Spam durch Grey- und Whitelisting mit Postgrey bekämpfen

Spammer fluten Mailserver in jeder Sekunde mit Unmengen unerwünschter Post. Ham, der erwünschte Anteil, macht dagegen nach konservativen Schätzungen nur noch fünf bis zehn Prozent des Mailaufkommens im Internet aus. Für die Spammer rechnet sich ihr Geschäft, das sie noch immer mit den Empfängern machen, die auf Links in den Mails klicken und damit gefälschte Arzneimittel und Ähnliches kaufen.

Silver Bullet

Wenn man sich schon jahrelang mit dem Problem beschäftigt hat, ist es womöglich schwer zu glauben, aber man kann sofort 95 Prozent allen Spams loswerden (Abbildung 1). Die Aussage stößt oft auf Unglauben. Doch der Autor dieses Beitrags geht noch weiter: Mit einer Wunderwaffe und einer Handvoll zusätzlicher Zeilen in der Mailserver-Konfiguration lässt sich der Anteil auf 97 oder mehr steigern.

Abbildung 1: So sinkt das Spamaufkommen, nachdem Greylisting aktiviert wurde.

Die angesprochene Wunderwaffe ist das Greylisting. Aber wie funktioniert es? Der empfangende SMTP-Server beantwortet einfach alle Mails von erstmals auftauchenden Absendern mit einem temporären SMTP-Fehlercode. Die Fehlermeldung könnte so etwas bedeuten wie: "Tut mit wirklich leid, aber im Moment ist kein Plattenplatz mehr frei, versuche es doch ein bisschen später noch einmal." Oder: "Ich habe gerade ein internes Konfigurationsproblem und kann die E-Mail deshalb nicht sofort zustellen. Versuch es doch in einem Augenblick wieder."

Beim Greylisting geht man nun davon aus, dass es Spammer darauf anlegen, so viele E-Mails wie möglich so schnell wie möglich zu versenden. Meistens benutzen sie kompromittierte Mailserver, deren Sicherheitslücken schon bald geschlossen werden könnten. Außerdem könnte die benutzte IP-Adresse auf einer Sperrliste landen. Deshalb sind Spammer gezwungen, so viele Mails in so kurzer Zeit wie möglich abzusetzen, auch um den Preis, bei Problemen keinen zweiten Versuch unternehmen zu können. Das kann ein kundiger Admin zu seinem Vorteil im Anti-Spam-Kampf ausnutzen.

Kluge Wahl

Es gibt eine ganze Reihe von Greylisting-Implementierungen und normalerweise sind sie einfach anzuwenden. Jon Atkins stellt zum Beispiel eine clevere Qmail-Version bereit [1]. Dieser Beitrag konzentriert sich aber auf Postgrey [2], dass sich nahtlos in Ubuntus Default-Mailserver Postfix integriert und voll kompatibel mit Debian ist.

Wie funktioniert es im Einzelnen? Sobald ein entfernter Delivery Agent eine neue Verbindung zum Mailserver aufbaut, schlägt die Greylisting-Software in einer Datenbank (das kann auch ein Verzeichnis mit Symlinks sein) nach, ob und wann sich dieser Agent schon einmal mit dem Mailserver verbunden hat. Außerdem überprüft sie, ob der Admin diese Adresse oder die zugehörige Domain in einer Whitelist führt.

Bestand in letzter Zeit keine Verbindung zu dem fraglichen Agent, landet dessen IP-Adresse zusammen mit einem Zeitstempel in der Datenbank. Erfolgt kein zweiter Verbindungsversuch in einem bestimmten Intervall (zum Beispiel fünf Minuten), gilt der Absender als Spammer und wird ausgesperrt. Die Idee dabei ist: Legitime Mailversender kommen wieder, anders als Spammer, die verzweifelt versuchen, riesige Mengen Mail um jeden Preis abzusetzen.

Tabelle 1 zeigt QMails Retry-Time-Intervalle in Bezug auf einen seriösen Absender. Man sieht, dass es wichtig ist, in Abhängigkeit vom benutzten Mailserver die Zeitintervalle anzupassen, in denen ein erneuter Verbindungsversuch erwartet wird. Sonst könnten sich lange Wartezeiten bei der Zustellung ergeben.