Beim Grey­lis­ting (zu Deutsch: „auf die graue Liste setzen“) handelt es sich um eine effektive Methode zur Un­ter­drü­ckung des Versands von Spam-E-Mails. Das Grey­lis­ting läuft auf dem Mail­ser­ver des E-Mail-Emp­fan­gen­den ab und erfordert keinerlei Kon­fi­gu­ra­ti­on durch die ab­sen­den­de oder emp­fan­gen­de Person.

Wo kommt Grey­lis­ting zum Einsatz?

Im Gegensatz zu Spam-Filtern zielt das Grey­lis­ting darauf ab, die Zu­stel­lung of­fen­sicht­li­chen Spams zu un­ter­bin­den. Da das Grey­lis­ting auf einem simplen Vorgang basiert, ist es in der Aus­füh­rung res­sour­cen­scho­nend und passt her­vor­ra­gend in moderne Si­cher­heits­ar­chi­tek­tu­ren wie Zero Trust oder Defense in Depth. Grey­lis­ting wird vor allem ein­ge­setzt, um den il­le­gi­ti­men Mas­sen­ver­sand von Spam-Mails zu bekämpfen. Bei „Un­so­li­ci­ted Bulk E-Mail“ (UBE) handelt es sich um nicht per­so­na­li­sier­te, mas­sen­haft versandte E-Mails. Oft kommen hierbei Archive ein­ge­kauf­ter oder ge­stoh­le­ner E-Mail-Adressen zum Einsatz.

Für ge­wöhn­lich erfolgt der Versand von ge­ka­per­ten Rechnern argloser Nut­ze­rin­nen und Nutzer aus. In fern­ge­steu­er­ten Botnets verbunden, werden diese Rechner dazu ein­ge­setzt, mas­sen­haft Spam zu versenden. In der Regel kommen bei diesen Spam-Wellen gespoofte E-Mail-Ab­sen­der­adres­sen zum Einsatz.

Nicht geeignet ist Grey­lis­ting für die Be­kämp­fung von „Un­so­li­ci­ted Com­mer­cial E-Mail“ (UCE). Dabei handelt es sich um einzeln versandte, oftmals per­so­na­li­sier­te E-Mails von tat­säch­li­chen Un­ter­neh­men oder Ge­schäfts­per­so­nen. Zur Be­kämp­fung dieser Art von Spam werden statt­des­sen in­halts­ba­sier­te Filter und Black­lis­ting ein­ge­setzt.

Sichere E-Mail Adresse für digitale Pri­vat­sphä­re
  • Pro­fes­sio­nel­ler Daten- und Si­cher­heits­schutz
  • E-Mail-Ver­schlüs­se­lung mit SSL/TLS
  • Top-Vi­ren­schutz dank Firewalls und Spam­fil­ter
  • Tägliche Backups, tägliche Ab­si­che­rung

Wie funk­tio­niert Grey­lis­ting?

Die Idee des Grey­lis­tings basiert darauf, po­ten­zi­el­le Spam-E-Mails im Prozess der Zu­stel­lung aus­zu­sor­tie­ren. Schauen wir uns an, wie das Verfahren des E-Mail-Versands genau funk­tio­niert.

E-Mail-Über­tra­gung einfach erklärt

Um eine E-Mail zu ver­schi­cken, kommt das Simple Mail Transfer Protocol (SMTP) zum Einsatz. Prin­zi­pi­ell folgt eine über das Internet versandte E-Mail dem folgenden Weg:

  1. Die ab­sen­den­de Person verfasst eine E-Mail mit ihrem Mail User Agent (MUA). Dabei kann es sich um ein lokal in­stal­lier­tes Mail­pro­gramm oder eine Webmail-Ober­flä­che handeln.
  2. Um die E-Mail zu versenden, baut der Mail User Agent eine SMTP-Ver­bin­dung zum Mail Transfer Agent (MTA) des Ab­sen­den­den auf. Dabei handelt es sich um eine Software auf dem SMTP-Server, die E-Mails ent­ge­gen­nimmt und wei­ter­lei­tet.
  3. Der Mail Transfer Agent der Ab­sen­de­rin bzw. des Absenders leitet die E-Mail an den Mail Transfer Agent der emp­fan­gen­den Person weiter. Nimmt dieser Agent die E-Mail an, wird sie im Postfach des Emp­fän­gers bzw. der Emp­fän­ge­rin be­reit­ge­stellt.
  4. Wenn die emp­fan­gen­de Person ihr lokales Postfach über IMAP oder POP3 syn­chro­ni­siert, wird die E-Mail als neue Nachricht angezeigt.

Ein­griffs­punkt des Grey­lis­tings

Das Grey­lis­ting erfolgt im dritten Schritt – wenn der Mail Transfer Agent der emp­fan­gen­den Person die E-Mail ent­ge­gen­nimmt. Drei Daten sind dem emp­fan­gen­den MTA vor Annahme der kom­plet­ten E-Mail bekannt:

  • Die IP-Adresse des sendenden Mail­ser­vers
  • Die E-Mail-Adresse des bzw. der Ab­sen­den­den, via SMTP-MAIL FROM-Kommando
  • Die E-Mail-Adresse(n) des/der Empfänger(s), via SMTP-RCPT TO-Kommando

Da diese Daten für den Mail Transfer Agent vor der ei­gent­li­chen Nachricht einsehbar sind, werden sie auch als „Um­schlag­da­ten“ be­zeich­net. Der Mail Transfer Agent vermerkt die Um­schlag­da­ten jeder ein­ge­hen­den E-Mail in einer Liste, der so­ge­nann­ten Greylist. Hier ein bei­spiel­haf­ter Eintrag in der Greylist:

IP-Adresse Ab­sen­den­de Person Emp­fan­gen­de Person
192.0.2.3 anne@example.com lars@example.net
Pro­fes­sio­nel­les E-Mail-Hosting ganz nach Ihrem Bedarf
  • Per­so­na­li­sier­te E-Mail-Adresse
  • Zugriff auf E-Mails immer und überall
  • Höchste Si­cher­heits­stan­dards

Erster und zweiter Zu­stell­ver­such

Tritt eine Kom­bi­na­ti­on von Um­schlag­da­ten zum ersten Mal auf, weist der Mail Transfer Agent die E-Mail zunächst ab. Dabei wird ein Feh­ler­code zu­rück­ge­lie­fert, der anzeigt, es sei ein tech­ni­sches Problem auf­ge­tre­ten. Der ab­sen­den­de Mail Transfer Agent wird auf­ge­for­dert, die Zu­stel­lung der E-Mail nach einer gewissen Wartezeit erneut zu versuchen.

Ein legitimer und stan­dard­kon­for­mer Mail Transfer Agent wird dieser Bitte nach­kom­men und die Wei­ter­lei­tung der E-Mail später noch einmal versuchen. Bei einem erneuten Zu­stell­ver­such sind die Um­schlag­da­ten bereits in der Greylist enthalten; die E-Mail wird zu­ge­stellt.

Dem­ge­gen­über meldet sich ein illegitim sendender Mail Transfer Agent in der Regel nicht noch einmal. Und genau an diesem Punkt greift die Spam­schutz-Funktion des Grey­lis­tings: Da der zweite Zu­stell­ver­such nicht erfolgt, wird die Spam-E-Mail nie zu­ge­stellt. Die dadurch be­schütz­te emp­fan­gen­de Person bekommt davon nichts mit. Eine sehr elegante Variante, sich von lästigem Spam zu befreien.

Grey­lis­ting: Ablauf im Detail

Bild: Greylisting Funktionsweise
Grey­lis­ting funk­tio­niert durch mehrere Kom­mu­ni­ka­ti­ons­schrit­te zwischen sendender und emp­fan­gen­der Person.

(a) Der Mail User Agent (MUA) übergibt eine E-Mail an den Mail­ser­ver der ab­sen­den­den Person (P).

(b) Der Mail­ser­ver der ab­sen­den­den Person (P) reicht die E-Mail an den Mail­ser­ver des bzw. der Emp­fan­gen­den (Q) weiter. Dieser überprüft die Um­schlag­da­ten der E-Mail: IP-Adresse des sendenden Servers sowie die be­tei­lig­ten E-Mail-Adressen. Ist die Kom­bi­na­ti­on dieser drei Daten dem Mail­ser­ver des Emp­fän­gers bzw. der Emp­fän­ge­rin (Q) noch nicht un­ter­ge­kom­men, lehnt der Server den Empfang der E-Mail mit Hinweis auf einen tech­ni­schen Fehler zunächst ab. Der Mail­ser­ver des bzw. der Emp­fan­gen­den (Q) vermerkt die Um­schlag­da­ten in einer Tabelle; die E-Mail wird „grey­lis­ted“.

(c) Handelt es sich um eine legitim versandte E-Mail, versucht der Mail­ser­ver der ab­sen­den­den Person (P) nach einer Wartezeit erneut, die E-Mail zu versenden. Da die Um­schlag­da­ten dem Mail­ser­ver des Emp­fän­gers bzw. der Emp­fän­ge­rin (Q) nun bereits bekannt sind, stellt dieser die E-Mail zu. Optional werden die Um­schlag­da­ten in die Whitelist des Mail­ser­vers auf­ge­nom­men. In diesem Fall werden künftig ein­ge­hen­de E-Mails mit denselben Um­schlag­da­ten ohne Ver­zö­ge­rung zu­ge­stellt.

(d) Handelt es sich um eine illegitim versandte E-Mail, kommt es nor­ma­ler­wei­se nicht zu einem weiteren Zu­stell­ver­such. In diesem Fall erfüllt das Grey­lis­ting seinen Zweck als Mittel zur Spam­be­kämp­fung; die il­le­gi­ti­me E-Mail wird nie zu­ge­stellt.

Grey­lis­ting als Teil eines um­fas­sen­den Spam­schut­zes

Grey­lis­ting wird für ge­wöhn­lich in Kom­bi­na­ti­on mit anderen Spam-Be­kämp­fungs­tech­no­lo­gien ein­ge­setzt. Per Sender Policy Framework (SPF), Do­main­Keys Iden­ti­fied Mail (DKIM) und Domain-based Message Au­then­ti­ca­ti­on Reporting and Con­for­mance (DMARC) wird der E-Mail-Verkehr gegenüber ge­läu­fi­gen Formen des Miss­brauchs ab­ge­si­chert.

Kom­bi­na­ti­on von Grey­lis­ting und anderen Methoden

Besonders gut funk­tio­niert Grey­lis­ting im Verbund mit den ver­wand­ten Techniken White­lis­ting und Black­lis­ting. Schauen wir uns bei­spiel­haft den zeit­li­chen Verlauf der Zu­stell­ver­su­che auf dem emp­fan­gen­den Mail­ser­ver an:

Bild: Greylisting-Beispiel mit Whitelist und Blacklist
Beispiel mit Greylist, Blacklist und Whitelist.

e1) Eine E-Mail von einem noch nicht auf der Greylist ver­merk­ten Ab­sen­den­den („Listed? Nein.“) geht ein. Der Mail Transfer Agent lehnt den Empfang der E-Mail mit Hinweis auf einen tech­ni­schen Fehler ab. Die Um­schlag­da­ten werden in die Greylist ein­ge­tra­gen.

e2) Zu einem späteren Zeitpunkt geht eine weitere E-Mail derselben Person zur selben Emp­fangs­per­son ein. Da die Um­schlag­da­ten nun bereits in der Greylist enthalten sind, wird die E-Mail zu­ge­stellt. Ferner werden die Um­schlag­da­ten in die Whitelist ein­ge­tra­gen.

e3) Seit der letzten Kor­re­spon­denz zwischen Anne und Lars hat sich die IP-Adresse von Annes SMTP-Server geändert: Vorher noch 192.0.2.3, lautet sie jetzt 192.0.2.34. Anne wird damit als un­be­kann­te Ab­sen­de­rin behandelt und landet zunächst auf der Greylist.

e4) Später schreibt Anne wiederum an Lars. Dieses Mal kommt der SMTP-Server unter der ur­sprüng­li­chen IP-Adresse 192.0.2.3 zum Einsatz. Da sich diese Um­schlag­da­ten bereits auf der Whitelist befinden, wird Annes E-Mail sofort zu­ge­stellt.

e5) Es erfolgt ein Zu­stell­ver­such vom Server 192.0.2.66. Da dieser als bekannter, bös­ar­ti­ger Server auf der Blacklist vermerkt ist, wird die Zu­stel­lung der E-Mail ver­wei­gert. Allem Anschein nach wurde die Ab­sen­der­adres­se anne@example.com gespooft.

Welche Vorteile und Nachteile hat Grey­lis­ting?

Vorteil Nachteil
Keine Kon­fi­gu­ra­ti­on durch den User er­for­der­lich Usern ist ggf. nicht bewusst, dass Grey­lis­ting aktiv ist
Führt im Nor­mal­fall nicht zum Verlust von E-Mails In Aus­nah­me­fäl­len können legitime E-Mails verloren gehen
Zeit­ver­zug bei der Annahme kann helfen, bösartige Sender auf Blacklist zu setzen Zeit­ver­zug kann dazu führen, dass Nutzende die Funk­ti­ons­tüch­tig­keit des Mail­ser­vers in Frage stellen: „Manchmal kommen Mails nicht an.“
Zeit­ver­zug kann vor neuer, noch nicht iden­ti­fi­zier­ter Malware schützen Kann bei zeitlich be­grenz­ten Mail-Inhalten wie Passwort-Reset-Links etc. zu langsam sein
Im Gegensatz zu den meisten Spam-Filtern res­sour­cen­scho­nend im Einsatz
Sehr effektive Technik, daher große Ent­las­tung der Mail­ser­ver weltweit

Welche Probleme birgt Grey­lis­ting?

Wenn­gleich die Vorteile des Grey­lis­tings attraktiv sind, birgt die Technik auch einige Probleme:

  • Die IP-Adresse des ab­sen­den­den SMTP-Servers muss gleich bleiben. Ändert sich die IP-Adresse des SMTP-Servers der ab­sen­den­den Person, wird der E-Mail-Eingang auf dem SMTP-Server des Emp­fän­gers bzw. der Emp­fän­ge­rin als unbekannt bewertet; die E-Mail wird „grey­lis­ted“.
  • Unter Umständen schlägt die Zu­stel­lung bei feh­ler­haf­ter Im­ple­men­tie­rung oder Kon­fi­gu­ra­ti­on des sendenden Mail­ser­vers fehl. Folgt der Mail Transfer Agent des Absenders bzw. der Ab­sen­de­rin der Auf­for­de­rung zur erneuten Aus­lie­fe­rung der E-Mail nicht, erfolgt keine Zu­stel­lung.
  • Der Schutz kann durch Spammer unter Aufwand von Res­sour­cen über­wun­den werden. Theo­re­tisch könnten Spammer ihre E-Mails mehrfach versenden, um das Grey­lis­ting zu über­win­den. Damit ist jedoch derzeit so viel lo­gis­ti­scher Aufwand verbunden, dass sich die Mühe nicht lohnt.
  • Der Zeit­ver­zug kann dazu führen, dass zeitlich begrenzte Mail-Inhalte ungültig werden. Dieses Problem tritt häufig bei der Wie­der­her­stel­lung eines Passworts auf: Die Passwort-Reset-E-Mail kommt von einer bis dato un­be­kann­ten Person und bleibt damit im Grey­lis­ting des Emp­fän­gers bzw. der Emp­fän­ge­rin hängen. Bis der Absender bzw. die Ab­sen­de­rin die E-Mail erneut zustellt, vergeht so viel Zeit, dass der Passwort-Reset-Link oder Login-Code bereits ab­ge­lau­fen ist.
  • Bei modernen Cloud­lö­sun­gen ist Grey­lis­ting oft stan­dard­mä­ßig in­te­griert, ohne dass Ad­mi­nis­tra­to­ren oder Nutzende direkt darauf zugreifen können. Daher kann es vorkommen, dass auch hier ge­le­gent­lich E-Mails verzögert ankommen, ohne dass sich der Grund sofort erkennen lässt.
Sichere E-Mail Adresse für digitale Pri­vat­sphä­re
  • Pro­fes­sio­nel­ler Daten- und Si­cher­heits­schutz
  • E-Mail-Ver­schlüs­se­lung mit SSL/TLS
  • Top-Vi­ren­schutz dank Firewalls und Spam­fil­ter
  • Tägliche Backups, tägliche Ab­si­che­rung
Zum Hauptmenü