OpenRheinRuhr - Stand 2010-11-17
OpenRheinRuhr 2010
Ein Pott voll Software
| Referenten | |
|---|---|
|
Evgeni Golov |
| Programm | |
|---|---|
| Tag | Samstag - 2010-11-13 |
| Raum | Vortragsraum 3 |
| Beginn | 15:50 |
| Dauer | 01:00 |
| Info | |
| ID | 28 |
| Veranstaltungstyp | Vortrag |
| Track | Administration |
| Sprache der Veranstaltung | deutsch |
| Feedback | |
|---|---|
|
Haben Sie diese Veranstaltung besucht? Feedback abgeben |
bley - intelligentes Greylisting ohne Verzögerung
Wer heute E-Mails filtern will, greift oft zu Black- oder Greylisting. Diese haben jedoch den Nachteil, dass sie entweder E-Mails verlieren (wenn ein guter Absender auf einer BL landet) oder zumindest verzögern können. Die Lösung heißt intelligentes Greylisting, welches das normale Greylisting um eine selektive Komponente erweitert. Nur auffällige Sender (in einer DNSBL gelistet, nicht RFC-konformes EHLO etc.) werden gegreylisted, alle anderen werden durchgelassen, wodurch die Verzögerung fast auf 0 sinkt.
Um zugleich die unerwünschten Verzögerungen von Greylisting und auch die Schwierigkeiten von durch Dritte zusammengestellten Blacklists zu vermeiden, haben wir intelligentes Greylisting entwickelt. Anstatt jeden unbekannten Absender direkt temporär abzuweisen und seine Reaktion abzuwarten, wird der erste Zustellversuch zunächst analysiert. Anhand dieser Analyse wird entschieden, ob die E-Mail sofort angenommen werden soll; andernfalls kommt Greylisting zum Einsatz und die E-Mail wird mit einem temporären Fehler abgelehnt.
Die Analyse erfolgt dabei in mehreren Schritten:
- Ist der Absender in einer bekannten Whitelist, nimm die E-Mail sofort an.
- Ist der Absender in einer bekannten Blacklist, setze Greylisting ein.
- Verwendet der Absender einen nicht standardkonformen Namen im SMTP-HELO, sind Absender und Empfänger Adresse identisch oder verbindet sich der Absender aus einem DialUp-Netzwerk, setze Greylisting ein.
- Schlägt der SPF-Check fehl, setze Greylisting ein.
- Falls keiner der vorhergehenden Schritte zum Greylisting geführt hat, nimm die E-Mail sofort an.
Mit bley haben wir ein Software-Paket entwickelt, das den oben skizzierten Algorithmus implementiert. Bley verwendet die Policy-Daemon-Schnittstelle des SMTP-Servers Postfix und ist somit leicht in existierende Umgebungen integrierbar.
Als Benchmark haben wir bley gegen policyd-weight auf einem Server mit ca 20.000 E-Mails/Tag antreten lassen. Dabei filterte policyd-weight 97,5% der E-Mails als Spam, bley "nur" 97%, verzögerte aber nur zwei und verlor keine einzige.
Für den praktischen Einsatz schlagen wir die Kombination von bley mit einer inhaltsbasierten Spam-Erkennung (zB SpamAssassin) als zweite Stufe vor. Durch den hohen Anteil an Spam-E-Mails, die bley bereits mit minimalem Rechenaufwand auf Protokollebene abweisen kann, müssen rechenaufwändige inhaltsbasierte Verfahren dann nur noch auf eine sehr viel geringere Zahl von E-Mails angewendet werden.