Le greylisting est-il toujours une méthode efficace pour empêcher le spam?

J'utilise la liste grise sur mes serveurs depuis de nombreuses années, mais je ne sais pas à quel point c'est efficace aujourd'hui.

Est-il toujours utile pour lutter contre le spam en 2012?

Ou bien le spammer MTA typique est-il capable de renvoyer des courriers électroniques à liste grise maintenant?

Une mise à jour de 2018:

J'ai toujours été un grand fan de listes grises. Pour ces raisons:

• Il ne marque pas seulement le spam, il le bloque.
• Il est légal d'utiliser un fournisseur de services en Allemagne (contrairement à la suppression des spams après réception)
• C'est simple et efficace.
• Il ajoute de la charge au spammeur et non à votre serveur de courrier de réception. Ainsi, même si les spammeurs réussissent à passer au crible, vous avez forcé leur machine à travailler plus fort et ils peuvent donc envoyer moins de spam au total.
• Il ne bloque presque aucun courrier légitime, contrairement aux RBL basés sur IP, etc.
• Cela introduit des retards, mais vous pouvez mettre en liste blanche les clients (serveurs d’envoi) des contacts fréquents et les destinataires de la liste blanche qui ont vraiment besoin d’e-mails dans les meilleurs délais. N'oubliez pas que l'utilisation d'un filtre anti-spam comme Spamassasin directement sur tous vos messages (sans liste grise) peut également entraîner des retards dans les messages légitimes: certains spammeurs envoient tellement de messages sur votre serveur que le filtre anti-spam est surchargé. Ainsi, il enverra une défaillance temporaire (par exemple 451) au serveur d'envoi de nouveaux messages entrants. Cela entraîne les mêmes effets que les listes grises, c’est-à-dire que les courriers sont retardés, à l’exception que la liste blanche n’est pas si facile. Bien sûr, vous pouvez utiliser un filtre anti-spam cloud qui s'adapte à la puissance du spammeur, mais cela peut coûter plus cher.
• Entretien limité ou non requis. Aucune liste noire qui doit être mise à jour et changer au fil du temps. Aucune règle basée sur des modèles à mettre à jour.

Mais malheureusement, dans mes statistiques, je vois que cette année, les listes grises deviennent de moins en moins efficaces. La quantité de messages retardés approche assez rapidement de la quantité de messages grisés, ce qui signifie que la quantité de spam bloqué diminue.

Au cours de la dernière année (365 jours), 55% des messages de la liste grise ont finalement été bloqués, ce qui signifie que 45% ont été bloqués.

année de statistiques mailgraph

Notez que ce graphique incluait un délai dans lequel les messages de la liste grise n'étaient pas comptabilisés en raison d'une erreur de configuration de mailgraph, mais uniquement de ceux en différé. Cela signifie que ce calcul surestime un peu les messages retardés, en fait un peu plus de mails bloqués.

Le mois dernier, 64% ont été retardés et seulement 36% ont été bloqués.

mailgraph stats mois

La semaine dernière, 75% ont été retardés et seulement 25% bloqués.

semaine de statistiques mailgraph

En outre, en regardant le nombre total de messages bloqués: Ce mois-ci, la liste de blocage a bloqué 4 411 messages, mais Amavisd (spamassasin) a bloqué 22 763 messages. Cela signifie que seulement 16% des spams sont bloqués par les listes grises, le reste par amavisd.

En outre, de plus en plus de fournisseurs d'envoi dans le cloud envoient parmi plusieurs centaines d'adresses IP. Ils tentent chaque tentative de transmission depuis un autre IP. Ainsi, les listes grises peuvent bloquer ces courriers pendant plusieurs jours. Par conséquent, vous devez ajouter tous les "bons" fournisseurs de courrier à la liste blanche. Ceci introduit un nouvel effort de maintenance.

J'ai toujours été un grand fan de listes grises, mais malheureusement, je constate qu'il devient de moins en moins efficace, et je pense que je vais le désactiver rapidement, car il commence à retarder inutilement 14% de mes messages sans bloquer beaucoup de spam. .

Les statistiques trompeuses

Le nombre d'e-mails bloqués dans mes statistiques (et dans vos statistiques) peut également être largement trompeur. Prenons un email qui provient d’un gros fournisseur de messagerie cloud (comme le fichier * .outbound.protection.outlook.com de Microsoft) qui n’a pas encore été ajouté à la liste blanche. La première tentative échoue. Les deuxième et troisième tentatives de transmission proviennent de deux autres serveurs (IP), elles échouent donc à nouveau, car le triplet ne correspond pas. Maintenant, la quatrième tentative vient à nouveau du premier serveur et réussit. Cela comptera comme une transmission différée et quatre messages à liste grise. Mes calculs ci-dessus indiqueraient que 1/4 = 25% des messages de la liste grise ont été retardés et 3/4 = 75% ont été bloqués. Mais en fait, aucun message n'a été bloqué. Maintenant, nous ajoutons les serveurs de ces fournisseurs de courrier à la liste blanche afin qu'ils ne soient plus mis en liste grise. Ce qui va arriver, c’est que le nombre de messages de la liste grisée diminuera plus que le nombre de messages différés. Cela signifie que le nombre de messages bloqués calculés diminuera. Mais ce n'est pas vrai que moins de messages ont été bloqués.

En fait, ce que je fais depuis février 2017 consiste à ajouter de plus en plus de fournisseurs de messagerie en nuage à la liste blanche pour lutter contre le problème des longs délais dus à la mise en liste verte. Cela peut expliquer (en partie?) Pourquoi le nombre de mails bloqués que je calcule diminue rapidement. Alors peut-être, je pensais juste que tout le temps que greylisting bloquait beaucoup de spam, mais la quantité de spam bloqué était beaucoup moins constante, elle était juste calculée de manière incorrecte. Soyez donc prudent lorsque vous interprétez vos statistiques.

La dernière fois que j'ai examiné cela quantitativement en juillet de cette année (2012). En juillet, mon serveur de messagerie a reçu environ 46 000 tentatives de distribution du courrier. parmi ceux-ci, environ 1 750 ont été renvoyés et ont été autorisés par la liste grise (et ont passé avec succès le domaine de l'expéditeur valide, SPF et certains autres tests non basés sur le contenu). Parmi ceux-ci, environ 1 500 autres ont été filtrés par mon filtrage basé sur le contenu.

En supposant que ces 44 250 e-mails soient du spam (car ils ne pouvaient pas passer en liste grise, je pense que c'est une hypothèse juste), sans le grundisting, mon filtrage basé sur le contenu aurait dû traiter 46 000 courriers au lieu de 1 750.

La charge de mon filtrage basé sur le contenu étant multipliée par 25, il me faudrait des processeurs beaucoup plus robustes et davantage de mémoire. Cela augmenterait mes coûts d'hébergement mensuels, en raison de la consommation électrique supplémentaire (et probablement de la taille du serveur).

En bref, la dernière fois que j’ai compté, oui, la liste grise a toujours été très utile dans le cadre d’un système complet de filtrage du courrier indésirable . Je l'ai activé pour les clients au cours des dernières semaines et tous sont extrêmement satisfaits de la diminution de la charge de leurs systèmes de filtrage basés sur le contenu.

Edit : Je remarque que je n’ai pas répondu à la question de savoir s’il devient moins efficace avec le temps. Lorsque je l'ai activé, à la fin de 2006, mon estimation à cette époque était qu'il filtrait environ 95% du spam. 1 750 sur une proportion de 46 000 soit environ 4%, donc mes données suggèrent que ce n'est pas devenu moins efficace au cours de cette période.

En règle générale, les robots spammeurs ne font toujours pas la mise en file d'attente des messages, mais certains envoient simplement le spam deux fois à chaque destinataire avec quelques minutes de retard pour éliminer la liste grise. de plus, de nos jours, le spam par les spambots n'est plus le problème, mais le spam par les comptes yahoo compromis, etc., est beaucoup plus difficile à détecter.

De ce point de vue, les listes grises ne sont plus aussi efficaces qu’avant. Associé à d'autres techniques anti-spam, il peut toujours être utile, par exemple si votre domaine fait souvent partie du "premier lot" de campagnes anti-spam, la mise en liste grise peut aider à retarder le message suffisamment longtemps pour que les listes noires de domaine / ip se rattrapent, donc si la le spam aurait glissé dans vos filtres lors de la première tentative de connexion; il pourrait être détecté à la deuxième tentative.

En tant que problème tangentiel, je n’aime pas être en mesure d’avoir déployé une technique telle que la mise en liste grise sans pouvoir mesurer son efficacité. Sur Debian, avec postfix en tant que MTA et postgrey en tant que moteur de règles greylisting, vous pouvez apt-get install mailgraphobtenir un graphique simple des messages acceptés par rapport aux messages rejetés. Mailgraph est un peu vieux et complètement autonome, mais cela fonctionne, et ses données ou techniques pourraient facilement être intégrées dans un système de surveillance moderne plus complexe.

Obtenez un filtre de messagerie basé sur la réputation. La liste grise est un peu vieille école et n'est pas une solution complète. Il existe des solutions de contournement (du point de vue du polluposteur) et des délais de livraison du courrier imprévisibles pour vos utilisateurs ...

Vous pouvez soit externaliser le filtrage sur un service cloud, soit acheter une appliance ayant accès à une telle liste et disposant d'autres méthodes de validation du spam. Ma recommandation est généralement Barracuda pour leur appareil ou leur solution de filtrage cloud . Les deux options offrent des économies d’échelle et des heuristiques matures qui offrent une solution globale plus propre.

Dans le rapport de septembre 2012 de l'un des clients de Barracuda Spam Filter de mon client, 1 623 messages sur 98 457 ont été coupés avant même d'avoir touché le serveur de messagerie en raison de destinataires incorrects ... 34 488 ont été bloqués sous forme de SPAM . Seuls 96 messages douteux ont réussi. Ceux considérés comme du SPAM associaient la réputation, le score, l’intention, trois RBL, le filtrage bayésien et des ensembles de règles personnalisées. Tout en une unité ... Tous traités avant de frapper le serveur de messagerie relativement petit.

Voir également: Lutte contre le spam - Que puis-je faire en tant qu'administrateur de messagerie électronique, propriétaire de domaine ou utilisateur?