Чи є грайлінг все ще ефективним методом запобігання спаму?


50

Я багато років використовував грайлінг на своїх серверах, але не знаю, наскільки це ефективно сьогодні.

Це все-таки добре для боротьби зі спамом у 2012 році?

Або типовий MTA-спамер вже зараз може надсилати сірі листи?


2
@Michael: для боротьби зі спамом. Прочитайте питання :)
neu242

1
Ми можемо розібратися із плюсами та мінусами відмітки в іншому питанні :)
neu242

1
Я трохи змінив назву. Це краще виглядає зараз?
neu242

2
@MichaelHampton Так, цікаво ... які заходи щодо запобігання спаму ви використовуєте, що не викликають скарг на генерального директора? А може, якщо більше підходить, який у вас генеральний директор, який не є зіпсованим, кричущим $ # ^ & * @, який знайде на що скаржитися абсолютно у чомусь?
HopelessN00b

1
@ HopelessN00b Наш генеральний директор не такий. Я б не судив чиюсь особистість чи поведінку, грунтуючись виключно на їхній професії.
darvids0n

Відповіді:


6

Оновлення з 2018 року:

Я завжди був великим шанувальником грайлінгу. З цих причин:

  • Він не тільки відзначає спам, але блокує його.
  • Законно використовувати як постачальник послуг у Німеччині (на відміну від видалення спам-листів після отримання)
  • Це просто і ефективно.
  • Це додає навантаження спамеру, а не вашому серверу, що отримує пошту. Тож хоч спамери можуть зробити це вашим грайлістом, ви змусили їхню машину працювати більше, і, таким чином, вони можуть надсилати менше спаму в цілому.
  • Він майже не блокує легальну пошту, на відміну від RBL на основі IP тощо.
  • Він створює затримки, але ви можете дозволити клієнтам (відправляючи сервери) частих контактів і одержувачів білого списку, яким справді потрібна електронна пошта з мінімальною затримкою. Пам’ятайте, що використання фільтра спаму, як Spamassasin безпосередньо на всій вашій пошті (без грайлінгу), також може спричинити затримки легальної пошти: Деякі спамери надсилають на ваш сервер стільки листів, що фільтр спаму перевантажується. Таким чином, він надішле тимчасовий збій (наприклад, 451) на сервер, що відправляє подальші вхідні листи. Це спричиняє ті ж ефекти, що й перекладення списків, тобто повідомлення затримуються, за винятком того, що білий список не є таким простим. Звичайно, ви можете використовувати хмарний фільтр спаму, який масштабується до тієї потужності, яку має спамер, але це може бути дорожче.
  • Обмежений або не потребує технічного обслуговування. Немає чорного списку, який потрібно оновлювати і змінювати з часом. Немає правил на основі шаблону, які потрібно оновлювати.

Але, на жаль, у своїй статистиці я бачу, що в цьому році грайлінг стає все менш ефективним. Кількість повідомлень, що затримуються, дуже швидко наближається до кількості повідомлень, що містяться в списку, що означає, що кількість заблокованих спамів зменшується.

За останній рік (365 днів) 55% повідомлень, що були в списку, в остаточному підсумку зробили це в результаті переходу через грейлінг, тобто 45% заблокувались.

Статистика поштового року

Статистика поштового року

Зауважимо, що ця діаграма включала часовий інтервал, у якому повідомлення, що не містили в списку, не враховувались через помилку конфігурації пошти, а лише затримки. Це означає, що цей розрахунок трохи завищує затримки повідомлень, насправді трохи більше заблокованих повідомлень.

За останній місяць 64% затрималися, і лише 36% заблокувались.

місяць поштової статистики

місяць поштової статистики

За останній тиждень 75% затрималися і лише 25% заблоковано.

тиждень статистики пошти

тиждень статистики пошти

Більше того, дивлячись на загальну кількість заблокованих повідомлень: Цього місяця в списку заблокованих заблоковано 4 411 повідомлень, але Amavisd (спамасасін) заблокував 22 763 повідомлення. Це означає, що лише 16% спаму блокується грайлінг, а все інше - amavisd.

Більше того, все більше і більше хмарних постачальників послуг, що надсилають хмари, надсилають з купки декілька сотень IP-адрес. Вони намагаються здійснити кожну спробу передачі з іншого IP-адреси. Таким чином, відмітка від перегляду може блокувати ці повідомлення навіть на кілька днів. Тому вам потрібно додати до списку всіх «хороших» постачальників пошти. Це вводить нові зусилля з обслуговування.

Я завжди був великим шанувальником грайлінгу, але, на жаль, я бачу, що він стає все менш ефективним, і думаю, що незабаром його відключу, оскільки він починає лише затримувати 14% моєї пошти без необхідності, не блокуючи багато спаму. .

Статистика оманливості

Кількість заблокованих листів у моїй (та вашій) статистиці також може бути значною мірою оманливою. Візьмемо один електронний лист, який надходить від великого постачальника послуг хмарної пошти (наприклад, * .outbound.protection.outlook.com Microsoft), який ще не дозволений. Перша спроба провалюється. Друга і третя спроби передачі надходять з двох інших серверів (IP-адрес), тому вона знову не працює, оскільки триплет не відповідає. Тепер четверта спроба знову надходить з першого сервера і вдається. Це буде зараховано до однієї затримки передачі та чотирьох повідомлень із сірим списком. Мої розрахунки вище вказували б на те, що 1/4 = 25% повідомлень із сірим списком затримано і 3/4 = 75% заблоковано. Але насправді не було заблоковано жодне повідомлення. Тепер ми надаємо білі списки серверів цих поштових провайдерів, тому вони більше не матимуть списку сірого. Відбудеться те, що кількість повідомлень із сірим списком зменшиться більше, ніж кількість затриманих повідомлень. Це означає, що кількість заблокованих нами повідомлень зменшиться. Але неправда, що менше повідомлень було заблоковано.

Насправді, те, що я робив з лютого 2017 року, додає все більше і більше хмарних постачальників пошти до білого списку, щоб боротися з проблемою довгих затримок із-за грайлінгу. Це може пояснити (частково?), Чому кількість заблокованих листів, яку я обчислюю, швидко зменшується. Можливо, я просто весь час думав, що грайлінг блокує багато спаму, але кількість заблокованої спаму весь час була набагато меншою, вона просто була розрахована неправильно. Тому будьте обережні при тлумаченні статистики.


1
Це дуже цікаво - дякую за публікацію дослідження!
Дженні Д каже, що повернеться до Моніки

+1 від мене - час переглянути мої дані. Я погоджуюся, що ці криваві дратівливі люди, які підстрибують пошту навколо свого внутрішнього серверного маєтку, так що кожна спроба надходить з іншого сервера, перекривить дані. Я не впевнений, що я купую ваш останній розділ, який, здається, стверджує, що всі або найбільш очевидні переваги в стилі грайлінгу викликані надмірним підрахунком вхідних електронних листів.
MadHatter

Статистика мого приватного сервера пошти за останній рік (станом на липень 2019 року) показує, що лише 15% повідомлень були затримані, а 85% - заблоковані. Я подивився на заблокованих відправників, і вони схожі на спамерів. Однак я не все в грілістиці, а лише відправники, переведені в чорний список RBL (zen.spamhaus.org, spam.dnsbl.sorbs.net та psbl.surriel.com). Добре налаштована грайлістика все ще здається ефективною.
michau

1
@michau Впевненість, що вміст підозрілих підозрілих є більш ефективним, ніж все в сірий список. Rspamd - це цікавий досить новий спамфільтр, який робить його досить добре. Це листи-грайлісти, які досягають низького показника спаму. Так, як і ви, це також буде грайлістською поштою від відправників, перелічених у списку RBL (до тих пір, поки пошта не набере достатньо високого рівня для відхилення). Але це також грайлістські листи, які відповідають декільком правилам спаму, але не набирають достатньо високого рівня для відхилення.
Крістофер К.

55

Я востаннє дивився на це кількісно в липні цього року (2012). У липні мій поштовий сервер отримав близько 46 000 спроб доставки пошти; з них, близько 1750 повернулися та були дозволені через грайлінг (і пройшли дійсний домен відправника, SPF та деякі інші тести, що не містять вмісту). З них близько 1500 були відфільтровані моїм контентним фільтруванням.

Якщо припустити, що ці 44 250 електронних листів були спамом (оскільки вони не могли передати грайлінг, я думаю, це справедливе припущення), якби не грайлінг, для моєї фільтрації на основі вмісту довелося б мати справу з 46 000 листів замість 1750.

У двадцять п’ятикратному навантаженні моєї контентної фільтрації потрібно було б мати багато процесорів, які підтримують вміст, і більше пам’яті. Це в свою чергу збільшить мої щомісячні витрати на хостинг через додаткове споживання електроенергії (і, мабуть, розмір сервера).

Отже, коротко кажучи, останній раз, коли я підраховував, так, вкладення в грайліки все-таки було дуже-дуже хорошим сенсом як частина повної системи фільтрації спаму . Я активував це для клієнтів протягом останніх кількох тижнів, і всі дуже задоволені зменшенням навантаження на їхні фільтрувальні системи на основі вмісту.

Редагувати : Зауважу, я не відповідав на запитання про те, чи стає воно з часом менш ефективним. Коли я ввімкнув це, наприкінці 2006 року, на мою думку, на той час було те, що він фільтрує близько 95% спаму. 1750 у співвідношенні 46 000 - це близько 4%, тому мої дані дозволяють припустити, що це не стане менш ефективним за той період часу.


2
Саме таку відповідь я шукав. Дякую!
neu242

3
Я думаю, що має сенс оцінити це кількісно у вашій конкретній ситуації. Я щойно перевірив, і мій поштовий сервер бачить зовсім інші цифри: загалом за серпень та вересень 460214 5xx відхиляється, 12331 4xx відхиляє і 22665 приймає. Таким чином, 4,6% прийняли, і лише 2,6% спаму (у кращому випадку) блокували за допомогою грайлінгу. У відхиленні 5xx переважають 8,4% невідомого користувача та> 90% RBL. (І я навіть не керую надзвичайно агресивними RBL. Повністю переважна більшість блоків RBL - це XBL .) Потім знову трафік, що потрапляє на RBL, ніколи не приводить до появи грайлінгу.
CVn

7
Цікаво, але я не можу здійснити прямого порівняння, оскільки в принципі я не буду використовувати будь-яку RBL як тест яскравої лінії для отримання; Я використовую їх лише як дописувачі до шкали спамасина. Я надто часто бував на RBL, з абсолютно хибних причин, щоб доручити роботу моєї власної пошти чужим обґрунтуванням. Якби ми припустили, що всі ці відхилення XBL - від ботнетів, що не вмикаються, тоді, якщо ви вперше входили до грейлінгу, як і я, ви бачили б порівнянні зі мною відсотки.
MadHatter

1
Так, я настійно розглядаю можливість змінити його на те, щоб бути лише учасником спаму, і покладатися на грайлінг, саме з тієї причини, яку ви згадуєте. Однак це не скасовує те, що я зазначав, що різні сервери можуть бачити дуже різні шаблони трафіку, і єдиний спосіб зрозуміти, чи ефективне відображення в грейлінгу - це дивитись на нього з точки зору вашої конкретної установки.
CVn

1
Я збирався знову не погодитися, але насправді я повністю з вами згоден. Для всіх користувачів найкращий спосіб з’ясувати, чи це ефективна техніка у вашому поштовому потоці - це спробувати її у своєму потоці пошти та виміряти - Майкл говорить мудро!
MadHatter

8

спам-боти, як правило, досі не роблять черги з повідомленнями, але деякі з них просто надсилають спам двічі кожному одержувачеві з декількома хвилинами затримки, щоб перемогти список грайлінгу. Крім того, в наш час спам від спам-ботів вже не є справжньою проблемою, спам з компрометованих облікових записів Yahoo тощо набагато складніше.

З цієї точки зору, грайлінг не настільки ефективний, як раніше. У поєднанні з іншими методами боротьби зі спамом, це все ще може допомогти, наприклад, якщо ваш домен часто знаходиться в "першій партії" спам-кампаній, перелік посилань може допомогти затримати повідомлення досить довго, щоб чорні списки доменів / ip догнати, так що якщо спам прослизнув би через ваші фільтри при першій спробі підключення, можливо, він виявиться при другій спробі.


Переважна більшість спроб доставки спаму, які я отримую, походять від спам-ботів. Я використовую інші методи, щоб відлякувати спам-ботів, і більшість з них відмовляються, перш ніж їх можна буде мати в списку. На моєму сервері Greylisting все ще блокує близько половини відправників, він обробляє. Я звільняю відправників, для яких можна визначити надзвичайно ймовірні переходити в грайлінг.
BillThor

5

Як тангенціальне питання, мені не подобається бути в стані розгортати таку техніку, як грайлінг, не маючи можливості оцінити її ефективність. У Debian, що має постфікс як MTA і постгрей як механізм полісу грайлінгу, ви можете просто apt-get install mailgraphотримати простий графік прийнятої та відхиленої пошти. Mailgraph - це трохи старої школи і повністю самостійний, але він працює, і його дані або методи можуть бути легко інтегровані в більш складну сучасну систему моніторингу.


3

Отримайте поштовий фільтр на основі репутації. Грайлістинг - це трохи стара школа і не є комплексним рішенням. Існують обхідні шляхи (з точки зору спамера) та непередбачувані терміни доставки пошти для ваших користувачів ...

Або відправте фільтрування на хмарний сервіс або придбайте пристрій, який має доступ до такого списку та має інші методи перевірки спаму. Моя рекомендація, як правило, Barracuda щодо їх пристрою або для їх хмарного фільтрування . Обидва варіанти мають економію від масштабу та зрілої евристики, які забезпечують більш чітке загальне рішення.

Переглядаючи звіт мого клієнта Barracuda Spam Filter за вересень 2012 року, із 98457 повідомлень 1623 були відрізані, перш ніж навіть потрапити на поштовий сервер через поганих одержувачів ... 34,488 були заблоковані як СПАМ . Лише 96 сумнівних повідомлень прореагували. Ті, хто оцінюється як СПАМ, представляли собою комбінацію репутації, оцінки, наміру, трьох RBL, байєсівської фільтрації та спеціальних наборів правил. Все в одному блоці ... Все обробляється перед тим, як потрапити на відносно невеликий поштовий сервер.

введіть тут опис зображення

Також дивіться: Боротьба зі спамом - Що я можу зробити: адміністратор електронної пошти, власник домену чи користувач?


2
Цікаво, але ви не відповідаєте на мої запитання щодо отримання списку. І ваша статистика без грайлінгу не дуже актуальна тут :)
neu242

@ neu242 Справа в тому, що 1). Greylisting має відомі недоліки, 2). не можна вважати цілим рішенням і 3). Є кращі способи виявлення спаму, оскільки процеси розвивалися за останні кілька років.
ewwhite

4
Зрештою, грайлінг - це лише частина мого інструментарію щодо запобігання спаму. Моя настройка схожа на @ MadHatter's. Але оскільки я запитав конкретно про грайлінг, я начебто очікував конкретних відповідей від грелістів.
neu242

1
@ewwhite: насправді я не бачу, як це було не зовсім зрозуміло. Для довідки: я перевірив історію питань. Не бачили жодної зміни, яка вплинула на це.
Юрген А. Ерхард

2
@ JürgenA.Erhard Ви трохи запізнюєтесь на цьому. І ваша посада груба. Будь-яке професійне рішення щодо фільтрації спаму, що застосовується сьогодні, не повинно покладатися лише на створення списку. Якщо у вас є якісь інші проблеми, перегляньте тут питання про спам щодо канонічної помилки сервера тут .
ewwhite
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.