GreyListing
Grey Listing ("серые списки") — автоматическая Антиспамерская техника, используемая для блокировки спама без вовлечения в процесс фильтрации пользователей (как в PopFile) и админов (как в SpamAssassin). Самая многообещающая из автоматических систем на сегодня. Из обучаемых систем PopFile все же лучше.Оригинальная идея описана здесь: http://projects.puremagic.com/greylisting/
Там же дан пример реализации, оценка эффективности и перспектив метода.
Смысл этого способа фильтрации спама состоит в эксплуатации отличий спамерских программ от обычных MTA. А именно: авторы метода считают, что подавляющее большинство специализированных спамерских программ обрабатывают временные отказы почтовых серверов (коды ответа 4хх) иначе, чем обычные MTA. Стандартные MTA как правило "долбят" сервер получателя несколько дней, пока он не примет письмо, или пока не убедится что за несколько дней причина отказа не устранена (в этом случае MTA возвращает почту отправителю). Спамерские программы не производят повторных попыток доставки — они либо недостаточно "умны" (не спамеры, а программы), либо "не могут себе позволить" многократные попытки доставки одного и того же письма на один и тот же адрес — по техническим и экономическим причинам (особенности массовой рассылки почты). Вот это отличие и используется: первая попытка доставки письма от впервые встреченной комбинации "IP-отправителя:email_отправителя:email_получателя" почтовым сервером отвергается. Обычный MTA в ближайшее время подтвердит свою "нормальность", сделав повторную попытку (код ответа 4хх означает временную проблему в отличие от 5хх, и предполагает повторные попытки позже) — и такое письмо можно пропустить на второй попытке, а спамерская программа повтор не сделает.
Если метод найдет широкое применение (подобно тому, как молниеносно стали популярными SpamAssassin и байесовы фильтры во главе с PopFile), то у спамеров только один выход — "прикидываться" обычными MTA. Но такая маскировка делает их намного более уязвимыми перед другим, самым распространенным, но самым на сегодня малоэффективным антиспамерским инструментом — RBL, т.к., прикинувшись обычным MTA и рассылая с него спам, спамерская система очень быстро блокируется средствами различных RBL, т.к. уже не часто меняет IP. В любом случае материальный урон спамеру нанесется — ему нужно будет апгрейдить софт (ставить программу, умеющую слать повторы), оплачивать трафик повторов, искать spam-friendly провайдеров, покупать бОльшие диски, и т.п. Может часть из них в результате откажется от "борьбы"...
См. также:
- AntiSpam,
- ForthWiki:AntiSpam
- Реализация GreyListing для qmail и exim
- Вариант для PostFix включен в текущую версию
- Исходная реализация GreyListing
- Вариант для любого SMTP-сервера — работающий в режиме SmtpProxy SmtpGuardDog
- http://www.rhyolite.com/anti-spam/dcc/greylist.html — поддержка GreyListing в системах на базе DistributedChecksumClearinghouse
Scott Nelson
(...)
Parsed results;
Note that these addresses get considerably less spam than the
"average" mailbox, and the numbers are relatively small, so the error margins are probably large. Still, a good rule of thumb is +/- the square root of the number which translates to +/- 10% for these numbers.
If we do /nothing/ but greylisting, it stops between 80-95% of all spam attempts.
Blocking semi-legitimate mailing lists (for example, equalamail.deliveroffers.com)
increases this to 91-97%. In theory "unsubscribing" should give the same benefit, but I have tried to unsubscribe from many of these jokers without success.
I was originally concerned that there appeared to be a significant increase in the number of attempts, and that greylisting might not have been as effective in decreasing in /total/ spam volume as the numbers suggested. There is an increase, but it's not as large as I first thought, and the increase is close to the expected error rate. Even adjusting for this by assuming the worst, greylisting is still better than 75% effective.
DNSBLs of some of the addresses was done, but due to an error, only IPs which actually passed greylisting were checked.
I'll be posting that information shortly.