AIKEN

Je to téměř na den přesně 5 let, co jsem napsal svůj blogpost Chvála greylistingu. Uplynula tedy dostatečně dlouhá doba na bilancování zkušeností s tím, jak je greylisting účinný a jaké komplikace případně přináší.

Zaprvé, navzdory předpovědím neklesla jeho účinnost. Naopak spíše ještě o něco vzrostla, co se týká zahraničního spamu. Ten český (který bohužel v posledních měsících nabral na síle) to typicky nezastaví, protože je posílán přes legitimní poštovní servery. Světový spam proudí v drtivé míře přes botnety složené z napadených počítačů, kdy spammer přes takový počítač prožene masivní dávku spamu a pak ho opustí. To na jednu stranu komplikuje ochranu pomocí blacklistů, ale současně zvyšuje účinnost greylistingu.

Je samozřejmě třeba podotknout, že se greylisting nestal nijak masově používaným, proto spammeři zřejmě neměli a nemají tendenci se jím zabývat. To ale zase přináší konkurenční výhodu těm, kdo greylisting nabízejí (včetně hostingu AIKEN) a umožňují tak kvalitnější ochranu před spamem.

Co se týká negativ greylistingu, tak mohu konstatovat dvě věci: jednak většinou nepřinášejí potíže, a také se s nimi lze docela úspěšně vyrovnat. Co se týká toho prvního, lze problémy rozdělit na zpoždění zpráv (po počátečním dočasném odepření) a na hrozbu nedoručení (při špatné konfiguraci odchozího serveru, případně u některých poolů).

Zpoždění má medián okolo 10 minut, přičemž ochranná lhůta je nastavena na 2 minuty. Jen výjimečně přijde zpráva později než za hodinu. Za celých 5 let jsem se nesetkal s tím, že by nějaká zpráva nebyla doručena vůbec.

A nyní k tomu „vyrovnání se s problémy“. Jednak je samozřejmě možné greylisting vypnout (pro doménu nebo cílovou adresu), ale to je spíš takové „z deště pod okap“, protože sice se odstraní problémy greylistingu, ale zase stoupne objem spamu. Za celá léta jsem se nesetkal s tím, že by měl někdo o vypnutí zájem.

Druhým řešením je databáze legitimních serverů. Taková databáze je výborná věc, protože umožňuje, aby se drtivá většina legitimního provozu zcela vyhnula greylistingu, a to i pro dosud neznámé odesílatele a příjemce. Základní sadu obsahuje již instalační balíček programu Postgrey, nicméně hlavní databázi (ve které již nyní jsou všechny servery a pooly, přes které běžně přicházejí legitimní zprávy) je na hostingu AIKEN implementována na úrovni Postfixu, takže ani nedojde k tomu, že by do hry zasahoval Postgrey. Takové řešení přináší vyšší výkon.

Mohu tedy konstatovat, že greylisting zůstává i nadále vysoce účinnou metodou boje proti spamu a při troše úsilí se ani nijak negativně nedotýká drtivé většiny legitimního poštovního provozu. Jedinou nepříjemností je, že nezasahuje proti českému spamu, který se velmi rozmáhá. Tam je ale zase možnost hlášení na ÚOOÚ, protože rozesílání nevyžádaných obchodních sdělení je zákonem zakázáno pod pokutou až do 10 milionů Kč.

(Článek byl původně napsán pro blog Kacířské myšlenky na serveru ABC Linuxu. Zde je publikován s drobnými úpravami.)