灰名单仍然是防止垃圾邮件的有效方法吗?

灰名单仍然是防止垃圾邮件的有效方法吗?

我用过灰名单在我的服务器上已经使用了很多年,但我不知道它现在的效果如何。

2012 年它还能有效打击垃圾邮件吗?

或者典型的垃圾邮件发送者 MTA 现在是否能够重新发送灰名单电子邮件?

答案1

2019 年更新:有条件灰名单是最好的权衡

在繁忙的邮件服务器上对所有邮件使用灰名单很长一段时间后,我停止这样做了。它不必要地延迟了正常邮件。这对于带有帐户激活链接的邮件尤其令人讨厌。它会给需要列入白名单的云邮件程序带来严重问题(详情见下面的答案)。在将所有邮件发送到垃圾邮件过滤器之前将其列入灰名单的另一个缺点是,学习型垃圾邮件过滤器错失了了解灰名单过滤掉的所有简单垃圾邮件的机会。

我现在不再将所有邮件列入灰名单,而是使用垃圾邮件过滤器(rspamd,我强烈推荐),该过滤器仅将垃圾邮件分数介于明显正常邮件和明显垃圾邮件之间的邮件列入灰名单。这样,正常邮件几乎不会延迟。另一方面,被列入灰名单的垃圾邮件通常会在服务器第二次尝试时被检测为垃圾邮件,因为到那时,垃圾邮件通常会在黑名单(RBL、URIBL)和模糊过滤器中被识别,因此会获得更高的分数。

因此我建议将那些不清楚是垃圾邮件还是正常邮件列入灰名单。时间确实有助于垃圾邮件过滤器找出不清楚的情况。

2018 年的原始答案:

我一直是灰名单的忠实粉丝。原因如下:

  • 它不仅标记垃圾邮件,还会阻止它。
  • 在德国作为服务提供商使用是合法的(与接收后删除垃圾邮件不同)
  • 它简单又有效。
  • 它会增加垃圾邮件发送者的负载,而不会增加您的接收邮件服务器的负载。因此,即使垃圾邮件发送者可能通过您的灰名单,您也会迫使他们的机器更加努力地工作,因此他们总共可以发送更少的垃圾邮件。
  • 与基于 IP 的 RBL 等不同,它几乎不会阻止任何合法邮件。
  • 这会带来延迟,但您可以将经常联系的客户端(发送服务器)列入白名单,并将真正需要电子邮件且延迟最小的收件人列入白名单。请记住,直接在所有邮件上使用像 Spamassasin 这样的垃圾邮件过滤器(不列入灰名单)也会导致合法邮件延迟:一些垃圾邮件发送者向您的服务器发送了太多邮件,导致垃圾邮件过滤器超载。因此,它会向发送其他传入邮件的发送服务器发送临时故障(例如 451)。这会导致与列入灰名单相同的效果,即邮件延迟,但列入白名单并不那么容易。当然,您可以使用可扩展到垃圾邮件发送者拥有的任何功能的云垃圾邮件过滤器,但这可能更昂贵。
  • 无需维护或仅需进行有限维护。无需随时间更新和更改黑名单。无需更新基于模式的规则。

但不幸的是,从我的统计数据来看,今年灰名单的效果越来越差。延迟邮件的数量很快就接近灰名单邮件的数量,这意味着被拦截的垃圾邮件数量正在减少。

在过去的一年(365 天)中,55%的灰名单邮件最终通过了灰名单,即 45% 被阻止。

mailgraph 统计年份

mailgraph 统计年份

请注意,此图表包含一个时间段,由于 mailgraph 的配置错误,灰名单邮件未被计算在内,只计算了延迟邮件。这意味着此计算略微高估了延迟邮件,实际上有更多邮件被拦截。

上个月,64% 的请求被延迟,只有 36% 的请求被阻止。

mailgraph 统计月

mailgraph 统计月

上周,75% 的请求被延迟,只有 25% 的请求被阻止。

mailgraph 统计周报

mailgraph 统计周报

此外,查看拦截邮件的总数:本月,灰名单拦截了 4,411 封邮件,而 Amavisd (spamassasin) 拦截了 22,763 封邮件。这意味着只有 16% 的垃圾邮件被灰名单拦截,其余的都被 amavisd 拦截。

此外,越来越多的云发送提供商从数百个 IP 地址发送邮件。他们尝试从另一个 IP 发送邮件。因此,灰名单可能会阻止这些邮件几天。因此,您需要将所有“良好”邮件提供商列入白名单。这会带来新的维护工作。

我一直是灰名单的忠实粉丝,但遗憾的是,我发现它变得越来越没有效果,我想我很快就会禁用它,因为它只会不必要地延迟 14% 的邮件,而不会阻止太多垃圾邮件。

误导性的数据

我的(和您的)统计数据中被阻止的邮件数量也可能具有很大的误导性。让我们以一封来自大型云邮件提供商(如 Microsoft 的 *.outbound.protection.outlook.com)且尚未列入白名单的电子邮件为例。第一次尝试失败。第二次和第三次传输尝试来自另外两个服务器(IP),因此再次失败,因为三元组不匹配。现在第四次尝试再次来自第一台服务器并成功。这将被视为一次延迟传输和四条灰名单邮件。我上面的计算表明 1/4=25% 的灰名单邮件被延迟,3/4=75% 被阻止。但事实上,没有一封邮件被阻止。现在我们将这些邮件提供商的服务器列入白名单,因此它们将不再被列入灰名单。将会发生的情况是,灰名单邮件的数量将比延迟邮件的数量下降更多。这意味着我们计算出的被阻止邮件数量将下降。但被阻止的邮件数量减少是不正确的。

事实上,自 2017 年 2 月以来,我所做的就是将越来越多的云邮件提供商添加到白名单中,以解决灰名单导致的长时间延迟问题。这也许可以(部分地?)解释为什么我计算出的被阻止邮件数量正在迅速下降。所以也许我只是想法灰名单一直在拦截大量垃圾邮件,但拦截的垃圾邮件数量却一直少得多,这只是计算错误。因此,在解释统计数据时要小心谨慎。

答案2

我最后一次定量研究这个是在今年 7 月(2012 年)。7 月份,我的邮件服务器收到了大约 46,000 次投递邮件的尝试;其中,大约 1,750 次被退回,并被灰名单允许通过(并通过了有效的发件人域、SPF 和其他一些非基于内容的测试)。其中,大约另外 1,500 次被我基于内容的过滤过滤掉。

假设这 44,250 封电子邮件是垃圾邮件(因为它们无法通过灰名单,我认为这是一个合理的假设),如果没有灰名单,我的基于内容的过滤将不得不处理 46,000 封邮件,而不是 1,750 封。

如果基于内容的过滤负载增加 25 倍,就需要更强大的 CPU 和更多内存。这又会增加我每月的托管成本,因为需要消耗更多电量(而且很可能还要增加服务器的大小)。

简而言之,上次我统计的时候,灰名单仍然非常非常有意义作为完整垃圾邮件过滤系统的一部分。过去几周我已经为客户激活了它,并且所有客户都极其他们对基于内容的过滤系统的负载减少也感到高兴。

编辑:我注意到我还没有回答它是否随着时间的推移变得不那么有效这个问题。当我在 2006 年末启用它时,我当时的估计是它过滤掉了大约 95% 的垃圾邮件。1,750 占 46,000 的比例约为 4%,所以我的数据表明它在这段时间内并没有变得不那么有效。

答案3

垃圾邮件机器人通常仍然不进行消息排队,但其中一些只是将垃圾邮件发送给每个收件人两次,延迟几分钟以击败灰名单。此外,如今,来自垃圾邮件机器人的垃圾邮件不再是真正的问题,来自受损雅虎帐户等的垃圾邮件更难以捕获。

从这个角度来看,灰名单已经不像以前那么有效了。与其他反垃圾邮件技术结合使用时,它仍然可以提供帮助,例如,如果您的域名经常出现在垃圾邮件活动的“第一批”中,灰名单可以帮助延迟邮件足够长的时间,以便域名/IP 黑名单能够赶上,因此,如果垃圾邮件在第一次连接尝试时漏过了您的过滤器,则可能会在第二次尝试时被检测到。

答案4

获取基于信誉的邮件过滤器。灰名单有点老套并不是一个全面的解决方案。有一些解决方法(从垃圾邮件发送者的角度来看),并且不可预测的邮件投递时间为您的用户...

要么将过滤工作外包给云服务,要么购买可以访问此类列表并具有其他验证垃圾邮件方法的设备。我通常推荐 Barracuda,因为它们器具或者他们的云过滤解决方案. 两种方案都具有规模经济和成熟的启发式方法,可以提供更清晰的整体解决方案。

查看我的客户的 Barracuda 垃圾邮件过滤器 2012 年 9 月报告,在 98,457 封邮件中,有 1,623 封甚至在到达邮件服务器之前就因为收件人不当而被截断……34,488 封邮件被屏蔽为垃圾邮件. 仅限96可疑的邮件通过了。被评为垃圾邮件的邮件是声誉、分数、意图、三个 RBL 的组合,贝叶斯过滤和自定义规则集。全部在一个单元中...所有处理都在到达相对较小的邮件服务器之前进行。

在此处输入图片描述

另请参阅:打击垃圾邮件 - 作为电子邮件管理员、域名所有者或用户,我能做什么?

相关内容