Dotaz: Mailserver a dvě síťovky

Když jsem výše uváděl příkaz ze SMTP protokolu, vypadá to snad, že nevím, co je greylisting? Ano, vím, co to je, a klidně vám to vysvětlím. SMTP protokol umožňuje serveru odmítnout e-mail s dočasnou chybou, což má význam „e-mail momentálně nedokážeme přijmou, ale zkuste to zopakovat později, snad se to zlepší“. Klient v takovém případě e-mail nesmí považovat za doručený, ale odloží si ho do fronty a zkusí jej poslat později. Obvykle se to dělá tak, že se postupně prodlužuje interval opakovaného odeslání – nejprve to zkusí třeba za hodinu, pak za dvě, za čtyři… A také má klient nastavený limit na počet pokusů nebo dobu, kdy je e-mail ve frontě, a pokud se limit překročí, e-mail se označí za nedoručitelný. Greylisting zneužívá téhle vlastnosti protokolu a předpokládá, že slušní klienti se budou pokoušet e-mail doručit opakovaně, zatímco někteří spammeři to zkusí jednou, a pokud neuspějí, vzdají to. Funguje tak, že si server nějakým způsobem identifikuje e-maily, které se mu někdo pokusí doručit, a pokud daný e-mail vidí poprvé, odmítne jej dočasnou chybou, a teprve když jej vidí podruhé, přijme jej. A následně může IP adresy klientů, kteří se pokoušeli daný e-mail doručit, přidat na whitelist – dočasný nebo trvalý.

K odmítnutí e-mailu může dojít dojít v kterékoli fázi komunikace před potvrzením přijetí – po úvodním EHLO, po hlavičce odesílatele MAIL FROM, po hlavičce adresáta RCPT TO i po přijetí těla e-mailu DATA. Obvykle se pro identifikaci e-mail při greylistingu používá trojice adresa odesílatele, adresa příjemce a IP adresa klienta, takže se e-maily odmítají po RCPT TO příkazu. Osobně mi to nepřipadá jako rozumné řešení, protože IP adresa jako součást identifikace způsobuje problémy právě při odesílání z cloudu, kdy z jedné fronty doručuje více různých strojů. A ta IP adresa v identifikaci podle mne ničemu nepomůže, protože spammer buď pokus o odeslání nebude opakovat vůbec, nebo to zkusí znova z toho samého stroje. Takže kdybych já osobně používal greylisting, určitě bych pro identifikaci e-mailu nepoužíval IP adresu klienta – pokud už bych chtěl klienta identifikovat, pak podle suffixu ve jméně v EHLO příkazu. To odmítání po RCPT TO a před DATA (před vlastním e-mailem) se dělá ještě z toho důvodu, že e-mail je na celé komunikaci to největší, takže když se odmítne jež před samotným e-mailem, šetří se přenosové pásmo a čas spammera a ten se nemusí zdržovat zbytečným doručováním e-mailu vám a hned může svým spamem obšťastnit někoho dalšího – totiž pardon, to samozřejmě ne, šetří se tím přenosové pásmo serveru, který je chudák na nějaké pomalé lince…

Jak už jsem psal, e-mail je ale možné odmítnout i po odeslání celého e-mailu (po koncové tečce). Takže není pravda, že není možné analyzovat odmítnuté e-maily – je možné třeba týden sbírat greylistem odmítnuté e-maily a ty následně analyzovat. A podle toho získat alespoň hrubou představu o tom, jak se to celé chová, o kolik se e-maily zpožďují, kolik by jich stejně zachytily další filtry, kolik regulérních e-mailů se třeba vůbec nedoručilo.

Celkový přehled:
Celkem : 28 755 (3,48 GiB)
HAM : 2 829
SPAM : 470
viry : 3
whitelist : 19 603
blacklist : 0
bez kontroly : 199
odmítnuto : 5632
lokálně odeslané : 19


Podrobně :
Uživatelský SPAM : 456
SPAM : 0
Jistý SPAM : 14
Infikované : 1
Zašifrované : 2
Auto whitelist pro odpověď : 1585
Whitelist pro email adresu odesílatele : 4832
Whitelist pro IP adresu serveru odesílatele : 52
Důvěryhodná relay : 13 134
Příliš velká zpráva : 191
Neproběhla AS kontrola (zpráva odstraněna) : 8
Greylisting : 2562
IP name lookup failed : 10
autentizace selhala : 17
doména adresy odesílatele neexistuje : 1477
doména adresy odesílatele nelze přeložit : 26
neznámý uživatel : 40
jiný důvod : 1500
lokálně odeslané zprávy : 19

Total sent : 16589
Total received : 15926

Marne se snazis, je to jirsak, a ten nevic nic o vubec nicem.

Takze jak by moh tusit, ze greylist slouzi k tomu, aby overil ze jde o nespamovaci srv, protoze spamerovi se druhej pokus nevyplati.