J'ai utilisé liste verte sur mes serveurs depuis de nombreuses années, mais je ne sais pas si elle est efficace aujourd'hui.
Est-il encore efficace pour lutter contre le spam en 2012 ?
Ou bien le MTA typique des spammeurs est-il désormais capable de renvoyer les courriels figurant sur la liste grise ?
La dernière fois que j'ai examiné cette question d'un point de vue quantitatif, c'était en juillet de cette année (2012). En juillet, mon serveur de messagerie a reçu environ 46 000 tentatives de distribution de courrier ; parmi celles-ci, environ 1 750 sont revenues et ont été autorisées par la liste grise (et ont passé le domaine de l'expéditeur valide, le SPF et d'autres tests non basés sur le contenu). De ce nombre, environ 1 500 autres ont été filtrés par mon filtrage basé sur le contenu
En supposant que ces 44 250 courriels étaient des spams (puisqu'ils n'ont pas pu passer le greylisting, je pense que c'est une hypothèse raisonnable), sans le greylisting, mon filtrage basé sur le contenu aurait dû traiter 46 000 courriels au lieu de 1 750.
Une multiplication par vingt-cinq de la charge de mon filtrage basé sur le contenu m'obligerait à disposer d'unités centrales beaucoup plus puissantes et d'une mémoire plus importante. Cela augmenterait mes frais d'hébergement mensuels, en raison de la consommation d'énergie supplémentaire (et, probablement, de la taille du serveur).
En résumé, la dernière fois que j'ai compté, oui, le greylisting était encore très, très sensé dans le cadre d'un système complet de filtrage des spams . Je l'ai activé pour des clients au cours des dernières semaines, et tous sont satisfaits. extrêmement Ils sont également satisfaits de la diminution de la charge sur leurs systèmes de filtrage basés sur le contenu.
Editer : Je note que je n'ai pas répondu à la question de savoir s'il devient moins efficace avec le temps. Lorsque je l'ai activé, fin 2006, j'ai estimé qu'il filtrait environ 95 % des spams. Une proportion de 1 750 sur 46 000 représente environ 4 %. Mes données suggèrent donc qu'il n'est pas devenu moins efficace au cours de cette période.
Il ne s'agit que d'un petit serveur de messagerie, donc les résultats peuvent ne pas être représentatifs, mais je suis heureux qu'une réponse quantitative corresponde à ce que vous souhaitiez !
Je pense qu'il est très judicieux d'examiner cette question d'un point de vue quantitatif dans votre situation particulière. Je viens de vérifier, et mon serveur de messagerie voit des chiffres très différents : total pour août et septembre, 460214 rejets 5xx, 12331 rejets 4xx et 22665 acceptations. Ainsi, 4,6 % des messages sont acceptés et seulement 2,6 % des spams (au mieux) sont bloqués par le greylisting. Les rejets 5xx sont dominés par 8,4% d'utilisateurs inconnus et >90% de RBL. (Et je n'utilise même pas des RBL extrêmement agressives. Une majorité écrasante des blocs RBL sont des XBL .) Par ailleurs, le trafic intercepté par les RBL n'est jamais pris en compte dans le greylisting.
Mise à jour 2019 : La liste grise conditionnelle est le meilleur compromis
Après avoir utilisé le greylisting sur tous les mails pendant une longue période sur un serveur de mails très fréquenté, j'ai arrêté de le faire. Cela retarde inutilement les courriers du courrier indésirable. C'est particulièrement gênant pour les courriers contenant des liens d'activation de compte. Cela crée de graves problèmes avec les "cloud mailers" que vous devez mettre sur liste blanche (détails dans la réponse ci-dessous). Un autre inconvénient de la mise en liste grise de tous les messages avant de les transmettre à votre filtre anti-spam est qu'un filtre anti-spam en cours d'apprentissage n'a pas l'occasion de connaître tous les spams faciles que la mise en liste grise a éliminés.
Au lieu de mettre tous les courriers sur liste grise, j'utilise maintenant un filtre anti-spam (rspamd, que je recommande vivement) qui ne met sur liste grise que les courriers dont le score de spam se situe entre clear ham et clear spam. De cette manière, les courriers ham ne sont pratiquement pas retardés. D'un autre côté, les courriers de spam qui atteignent la liste grise sont souvent détectés comme du spam lorsque le serveur essaie une deuxième fois, parce qu'à ce moment-là, le spam est souvent connu dans les listes noires (RBL, URIBL) et les filtres flous et obtient donc un score plus élevé.
Je recommande donc de mettre sur liste grise les messages dont on ne sait pas s'il s'agit de spam ou de ham. Le temps aide vraiment le filtre anti-spam à comprendre les cas peu clairs.
Réponse originale de 2018 :
J'ai toujours été un grand fan des listes grises. Pour les raisons suivantes :
Mais malheureusement, dans mes statistiques, je vois que cette année, le greylisting devient de moins en moins efficace. Le nombre de messages retardés se rapproche rapidement du nombre de messages sur liste grise, ce qui signifie que le nombre de spams bloqués diminue.
Au cours de l'année écoulée (365 jours), 55 % des messages inscrits sur la liste grise ont finalement franchi cette étape, c'est-à-dire que 45 % d'entre eux ont été bloqués.
mailgraph stats year
Il convient de noter que ce graphique inclut une période au cours de laquelle les messages de la liste grise n'ont pas été pris en compte en raison d'une erreur de configuration de mailgraph, mais seulement les messages retardés. Cela signifie que ce calcul surestime légèrement les messages retardés, en fait un peu plus de messages ont été bloqués.
Au cours du mois dernier, 64 % des demandes ont été retardées et seulement 36 % ont été bloquées.
mailgraph stats month
Au cours de la semaine écoulée, 75 % ont été retardés et seulement 25 % bloqués.
mailgraph stats week
En outre, si l'on considère le nombre total de messages bloqués : Ce mois-ci, greylisting a bloqué 4 411 messages, mais Amavisd (spamassasin) a bloqué 22 763 messages. Cela signifie que seulement 16% du spam est bloqué par greylisting, et tout le reste par amavisd.
En outre, de plus en plus de fournisseurs de services d'envoi en nuage envoient des messages à partir d'un ensemble de plusieurs centaines d'adresses IP. Ils tentent chaque transmission à partir d'une autre adresse IP. Le greylisting peut donc bloquer ces courriers pendant plusieurs jours. Il est donc nécessaire d'établir une liste blanche de tous les "bons" fournisseurs de courrier. Cela implique un nouvel effort de maintenance.
J'ai toujours été un grand fan du greylisting, mais malheureusement, je vois qu'il devient de moins en moins efficace, et je pense que je vais bientôt le désactiver, car il commence à retarder inutilement 14% de mes mails sans bloquer beaucoup de spam.
Les statistiques trompeuses
Le nombre de courriers bloqués dans mes statistiques (et les vôtres) peut également être largement trompeur. Prenons un courriel provenant d'un grand fournisseur de messagerie en nuage (comme *.outbound.protection.outlook.com de Microsoft) qui n'est pas encore inscrit sur la liste blanche. La première tentative échoue. Les deuxième et troisième tentatives de transmission proviennent de deux autres serveurs (IP) et échouent à nouveau, car le triplet ne correspond pas. La quatrième tentative provient à nouveau du premier serveur et réussit. Cela sera comptabilisé comme une transmission retardée et quatre messages sur liste grise. Mes calculs ci-dessus indiqueraient que 1/4=25% des messages de la liste grise ont été retardés et que 3/4=75% ont été bloqués. Mais en fait, aucun message n'a été bloqué. Maintenant, nous mettons sur liste blanche les serveurs de ces fournisseurs de courrier, de sorte qu'ils ne seront plus mis sur liste grise. Ce qui se passera, c'est que le nombre de messages sur liste grise diminuera plus que le nombre de messages retardés. Cela signifie que le nombre de messages bloqués que nous calculons diminuera. Mais il n'est pas vrai que moins de messages ont été bloqués.
En fait, ce que j'ai fait depuis février 2017, c'est d'ajouter de plus en plus de fournisseurs de messagerie en nuage à la liste blanche pour lutter contre le problème des longs délais dus au greylisting. Cela peut expliquer (en partie ?), pourquoi la quantité de mails bloqués que je calcule diminue rapidement. Alors peut-être que je viens de pensée tout le temps que le greylisting bloque beaucoup de spam, mais la quantité de spam bloquée était beaucoup moins importante tout le temps, elle était juste calculée de manière incorrecte. Soyez donc prudent lorsque vous interprétez vos statistiques.
+1 de ma part - il est temps de réexaminer mes données. Je suis d'accord pour dire que ces satanées personnes ennuyeuses qui font rebondir le courrier dans leur domaine de serveurs internes, de sorte que chaque tentative provient d'un serveur différent, fausseront les données. Je ne suis pas sûr d'adhérer à votre dernière partie, qui semble soutenir que tous les avantages apparents de la liste grise, ou la plupart d'entre eux, sont dus à un surcomptage des courriers électroniques entrants.
Les statistiques de mon serveur de messagerie privé pour l'année dernière (en date de juillet 2019) montrent que seuls 15% des messages ont été retardés et 85% ont été bloqués. J'ai jeté un coup d'œil aux expéditeurs bloqués et ils ressemblent effectivement à des spammeurs. Cependant, je ne fais pas de greylisting sur tout, mais seulement sur les expéditeurs blacklistés par les RBL (zen.spamhaus.org, spam.dnsbl.sorbs.net et psbl.surriel.com). Un greylisting bien configuré semble toujours efficace.
Les spambots ne font généralement pas de mise en file d'attente des messages, mais certains d'entre eux envoient le spam deux fois à chaque destinataire avec un délai de quelques minutes pour contourner le greylisting. en outre, de nos jours, le spam provenant des spambots n'est plus le vrai problème, le spam provenant de comptes yahoo compromis, etc. est beaucoup plus difficile à attraper.
De ce point de vue, le greylisting n'est plus aussi efficace qu'auparavant. En combinaison avec d'autres techniques anti-spam, il peut encore être utile, par exemple si votre domaine fait souvent partie du "premier lot" de campagnes de spam, le greylisting peut aider à retarder le message suffisamment longtemps pour que les listes noires de domaines/ip puissent le rattraper, de sorte que si le spam aurait échappé à vos filtres lors de la première tentative de connexion, il est peut-être détecté lors de la deuxième tentative.
La grande majorité des tentatives d'envoi de spam que je reçois proviennent effectivement de spambots. J'utilise d'autres techniques pour décourager les spambots et la plupart d'entre eux abandonnent avant d'être mis sur liste grise. Sur mon serveur, la liste grise bloque encore environ la moitié des expéditeurs qu'elle traite. J'exempte les expéditeurs dont on peut déterminer qu'ils ont de fortes chances de passer la liste grise.
Dans le même ordre d'idées, je n'aime pas me retrouver dans la position d'avoir déployé une technique telle que le greylisting sans pouvoir en mesurer l'efficacité. Sur Debian, avec postfix comme MTA et postgrey comme moteur de politique de greylisting, vous pouvez simplement apt-get install mailgraph pour obtenir un graphique simple des courriers acceptés par rapport aux courriers rejetés. Mailgraph est un peu vieillot et complètement autonome, mais il fonctionne, et ses données ou techniques pourraient facilement être intégrées dans un système de surveillance moderne plus complexe.
Obtenez un filtre de courrier électronique basé sur la réputation. La liste grise est un peu ancienne école et ne constitue pas une solution globale. Il existe des solutions de contournement (du point de vue du spammeur) et des solutions de rechange. des délais de distribution du courrier imprévisibles pour vos utilisateurs...
Il faut soit confier le filtrage à un service en nuage, soit acheter un appareil ayant accès à une telle liste et disposant d'autres méthodes de validation du spam. Je recommande généralement Barracuda pour son appareil ou pour leur solution de filtrage dans le nuage . Ces deux options permettent de réaliser des économies d'échelle et de mettre au point une heuristique qui offre une solution globale plus propre.
En regardant le rapport du filtre anti-spam Barracuda d'un de mes clients pour le mois de septembre 2012, sur 98 457 messages, 1 623 ont été coupés avant même d'atteindre le serveur de messagerie à cause de mauvais destinataires... 34 488 ont été bloqués comme SPAM . Seulement 96 douteux Les messages sont passés. Les messages classés comme SPAM étaient une combinaison de la réputation, du score, de l'intention et de trois RBL, Filtrage bayésien et des ensembles de règles personnalisés. Tout en un... Le tout est traité avant d'atteindre le serveur de messagerie relativement petit.
Intéressant, mais vous ne répondez pas à mes questions concernant le greylisting. Et vos statistiques sans les chiffres du greylisting ne sont pas très pertinentes ici :)
@neu242 Le point est que 1). Greylisting a des désavantages connus, 2). ne peut pas être considéré comme un entier Il existe de meilleurs moyens de détecter le spam, les processus ayant évolué au cours des dernières années.
Le greylisting n'est bien sûr qu'un élément de ma panoplie de prévention du spam. Ma configuration ressemble beaucoup à celle de @MadHatter. Mais comme j'ai posé une question spécifique sur le greylisting, je m'attendais en quelque sorte à des réponses spécifiques au greylist.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
0 votes
"Bon" pour quoi faire ? Le Greylisting a des avantages et contre.
2 votes
@Michael : Pour la lutte contre le spam. Lire la question :)
0 votes
J'ai lu la question. Il ne semble pas que vous connaissiez les avantages et les inconvénients du greylisting.
1 votes
Nous pourrons aborder les avantages et les inconvénients du greylisting dans une autre question :)
0 votes
Peut-être, mais cela signifie que vous devriez probablement supprimer le mot "bon" de celui-ci et le remplacer par un adjectif plus approprié. Ce n'est certainement pas le bon mot pour une mesure de prévention du spam qui amène le PDG à se plaindre.
1 votes
J'ai légèrement modifié le titre. Est-ce qu'il a l'air mieux maintenant ?
3 votes
@MichaelHampton Euh, point d'intérêt... quelles sont les mesures de prévention du spam que vous utilisez ? ne le chef d'entreprise se plaint-il ? Ou peut-être, et c'est plus approprié, quel genre de chef d'entreprise n'est pas une personne gâtée et pleurnicharde qui trouve quelque chose à redire sur absolument n'importe quoi ?
1 votes
@HopelessN00b Notre PDG n'est pas comme ça. Je ne jugerais pas la personnalité ou le comportement de quelqu'un sur la seule base de sa profession.