, rất tốt như là một phần của hệ thống lọc thư rác hoàn chỉnh . Tôi đã kích hoạt nó cho khách hàng trong vài tuần qua và tất cả đều vô cùng hài lòng với việc giảm tải trên các hệ thống lọc dựa trên nội dung của họ.

Chỉnh sửa : Tôi lưu ý rằng tôi đã không trả lời câu hỏi về việc liệu nó có trở nên kém hiệu quả hơn theo thời gian hay không. Khi tôi bật nó lên, vào cuối năm 2006, ước tính của tôi lúc đó là nó đã lọc được khoảng 95% thư rác. 1.750 với tỷ lệ 46.000 là khoảng 4%, vì vậy dữ liệu của tôi cho thấy rằng nó không trở nên kém hiệu quả hơn trong khoảng thời gian đó.


2
Chính xác là loại câu trả lời tôi đang tìm kiếm. Cảm ơn!
neu242

3
Tôi nghĩ rằng sẽ rất có ý nghĩa khi xem xét điều này một cách định lượng trong tình huống cụ thể của bạn. Tôi vừa kiểm tra và máy chủ thư của tôi thấy các số liệu rất khác nhau: tổng cộng cho tháng 8 và tháng 9, 460214 từ chối 5xx, 1231 4xx từ chối và 22665 chấp nhận. Do đó, 4,6% được chấp nhận và chỉ 2,6% thư rác (tốt nhất) bị chặn bởi greylning. Các từ chối 5xx bị chi phối bởi 8.4% người dùng không xác định và> 90% RBL. (Và tôi thậm chí không chạy các RBL cực kỳ hung hăng. Phần lớn các khối RBL hoàn toàn áp đảo là XBL .) Sau đó, một lần nữa, lưu lượng truy cập bị bắt bởi các RBL không bao giờ khiến nó bị gián đoạn.
một CVn

7
Thú vị, nhưng tôi không thể so sánh trực tiếp vì theo nguyên tắc, tôi sẽ không sử dụng bất kỳ RBL nào làm bài kiểm tra sáng để nhận; Tôi chỉ sử dụng chúng như những người đóng góp cho điểm spamassassin. Bản thân tôi đã sử dụng RBL quá thường xuyên, vì những lý do hoàn toàn không có thật, để giao phó hoạt động của thư của tôi cho lý do của người khác. Tuy nhiên, nếu chúng ta giả định rằng tất cả các lần từ chối XBL đó là từ các botnet và quên, thì nếu bạn tham gia đầu tiên như tôi, bạn sẽ thấy tỷ lệ tương đương với tôi.
MadHatter

1
Vâng, tôi đã cân nhắc mạnh mẽ việc thay đổi nó thành chỉ là một người đóng góp điểm thư rác và dựa vào chính sách, vì lý do chính xác mà bạn đề cập. Tuy nhiên, điều đó không phủ nhận quan điểm tôi đang thực hiện, rằng các máy chủ khác nhau có thể thấy các mẫu lưu lượng truy cập rất khác nhau và cách duy nhất để thực sự biết liệu có hiệu quả hay không là nhìn từ quan điểm của thiết lập cụ thể của bạn.
một CVn

1
Tôi sẽ không đồng ý một lần nữa, nhưng thực sự tôi hoàn toàn đồng ý với bạn. Đối với tất cả người dùng, cách tốt nhất để tìm hiểu xem đó có phải là một kỹ thuật hiệu quả trong luồng thư của bạn hay không là thử nó trong luồng thư và đo lường của bạn - Michael nói một cách khôn ngoan!
MadHatter

8

spam bots vẫn không thực hiện xếp hàng tin nhắn, nhưng một số người trong số họ chỉ gửi thư rác hai lần cho mọi người nhận với một vài phút chậm trễ để đánh bại greylning. Ngoài ra, ngày nay, thư rác từ spam không phải là vấn đề thực sự nữa, thư rác từ các tài khoản yahoo bị xâm nhập, v.v ... khó bắt hơn nhiều.

Từ quan điểm đó, greylning không hiệu quả như trước đây. Kết hợp với các kỹ thuật chống thư rác khác, nó vẫn có thể hữu ích, ví dụ: nếu tên miền của bạn thường nằm trong "đợt đầu tiên" của các chiến dịch spam, thì việc ghi lại có thể giúp trì hoãn thông điệp đủ lâu để danh sách đen tên miền / ip bắt kịp, vì vậy nếu thư rác sẽ lọt qua các bộ lọc của bạn trong lần thử kết nối đầu tiên, nó có thể bị phát hiện ở lần thử thứ hai.


Phần lớn các nỗ lực gửi thư rác mà tôi nhận được đến từ Spamb. Tôi sử dụng các kỹ thuật khác để ngăn cản Spamb và hầu hết bỏ cuộc trước khi chúng có thể được ghi lại. Trên máy chủ của tôi, Greylning vẫn chặn khoảng một nửa số người gửi, nó xử lý. Tôi thực hiện những người gửi được miễn mà có thể được xác định là cực kỳ có khả năng vượt qua chế độ xám.
BillThor

5

Là một vấn đề tiếp tuyến, tôi không thích ở vị trí đã triển khai một kỹ thuật như greylning mà không thể đo lường hiệu quả của nó. Trên Debian, với hậu tố là MTA và postgrey là công cụ chính sách hiện hành, bạn có thể chỉ cần apt-get install mailgraphlấy một biểu đồ đơn giản về thư được chấp nhận so với thư bị từ chối. Mailgraph là một trường học hơi cũ và hoàn toàn độc lập, nhưng nó hoạt động và dữ liệu hoặc kỹ thuật của nó có thể dễ dàng được tích hợp vào một hệ thống giám sát hiện đại phức tạp hơn.


3

Nhận một bộ lọc thư dựa trên danh tiếng. Greylning là một trường học hơi và không phải là một giải pháp toàn diện. Có cách giải quyết (theo quan điểm của người gửi thư rác) và thời gian gửi thư không thể đoán trước cho người dùng của bạn ...

Hoặc thuê ngoài bộ lọc cho dịch vụ đám mây hoặc mua một thiết bị có quyền truy cập vào danh sách đó và có các phương pháp xác thực thư rác khác. Đề xuất của tôi thường là Barracuda cho thiết bị của họ hoặc cho giải pháp lọc đám mây của họ . Cả hai lựa chọn đều có tính kinh tế theo quy mô và các heuristic trưởng thành cung cấp một giải pháp tổng thể sạch hơn.

Nhìn vào một trong báo cáo của Bộ lọc thư rác Barracuda của khách hàng của tôi vào tháng 9 năm 2012, trong số 98.457 tin nhắn, 1.623 đã bị cắt trước khi thậm chí đánh vào máy chủ thư vì người nhận xấu ... 34.488 đã bị chặn dưới dạng SPAM . Chỉ có 96 tin nhắn nghi vấn được thực hiện thông qua. Những người được đánh giá là SPAM là sự kết hợp của danh tiếng, điểm số, ý định, ba bộ lọc RBL, bộ lọc Bayes và quy tắc tùy chỉnh. Tất cả trong một đơn vị ... Tất cả được xử lý trước khi nhấn máy chủ thư tương đối nhỏ.

nhập mô tả hình ảnh ở đây

Đồng thời xem: Chống thư rác - Tôi có thể làm gì với tư cách: Quản trị viên email, Chủ sở hữu tên miền hoặc Người dùng?


2
Thú vị, nhưng bạn không trả lời câu hỏi của tôi liên quan đến greylning. Và số liệu thống kê của bạn không có số greyl hiện tại không liên quan lắm ở đây :)
neu242

@ neu242 Điểm chính là 1). Greylning có nhược điểm đã biết, 2). không thể được coi là một giải pháp toàn bộ và 3). có nhiều cách tốt hơn để phát hiện thư rác vì các quy trình đã phát triển trong vài năm qua.
ewwhite

4
Tất nhiên là chỉ là một phần trong bộ công cụ ngăn chặn thư rác của tôi. Thiết lập của tôi rất giống với @ MadHatter. Nhưng vì tôi đã hỏi cụ thể về greylning, tôi sắp xếp các câu trả lời cụ thể về greylist.
neu242

1
@ewwhite: thật ra, tôi không thấy nó không rõ ràng lắm. Để bạn tham khảo: Tôi đã kiểm tra lịch sử câu hỏi. Không thấy một sự thay đổi nào ảnh hưởng đến điều này theo bất kỳ cách nào.
Jürgen A. Erhard

2
@ JürgenA.Erhard Bạn đến muộn một chút. Và bài viết của bạn là thô lỗ. Bất kỳ giải pháp lọc thư rác chuyên nghiệp nào được triển khai ngày hôm nay không nên chỉ dựa vào chế độ quét. Nếu bạn có bất kỳ mối quan tâm nào khác, hãy xem câu hỏi spam chính của Máy chủ Lỗi tại đây .
ewwhite
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.