题 灰名单仍然是防止垃圾邮件的有效方法吗?


我用过 灰名单 在我的服务器上多年,但我不知道它现在有多么有效。

2012年打击垃圾邮件还有用吗?

或者典型的垃圾邮件发送者MTA现在能够重新发送灰名单电子邮件吗?


50
2017-10-09 09:35




@Michael:打击垃圾邮件。阅读问题:) - neu242
我们可以在另一个问题中处理灰名单的优缺点:) - neu242
我略微改变了标题。现在看起来好些吗? - neu242
@MichaelHampton呃,兴趣点......你使用什么垃圾邮件预防措施 别 导致CEO抱怨?或者,如果更合适的话,你有什么样的首席执行官,那不是一个被宠坏的,发牢骚的$#^&* @谁会发现什么东西可以抱怨什么呢? - HopelessN00b
@ HopelessN00b我们的CEO不是那样的。我不会仅根据他们的职业判断某人的个性或行为。 - darvids0n


答案:


2018年的更新:

我一直是灰名单的忠实粉丝。由于这些原因:

  • 它不仅标记垃圾邮件,还会阻止它。
  • 在德国使用作为服务提供商是合法的(与接收后删除垃圾邮件不同)
  • 它简单而有效。
  • 它会增加垃圾邮件发送者的负担,而不会增加您的接收邮件服务器。因此,即使垃圾邮件发送者可能通过您的灰名单来实现,您也强迫他们的计算机更加努力工作,因此他们可以减少垃圾邮件总数。
  • 与基于IP的RBL等不同,它几乎不会阻止任何合法邮件。
  • 它引入了延迟,但您可以将频繁联系的客户端(发送服务器)列入白名单,并将真正需要电子邮件的白名单收件人列入最小延迟。请记住,直接在所有邮件上使用像Spamassasin这样的垃圾邮件过滤器(没有灰名单)也会对合法邮件造成延迟:一些垃圾邮件发送者向您的服务器发送了太多邮件,以至于垃圾邮件过滤器过载。因此,它将向发送服务器发送进一步传入邮件的临时故障(例如451)。这导致与灰名单相同的效果,即邮件被延迟,除了白名单并不那么容易。当然,您可以使用云垃圾邮件过滤器,可以扩展到垃圾邮件发送者拥有的任何功能,但这可能更昂贵。
  • 需要有限或无需维护。没有黑名单需要更新并随时更改。没有需要更新的基于模式的规则。

但不幸的是,在我的统计数据中,我发现在今年,灰名单变得越来越不有效。延迟邮件的数量确实快速接近灰名单邮件的数量,这意味着阻止垃圾邮件的数量正在减少。

在去年(365天)中,55%的灰名单消息最终通过灰名单发送,即45%被阻止。

mailgraph统计年

mailgraph stats year

请注意,此图表包含一个时间范围,在该时间范围内,由于mailgraph的配置错误而未计入列入灰名单的邮件,只有延迟邮件。这意味着这种计算会略微过高估计延迟消息,实际上会有更多的邮件被阻止。

在过去的一个月里,64%被推迟,只有36%被阻止。

mailgraph统计月

mailgraph stats month

在上周,75%被推迟,只有25%被阻止。

邮件统计周

mailgraph stats week

此外,查看被阻止消息的总量: 本月,灰名单阻止了4 411条消息,但Amavisd(spamassasin)阻止了22 763条消息。这意味着只有16%的垃圾邮件被灰名单阻止,所有其余的都被amavisd阻止。

此外,越来越多的云发送提供商从一堆数百个IP地址发送。他们尝试从另一个IP进行每次传输尝试。因此,灰名单可能会阻止这些邮件甚至数天。因此,您需要将所有“好”邮件提供商列入白名单。这引入了新的维护工作。

我一直是灰名单的忠实粉丝,但遗憾的是,我发现它变得越来越不有效了,我想我很快就会禁用它,因为它开始只会不必要地延迟14%的邮件而不会阻止垃圾邮件。

误导性的统计数据

我(和你的)统计数据中被阻止的邮件数量也可能在很大程度上具有误导性。我们来一个来自大型云邮件提供商(如微软的* .outbound.protection.outlook.com)的电子邮件尚未列入白名单。第一次尝试失败了。第二次和第三次传输尝试来自另外两台服务器(IP),因此它再次失败,因为三元组不匹配。现在第四次尝试再次来自第一台服务器并成功。这将被视为一个延迟传输和四个灰名单消息。我上面的计算表明,1/4 = 25%的灰名单消息被延迟,3/4 = 75%被阻止。但事实上,没有一条消息被阻止。 现在我们将这些邮件提供商的服务器列入白名单,因此它们不会再被列入灰名单。会发生什么是灰名单消息的数量将下降超过延迟消息的数量。这意味着我们计算的阻止邮件数量将减少。但是,阻止较少的消息并不是事实。

事实上,自2017年2月以来我所做的是为白名单添加越来越多的云邮件提供商,以解决由于灰名单导致的长时间延迟问题。这可以解释(部分?),为什么我计算的阻塞邮件数量会迅速下降。也许,我只是 思想 灰名单一直阻止大量垃圾邮件,但阻止垃圾邮件的数量总是少得多,只是计算错误。 因此在解释您的统计数据时要小心。


6
2017-08-22 10:06



这非常有趣 - 感谢您发布研究报告! - Jenny D
来自我的+1 - 重新检查我的数据的时间。我同意这些血腥烦人的人在他们的内部服务器区域内反弹邮件,以便每次尝试来自不同的服务器,都会扭曲数据。我不确定我是否会购买你的最后一部分,这似乎在争论灰名单的所有或最明显的好处都是由于过多计入入站电子邮件造成的。 - MadHatter


我上次在今年7月(2012年)对此进行了定量研究。 7月份,我的邮件服务器收到了大约46,000次传递邮件的尝试;其中,大约1,750个返回并被灰名单允许通过(并通过了有效的发件人域名,SPF和其他一些非基于内容的测试)。其中,通过基于内容的过滤过滤了大约1,500个。

假设这些43,450封电子邮件是垃圾邮件(因为它们无法通过灰名单,我认为这是一个公平的假设),如果不是灰名单,我的基于内容的过滤将不得不处理46,000封邮件而不是1,750封。

基于内容的过滤负载增加了25倍,这需要我拥有更强大的CPU和更多的内存。这反过来会增加我的每月托管成本,因为额外的功耗(可能还有服务器的大小)。

所以总之,我最后一次计算,是的,灰名单仍然非常非常好 作为完整垃圾邮件过滤系统的一部分。在过去的几周里,我已经为客户激活了它,而且都是 非常 对基于内容的过滤系统的负载减少感到高兴。

编辑:我注意到我没有回答一个问题,即它是否随着时间的推移变得不那么有效了。当我打开它时,在2006年末,我当时的估计是它过滤了大约95%的垃圾邮件。 1,750的比例为46,000,约为4%,因此我的数据表明,在这段时间内,它的效率并没有降低。


55
2017-10-09 11:34



正是我正在寻找的那种答案。谢谢! - neu242
我认为在你的特定情况下定量地观察它是很有意义的。我刚检查过,我的邮件服务器看到了截然不同的数字:8月和9月的总数,460214 5xx拒绝,12331 4xx拒绝和22665接受。因此,4.6%被接受,只有2.6%的垃圾邮件(充其量)被灰名单阻止。 5xx拒绝主要由8.4%未知用户和> 90%RBL主导。 (而且我甚至没有运行极具侵略性的RBL。绝大多数RBL块都是 XBL。)然后,RBL捕获的流量从未使其成为灰名单。 - α CVn
有意思,但我不能直接比较,因为作为一个原则问题,我不会使用任何RBL作为接收的亮线测试;我只用它们作为spamassassin得分的贡献者。由于完全出于虚假的原因,我自己经常使用RBL,将自己邮件的操作委托给别人的理由。但是,如果我们假设所有那些XBL拒绝都是来自即发消息的僵尸网络,那么如果你像我一样首先进行灰名单,那么你会看到与我相当的百分比。 - MadHatter
是的,我强烈考虑将其更改为仅仅是垃圾邮件分数贡献者并依赖于灰名单,正是因为您提到的原因。但是,这并没有否定我的观点,不同的服务器可能会看到非常不同的流量模式,真正了解灰名单是否有效的唯一方法是从特定设置的角度来看待它。 - α CVn
我再次不同意,但我真的完全赞同你。对于所有用户来说,找出它是否是您邮件流中有效技术的最佳方法是 在你的邮件流和测量中尝试它  - 迈克尔明智地说话! - MadHatter


spambots通常仍然不进行消息排队,但是其中一些只是将垃圾邮件两次发送给每个收件人,延迟几分钟就能打败灰名单。此外,如今,来自垃圾邮件的垃圾邮件不再是真正的问题,来自受损雅虎帐户等的垃圾邮件更难以捕获。

从这个角度来看,灰名单不像以前那么有效。结合其他反垃圾邮件技术,它仍然可以提供帮助,例如,如果您的域名经常处于“第一批”垃圾邮件活动中,则灰名单可以帮助延迟邮件足够长的时间,以便域/ IP黑名单赶上,所以如果垃圾邮件会在第一次连接尝试时通过您的过滤器滑过,它可能会在第二次尝试时被检测到。


8
2017-10-09 09:59



我收到的绝大多数垃圾邮件传递尝试都来自Spambots。我使用其他技术来阻止Spambots,并且大部分都放弃它们才能被列入灰名单。在我的服务器上,灰名单仍会阻止大约一半的发件人,它会处理。我确实豁免了可以确定极有可能传递灰名单的发件人。 - BillThor


作为一个切线问题,我不喜欢在没有能够衡量其有效性的情况下部署像灰名单这样的技术。在Debian上,postfix作为MTA,postgrey作为灰名单策略引擎,你可以 apt-get install mailgraph 获取已接受邮件与被拒邮件的简单图表。 Mailgraph是一个有点旧的学校,完全独立,但它的工作原理,其数据或技术可以很容易地集成到一个更复杂的现代监控系统。


5
2017-10-14 22:18





获取基于信誉的邮件过滤器。灰名单有点 老套 并不是一个全面的解决方案。有一些解决方法(从垃圾邮件发送者的角度来看),以及 不可预测的邮件传递时间 为您的用户......

要么将过滤外包给云服务,要么购买可以访问此类列表的设备,并使用其他方法验证垃圾邮件。我的推荐通常是Barracuda 器具 或者他们的 云过滤解决方案。这两种方案都具有规模经济和成熟的启发式方法,可提供更清晰的整体解决方案。

看看我的客户的Barracuda垃圾邮件过滤器2012年9月的一份报告,在98,457条消息中,有1,623条因为收件人不良而在点击邮件服务器之前被切断了...... 34,488被封为垃圾邮件。只有96 可疑的 消息通过。那些被评为SPAM的人是声誉,得分,意图,三个RBL的组合, 贝叶斯过滤 和自定义规则集。所有在一个单元...所有处理之前点击相对较小的邮件服务器。

enter image description here

另见: 打击垃圾邮件 - 我可以做什么:电子邮件管理员,域名所有者或用户?


3
2017-10-09 11:33



有趣,但你没有回答我关于灰名单的问题。你没有灰名单数字的统计数据在这里不是很相关:) - neu242
@ neu242重点是1)。灰名单有已知的缺点,2)。不能算是一个 整个 解决方案和3)。在过去几年中,随着流程的发展,有更好的方法来检测垃圾邮件。 - ewwhite
灰名单当然只是我的垃圾邮件防护工具包的一部分。我的设置很像@MadHatter的。但是,由于我特别询问了灰名单,我有点期待灰名单特定的答案。 - neu242
@ewwhite:实际上,我看不出它是不是很清楚。供您参考:我确实检查过问题历史记录。没有看到任何影响这种变化的变化。 - Jürgen A. Erhard
@JürgenA.Erhard你有点晚了。你的帖子很粗鲁。任何专业垃圾邮件过滤解决方案 今天 不应该仅仅依赖于灰名单。如果您有任何其他问题,请参阅规范 服务器故障垃圾邮件问题。 - ewwhite