Administrace komentářů

Když jsem výše uváděl příkaz ze SMTP protokolu, vypadá to snad, že nevím, co je greylisting? Ano, vím, co to je, a klidně vám to vysvětlím. SMTP protokol umožňuje serveru odmítnout e-mail s dočasnou chybou, což má význam „e-mail momentálně nedokážeme přijmou, ale zkuste to zopakovat později, snad se to zlepší“. Klient v takovém případě e-mail nesmí považovat za doručený, ale odloží si ho do fronty a zkusí jej poslat později. Obvykle se to dělá tak, že se postupně prodlužuje interval opakovaného odeslání – nejprve to zkusí třeba za hodinu, pak za dvě, za čtyři… A také má klient nastavený limit na počet pokusů nebo dobu, kdy je e-mail ve frontě, a pokud se limit překročí, e-mail se označí za nedoručitelný. Greylisting zneužívá téhle vlastnosti protokolu a předpokládá, že slušní klienti se budou pokoušet e-mail doručit opakovaně, zatímco někteří spammeři to zkusí jednou, a pokud neuspějí, vzdají to. Funguje tak, že si server nějakým způsobem identifikuje e-maily, které se mu někdo pokusí doručit, a pokud daný e-mail vidí poprvé, odmítne jej dočasnou chybou, a teprve když jej vidí podruhé, přijme jej. A následně může IP adresy klientů, kteří se pokoušeli daný e-mail doručit, přidat na whitelist – dočasný nebo trvalý.

K odmítnutí e-mailu může dojít dojít v kterékoli fázi komunikace před potvrzením přijetí – po úvodním EHLO, po hlavičce odesílatele MAIL FROM, po hlavičce adresáta RCPT TO i po přijetí těla e-mailu DATA. Obvykle se pro identifikaci e-mail při greylistingu používá trojice adresa odesílatele, adresa příjemce a IP adresa klienta, takže se e-maily odmítají po RCPT TO příkazu. Osobně mi to nepřipadá jako rozumné řešení, protože IP adresa jako součást identifikace způsobuje problémy právě při odesílání z cloudu, kdy z jedné fronty doručuje více různých strojů. A ta IP adresa v identifikaci podle mne ničemu nepomůže, protože spammer buď pokus o odeslání nebude opakovat vůbec, nebo to zkusí znova z toho samého stroje. Takže kdybych já osobně používal greylisting, určitě bych pro identifikaci e-mailu nepoužíval IP adresu klienta – pokud už bych chtěl klienta identifikovat, pak podle suffixu ve jméně v EHLO příkazu. To odmítání po RCPT TO a před DATA (před vlastním e-mailem) se dělá ještě z toho důvodu, že e-mail je na celé komunikaci to největší, takže když se odmítne jež před samotným e-mailem, šetří se přenosové pásmo a čas spammera a ten se nemusí zdržovat zbytečným doručováním e-mailu vám a hned může svým spamem obšťastnit někoho dalšího – totiž pardon, to samozřejmě ne, šetří se tím přenosové pásmo serveru, který je chudák na nějaké pomalé lince…

Jak už jsem psal, e-mail je ale možné odmítnout i po odeslání celého e-mailu (po koncové tečce). Takže není pravda, že není možné analyzovat odmítnuté e-maily – je možné třeba týden sbírat greylistem odmítnuté e-maily a ty následně analyzovat. A podle toho získat alespoň hrubou představu o tom, jak se to celé chová, o kolik se e-maily zpožďují, kolik by jich stejně zachytily další filtry, kolik regulérních e-mailů se třeba vůbec nedoručilo.