Was ist eine Greylist?

, ,
spam 964521 640

Bei einer sogenannten Greylist (brit.), Graylist (USA) oder auch „Greylisting“ handelt es sich um eine äußerst effektive Methode, um den Versand von Spam-E-Mails zu unterdrücken. Im Gegensatz zu einer oder einer Blacklist wird eine Graylist auf dem Mailserver des E-Mail-Empfängers implementiert und erfordert keine Konfiguration seitens des Absenders oder Empfängers. Bei dem Einsatz einer Graylist sollten theoretisch keine legitimen E-Mails verloren gehen. Aus diesem Grund handelt es sich hierbei um eine der am weitesten verbreiteten Methoden zur globalen Bekämpfung von Spam-Email.

Wo kommt eine Graylist zum Einsatz?

Bei einer Firewall oder einem Spam-Filter handelt es sich um ein komplexes Software-System, das mithilfe von Heuristiken und künstlicher Intelligenz versucht, Spam-E-Mails zu identifizieren. Im Gegensatz zu diesen aufwendigen und komplizierten Methoden, wird durch den Einsatz einer Greylist in erster Linie versucht, die Zustellung offensichtlicher Spam-E-Mails zu unterbinden. Da das Graylist-Verfahren auf einer relativ einfachen technologischen Basis aufgebaut ist, ist es in der Ausführung unkompliziert und äußerst ressourcenschonend.

Das Graylist-Verfahren kommt insbesondere bei der Bekämpfung des illegalen Massenversands von Spam zum Einsatz. Im Rahmen des nichtpersonalisierten und massenhaften Versenden von E-Mails kommen in vielen Fällen gestohlene E-Mail-Adressen zum Einsatz. In der Regel erfolgt der Versand von gehackten Computern ahnungsloser Nutzer. Diese gekaperten Rechner werden in ferngesteuerte Bot-Netze eingebunden und werden dazu missbraucht, um massenhaft Spam-Mail zu verschicken.

email 4539382 640

Obwohl beim massenhaften Spam-Versand die Graylist-Methode oft sehr gute Ergebnisse liefert, ist diese Methode weniger gut für die Bekämpfung von „Unsolicited Commercial E-Mail“ (UCE) geeignet. Hierbei handelt es sich um unerwünschte E-Mails, die einzeln von Unternehmen oder Personen versendet werden. Bei der effektiven Bekämpfung dieser Art von Spam-E-Mails kommen andere Methoden, wie beispielsweise inhaltsbasierte Filter, Firewalls oder sogenannte „Blacklists“, zum Einsatz.

Wie funktioniert eine Greylist?

Greylisting basiert auf der Idee, potenzielle Spam-E-Mails zu identifizieren und auszusortieren, noch bevor sie zugestellt werden. Um Greylisting besser zu verstehen, schauen wir uns im Folgenden an, wie das Verfahren genau funktioniert.

Beim Versenden von E-Mails im World Wide Web kommt das Simple Mail Transfer Protocol (SMTP) zum Einsatz. Das Verfahren läuft nach folgendem Schema ab:

  1. Der Absender verfasst eine E-Mail in einem sogenannten „Mail User Agent“. Dabei kann es sich um ein lokales Programm wie Microsoft Outlook oder um eine Webanwendung wie Gmail handeln.
  2. Der Mail User Agent stellt eine SMTP-Verbindung zum Mail Transfer Agent (MTA) des Absenders her.
  3. Die E-Mail wird von dem Mail Transfer Agent des Absenders zum Mail Transfer Agent des Empfängers weitergeleitet. Falls dieser MTA die E-Mail annimmt, wird sie in das Postfach des Empfängers verlagert.
Mehr zum Thema:
Was ist eine API?

Graylisting kommt im dritten Schritt zum Einsatz. Folgende Informationen sind dem empfangenden Mail Transfer Agent vor der Annahme der E-Mail bekannt, und zwar:

– E-Mail-Adresse des Absenders

IP-Adresse des Mailservers

– E-Mail-Adresse des Empfängers

road sign 464655 640

Diese Daten sind auch unter dem Namen „Umschlagdaten“ bekannt. Der zuständige Mail Transfer Agent zeichnet die Umschlagdaten jeder eingehenden E-Mail in einer Datei auf, der sogenannten Graylist.

 

Falls eine Kombination von Umschlagsdaten zum ersten Mal auftaucht, dann wird bei Greylistings das Zustellverfahren automatisch mit der Fehlermeldung unterbrochen, dass ein Fehler aufgetreten sei und dass die Zustellung noch einmal initialisiert werden soll. Ein legitimer Mail Transfer Agent wird später einen erneuten Zustellversuch unternehmen, so dass die E-Mail nach einem Zeitintervall akzeptiert wird. Demgegenüber meldet sich ein Mail Transfer Agent, der Spam-Mail verbreitet, nicht ein zweites Mal. Und genau an dieser Stelle kommt die Schutzfunktion einer Greylist zum Einsatz. Da ein zweiter Zustellversuch nicht initialisiert wird, kann die Spam-Mail nicht zugestellt werden.

Welche Risiken gibt es?

Obwohl die Vorteile des Greylist-Verfahrens vielfältig sind, birgt diese Technik zur Spam-Bekämpfung auch einige Risiken:

– Die IP-Adresse des absenden SMTP-Servers darf sich nicht ändern. Falls sich die IP-Adresse des SMTP-Servers während des Zustellvorgangs ändert, werden die zuzustellenden E-Mails fälschlicherweise als Spam gekennzeichnet und automatisch in die Graylist eingetragen.

– Bei falscher Konfiguration oder fehlerhafter Implementation des sendenden SMTP-Servers kann die Zustellung unter Umständen fehlschlagen. Falls der Mail Transfer Agent des Absenders die Aufforderung zur erneuten Zustellung der E-Mail nicht erfüllt, wird die Zustellung der E-Mail automatisch geblockt.

– Spammer können den Greylist-Schutz durch den Einsatz zusätzlicher Ressourcen überwinden. So können Spammer beispielsweise ihre Spam-E-Mails mehrfach verschicken, um das Greylisting auszutricksen. Damit ist jedoch ein viel größerer Aufwand verbunden, sodass sich die Mühe in den meisten Fällen nicht lohnt.

– Der Zeitverzug, der durch die erneute Auslieferung der E-Mail entsteht, kann zu diversen Problemen führen. So können beispielsweise zeitlich begrenzte Inhalte ungültig werden. Zu diesem Problem kommt es oft bei der Zwei-Faktor-Authentifizierung oder der Wiederherstellung eines Passwortes. Da die Bestätigungs-E-Mail von einem unbekannten Absender kommt, wird sie zunächst in die Greylist eingetragen. Bis der Absender die E-Mail erneut versendet, vergeht ein gewisser Zeitraum, sodass der Login-Code oder der Password-Wiederherstellungs-Link eventuell abgelaufen ist.

Mehr zum Thema:
Sicherheit erklärt: Was ist ein Kennwort? - Ein Leitfaden