Erfahrungen Greylisting

1. offizieller Beitrag
    • Offizieller Beitrag

    Hallo Community,


    letzte Woche hatte ich eine Diskussion mit einem Kunden und seinen Erfahrungen zum Thema Greylisiting. Da meine bisher leider eher negativ waren, allerdings auch schon ein paar Jahre her, würde mich Eure Erfahrungen interessieren.


    Meine bisherigen Erfahrungen (letzter Versuch ca. 3 bis 4 Jahre her):
    - sendende Mail-Server können nicht mit dem temp. Fehler umgehen und erzeugen sofort einen NDR
    - User können nicht damit umgehen, das Mails manchmal etwas länger brauchen
    - Wiederholungsintervall des sendenden Servers schwankte zwischen 15 Minuten und 12 Stunden
    - große Mail-Farmen (z.B. GXM, AOL, etc.) benutzen bei den Sendevorgängen unterschiedliche IP-Adressen und damit landet jeder Sende-Vorgang im Greylisting



    Wie sieht das bei Euch aus? Pflegt ihr lange WhiteLists oder sind vorallem die Probleme 1 und 4 nicht mehr vorhanden?

    • Offizieller Beitrag
    Zitat


    RobertW schrieb:
    letzte Woche hatte ich eine Diskussion mit einem Kunden und seinen Erfahrungen zum Thema Greylisiting. Da meine bisher leider eher negativ waren, allerdings auch schon ein paar Jahre her, würde mich Eure Erfahrungen interessieren.


    Meine bisherigen Erfahrungen (letzter Versuch ca. 3 bis 4 Jahre her):
    - sendende Mail-Server können nicht mit dem temp. Fehler umgehen und erzeugen sofort einen NDR


    Kommt selten vor, und müßte ggf. durch exclude solcher Server vom Greylisting ausgenommen werden. (so eine Liste gibts bspw. für ORF ;))


    Zitat

    - User können nicht damit umgehen, das Mails manchmal etwas länger brauchen


    Das hängt ja von mehreren Faktoren ab.
    1. Betrifft dies nur die jeweils erste Mail innerhalb des konfigurierten Greylisting Zeitraums.
    2. Mitarbeiterinformation (Hilft oftmal Wunder)


    Zitat

    - Wiederholungsintervall des sendenden Servers schwankte zwischen 15 Minuten und 12 Stunden


    Dagegen kann man tatsächlich nichts tun, aber das hält sich meiner Meinung nach in Grenzen.


    Zitat

    - große Mail-Farmen (z.B. GXM, AOL, etc.) benutzen bei den Sendevorgängen unterschiedliche IP-Adressen und damit landet jeder Sende-Vorgang im Greylisting


    Dafür gibt es in ORF bspw. eine entsprechende Option, die entsprechenden IPs aus /24 Netzen zu nutzen. Zusätzlich ist Greylisting ne tolle Option den Leuten endlich einen SPF Record zu setzen, da in ORF Sender mit korrektem SPF Record gar nicht erst im Greylisting landen.



    Zitat

    Wie sieht das bei Euch aus? Pflegt ihr lange WhiteLists oder sind vorallem die Probleme 1 und 4 nicht mehr vorhanden?


    Ich pflege eigentlich gar keine Listen. Ich importiere die Greylist Exeption List in ORF und danach ist im Allgemeinen Ruhe.


    Achso, und entgegen allen immer wieder mal geäußerten Bedenken hinsichtlich Greylisting, haben sich Spammer so gut wie nie die Mühe gemacht, zweimal anzuklopfen, und auch die User finden sich irgendwann damit ab, da es so gut wie keine Verzögerung bei regelmässigem Emailverkehr gibt.


    bye
    Norbert

    Obwohl ich kein Greylisiting einsetze finde ich es eine sinnvolle Sache.


    Keine Sorge - Die Mails kommen schon alle an nur halt beim erste mal ca. 15min Zeitverzögert. (im Durchschnitt)


    Genau das ist eben der Punkt: Spammer versuchen es zu 98% nie 2x und daher klappt das so gut.


    Zeit ist Geld (bei den Spammern)
    Deswegen hat Microsoft z.B. auch diese 5sek Verzögerung eingebaut wenn ein Spammer einen falschen Befehl eingibt.


    Gerade weil es die Spammer so eilig haben vergessen die sogar oft ein HELO. Wenn man das bei Exchange macht verzögert man direkt mal 5 sekunden.


    Dadurch disconnecten schon viele Spammer ohne überhaupt die Mail abzusenden.


    Von daher halte ich diese Sachen wie Greylisiting für besonders effektiv gegen Spammer.


    Kein (gut bzw. sauber konfigurierter Mailserver) hat damit Probleme. (Exchange bei Standardeinstellungen auch nicht)


    Bei meiner Erfahrung mit Postfix (Linux) und Exchange ist mehr oder weniger, dass die einfach 5-15min warten und dann wieder die Mail zustellen und das klappt dann auch.


    Wichtig ist viel mehr, dass man seine Reverse DNS, Hostname und Mailservername sauber konfiguriert.


    Wenn z.B. dein sendender Mailserver mx01.example.com heisst ist es wichtig, dass der RDNS Eintrag auf die IP dann auch mx01.example.com lautet und wenn man mit telnet mx01.exmaple.com 25 auf den Server connected und z.b. helo localhost schreibt, dass der Mailserver mit "mx01.example.com" antwortet.


    Und natürlich das deine IP auf keinen Blacklists steht :) Aber das sollte sowieso klar sein.


    Unter Beachtung dieser Hinweise hatte ich in den letzten Jahren NIE Probleme mit der Mailzustellung.


    Whitelists bringen meiner Meinung nach kaum Vorteile. Wenn man z.B. in große Mailinglists eingetragen ist, dann kann es durchaus Sinn machen diesen Server in die IP Allow List einzutragen.

    viele Grüsse


    StevensDE

    • Offizieller Beitrag
    Zitat


    StevensDE schrieb:


    Keine Sorge - Die Mails kommen schon alle an nur halt beim erste mal ca. 15min Zeitverzögert. (im Durchschnitt)


    Es ist etwas mehr bei mir. ;)
    Q1 2009 Average Delay^19min 35s



    Zitat

    Zeit ist Geld (bei den Spammern)
    Deswegen hat Microsoft z.B. auch diese 5sek Verzögerung eingebaut wenn ein Spammer einen falschen Befehl eingibt.


    Du meinst TarpitDelay?


    Zitat

    Kein (gut bzw. sauber konfigurierter Mailserver) hat damit Probleme. (Exchange bei Standardeinstellungen auch nicht)


    Exchange 2003 hatte mit Greylisting sehr wohl ein bekanntes Problem. Es trat nur nicht bei jedem auf. ;)


    Bye
    Norbert

    • Offizieller Beitrag
    Zitat


    StevensDE schrieb:
    Keine Sorge - Die Mails kommen schon alle an nur halt beim erste mal ca. 15min Zeitverzögert. (im Durchschnitt)


    Es geht mir nicht darum, ob ihr denkt, dass es gut oder schlecht ist, sondern welche Erfahrungen aktuell damit gemacht werden.


    Zitat


    Kein (gut bzw. sauber konfigurierter Mailserver) hat damit Probleme. (Exchange bei Standardeinstellungen auch nicht).


    Na ja. Exchange 2003 hatte geschlagene 5 Jahre ein Problem mit Greylisting.


    Zitat


    Achso, und entgegen allen immer wieder mal geäußerten Bedenken hinsichtlich Greylisting, haben sich Spammer so gut wie nie die Mühe gemacht, zweimal anzuklopfen, und auch die User finden sich irgendwann damit ab, da es so gut wie keine Verzögerung bei regelmässigem Emailverkehr gibt.


    Das ist auch meine Erfahrung, auch wenn Spammer da etwas anderes behaupten (vorallem im Zusammenhang mit sog. Bulletproof Datacenters).

    • Offizieller Beitrag
    Zitat


    RobertW schrieb:
    Es geht mir nicht darum, ob ihr denkt, dass es gut oder schlecht ist, sondern welche Erfahrungen aktuell damit gemacht werden.


    Eigentlich nur gute. Probleme gabs immer mal wieder zu zwei Themen.
    1. der User erwartet Realtime Mails ;)
    2. Sending Server, die einen Rollover durchführen bei Tempfail.


    Zitat


    Achso, und entgegen allen immer wieder mal geäußerten Bedenken hinsichtlich Greylisting, haben sich Spammer so gut wie nie die Mühe gemacht, zweimal anzuklopfen, und auch die User finden sich irgendwann damit ab, da es so gut wie keine Verzögerung bei regelmässigem Emailverkehr gibt.


    Zitat

    Das ist auch meine Erfahrung, auch wenn Spammer da etwas anderes behaupten (vorallem im Zusammenhang mit sog. Bulletproof Datacenters).


    Es gibt immer mal wieder Spamwellen, aber zumindest meine Praxis zeigt, dass Greylising immer noch ein legitimes Antispammittel darstellt.
    Falls du an konkreten Statistiken interessiert bist sag mir Bescheid. ;)


    Bye
    Norbert

    RobertW und NorbertFe:


    Die Frage ist aber auch: Wer sendet denn mit Exchange direkt raus?


    Als SMTP Out nehm ich immer ein Postfix mit Debian. Auch wenn man von Exchange direkt raussenden könnte. Feste IP & RDNS wäre kein Problem, da wir fast alles im Rechenzentrum betreiben.


    Aber wer nimmt schon direkt den Exchange um Mails zu verschicken?


    Gerade auch wenn man evtl. größere Umgebungen hat mit 30-40 Exchange Servern ist es doch weitaus sinnvoller, wenn man 1-3 Postfix Server hat die sich um´s senden kümmern und auch ggf. Inbound vor den Exchange Servern sind um vorab zu filtern damit die Exchange Server gar nicht per SMTP von aussen erreichbar sind.

    viele Grüsse


    StevensDE

    • Offizieller Beitrag
    Zitat


    StevensDE schrieb:
    RobertW und NorbertFe:


    Die Frage ist aber auch: Wer sendet denn mit Exchange direkt raus?


    Ich und ca. 99% meiner Kunden. ;)


    Zitat

    Als SMTP Out nehm ich immer ein Postfix mit Debian. Auch wenn man von Exchange direkt raussenden könnte. Feste IP & RDNS wäre kein Problem, da wir fast alles im Rechenzentrum betreiben.


    Und was bringt mir das?


    Zitat

    Aber wer nimmt schon direkt den Exchange um Mails zu verschicken?


    ich.



    Zitat

    Gerade auch wenn man evtl. größere Umgebungen hat mit 30-40 Exchange Servern ist es doch weitaus sinnvoller, wenn man 1-3 Postfix Server hat die sich um´s senden kümmern und auch ggf. Inbound vor den Exchange Servern sind um vorab zu filtern damit die Exchange Server gar nicht per SMTP von aussen erreichbar sind.


    Und was soll das bringen, bzw. was genau bezweckst du damit, dass du das so konfigurierst?


    Bye
    Norbert

    Hi Norbert,


    das beantworte ich gerne.


    Weil es einfach zu aufwendig ist die ganzen Hubtransportserver der Kunden so anzupassen, dass diese nach aussen senden können.


    Wie ich schon erwähnt habe wird die Mailzustellung immer mehr reklementiert und wenn schon RDNS nicht zum Mailservername passt lehnen einige Mailserver schon die Mails ab.


    Deswegen empfehle ich unseren Kunden einheitlich 1-2 sichere Mailrelays von uns zu benutzen und da gabs bisher keine Probleme.


    Je nach größe des Kunden, hat auch nicht jede Firma im Office eine oder mehrere Standleitungen mit festen IP´s und die Möglichkeit RNDS frei zu setzen.


    Daran scheitert es ja schon bei den meisten und dann muss man ohnehin einen Smarthost nutzen und das bieten wir unseren Kunden günstig an.


    Zudem hat man dann auch gleich ein Backup MX. Eine DSL / Telekom Internetleitung ist nie so ausfallsicher wie die Verbindung im Rechenzentrum. Kunden die bei uns einen Smarthost bekommen, bekommen auch automatisch einen Backup MX. Wenn dann mal deren Internetleitung ausfällt nehmen unsere Postfix Server die Mails an und stellen sie dem Kunde entsprechend dann wieder zu bis ihre Server wieder online sind oder die Internetleitung wieder geht.


    Meiner Erfahrung nach haben nur Großkonzerne im Office solche Internetanbindungen, dass es sich lohnt direkt mit Exchange rauszusenden.


    Und selbst da überlässt man das auch meistens ein paar Postfix Servern :)

    viele Grüsse


    StevensDE

    • Offizieller Beitrag
    Zitat


    StevensDE schrieb:
    Weil es einfach zu aufwendig ist die ganzen Hubtransportserver der Kunden so anzupassen, dass diese nach aussen senden können.


    Das ist genau wie deine beschriebene Variante eine Dienstleistung, die wir unseren Kunden anbieten.


    Zitat

    Wie ich schon erwähnt habe wird die Mailzustellung immer mehr reklementiert und wenn schon RDNS nicht zum Mailservername passt lehnen einige Mailserver schon die Mails ab.


    Deswegen gibt es Dienstleister, die das einfach korrekt konfigurieren. ;)


    Zitat

    Deswegen empfehle ich unseren Kunden einheitlich 1-2 sichere Mailrelays von uns zu benutzen und da gabs bisher keine Probleme.


    Logisch. :)


    Zitat

    Je nach größe des Kunden, hat auch nicht jede Firma im Office eine oder mehrere Standleitungen mit festen IP´s und die Möglichkeit RNDS frei zu setzen.


    Wird auch immer weniger ein Problem.



    Zitat

    Daran scheitert es ja schon bei den meisten und dann muss man ohnehin einen Smarthost nutzen und das bieten wir unseren Kunden günstig an.


    OK.


    Zitat

    Zudem hat man dann auch gleich ein Backup MX.


    Ich empfehle allen Kunden die Backup MXs abzuschalten, da dort die Spameinfallquote normalerweise unverhältnismässig hoch ist.


    Zitat

    Meiner Erfahrung nach haben nur Großkonzerne im Office solche Internetanbindungen, dass es sich lohnt direkt mit Exchange rauszusenden.


    Was sind denn bei dir Großkonzerne?


    Zitat

    Und selbst da überlässt man das auch meistens ein paar Postfix Servern :)


    Naja. ;)


    Bye
    Norbert