Beim Greylisting (zu Deutsch: „auf die graue Liste setzen“) handelt es sich um eine effektive Methode zur Unterdrückung des Versands von Spam-E-Mails. Das Greylisting läuft auf dem Mailserver des E-Mail-Empfängers ab und erfordert keinerlei Konfiguration durch den Absender oder Empfänger.
Beim Greylisting gehen theoretisch keine legitimen E-Mails verloren. Daher handelt es sich um eine der am weitesten verbreiteten Techniken zur globalen Spam-Bekämpfung.
Nutzen Sie eine private E-Mail- oder Firmen-Adresse mit eigener Domain.
Sofern Sie einen eigenen E-Mail-Server betreiben, sollten Sie in Erwägung ziehen, Greylisting als grundlegenden Schutz vor Spam zu nutzen.
Bei Spam-Filtern handelt es sich um komplexe Software, die mit Heuristiken versucht, Spam-E-Mails zu erkennen. Im Gegensatz zu diesen aufwendigen Verfahren zielt das Greylisting darauf ab, die Zustellung offensichtlichen Spams zu unterbinden. Da das Greylisting auf einem simplen Vorgang basiert, ist es in der Ausführung ressourcenschonend.
Insbesondere wird Greylisting eingesetzt, um den illegitimen Massenversand von Spam zu bekämpfen. Bei „Unsolicited Bulk E-Mail“ (UBE) handelt es sich um nichtpersonalisierte, massenhaft versandte E-Mails. Oft kommen hierbei Archive eingekaufter oder gestohlener E-Mail-Adressen zum Einsatz.
Für gewöhnlich erfolgt der Versand von gekaperten Rechnern argloser Nutzer aus. In ferngesteuerten Bot-Netzen verbunden, werden diese Rechner dazu eingesetzt, massenhaft Spam zu versenden. In der Regel kommen bei diesen Spam-Wellen gespoofte E-Mail-Absenderadressen zum Einsatz.
Nicht geeignet ist Greylisting für die Bekämpfung von „Unsolicited Commercial E-Mail“ (UCE). Dabei handelt es sich um einzeln versandte, oftmals personalisierte E-Mails von tatsächlichen Unternehmen oder Geschäftspersonen. Zur Bekämpfung dieser Art von Spam werden stattdessen inhaltsbasierte Filter und Blacklisting eingesetzt.
Was ist eine Domain Name System-based Blackhole List? Mehr zu diesem Thema finden Sie in unserem Artikel.
Die Idee des Greylistings basiert darauf, potenzielle Spam-E-Mails im Prozess der Zustellung auszusortieren. Schauen wir uns an, wie das Verfahren genau funktioniert.
Um eine E-Mail von einem Absender an einen Empfänger zu senden, kommt das Simple Mail Transfer Protocol (SMTP) zum Einsatz. Prinzipiell folgt eine über das Internet versandte E-Mail dem folgenden Weg:
Das Greylisting erfolgt im dritten Schritt – wenn der Mail Transfer Agent des Empfängers die E-Mail entgegennimmt. Drei Daten sind dem empfangenden MTA vor Annahme der kompletten E-Mail bekannt:
Da diese Daten für den Mail Transfer Agent vor der eigentlichen Nachricht einsehbar sind, werden sie auch als „Umschlagdaten“ bezeichnet. Der Mail Transfer Agent vermerkt die Umschlagdaten jeder eingehenden E-Mail in einer Liste, der sogenannten Greylist. Hier ein beispielhafter Eintrag in der Greylist:
| IP-Adresse | Absender | Empfänger |
|---|---|---|
| 192.0.2.3 | anne@example.com | lars@example.net |
Tritt eine Kombination von Umschlagdaten zum ersten Mal auf, weist der Mail Transfer Agent die E-Mail zunächst ab. Dabei wird ein Fehlercode zurückgeliefert, der anzeigt, es sei ein technisches Problem aufgetreten. Der absendende Mail Transfer Agent wird aufgefordert, die Zustellung der E-Mail nach einer gewissen Wartezeit erneut zu versuchen.
Ein legitimer und standardkonformer Mail Transfer Agent wird dieser Bitte nachkommen und die Weiterleitung der E-Mail später noch einmal versuchen. Bei einem erneuten Zustellversuch sind die Umschlagdaten bereits in der Greylist enthalten; die E-Mail wird zugestellt.
Demgegenüber meldet sich ein illegitim sendender Mail Transfer Agent in der Regel nicht noch einmal. Und genau an diesem Punkt greift die Spamschutz-Funktion des Greylistings: Da der zweite Zustellversuch nicht erfolgt, wird die Spam-E-Mail nie zugestellt. Der dadurch beschützte Empfänger bekommt davon nichts mit. Eine sehr elegante Variante, sich von lästigem Spam zu befreien.
Einen deutlichen Nachteil hat das Greylisting jedoch: Durch die Wartezeit auf die zweite Zustellung kommen manche E-Mails erst mit einer gewissen, spürbaren Verzögerung beim Empfänger an. Unter Umständen kann es sich um Stunden handeln.
Vielleicht kennen Sie das Problem, wenn Sie die Passwort-Reset-Funktion bei einem Onlinedienst nutzen. DiePasswort-Reset-E-Mail kommt nicht bei Ihnen an. Sie versuchen es einige Male, ohne Erfolg. Stunden später kommen fast gleichzeitig mehrere solcher E-Mails an. Jedoch sind die darin enthaltenen Passwort-Reset-Links bereits abgelaufen. Ursache für dieses lästige Verhalten ist das Greylisting Ihrer E-Mail-Adresse.
Schaubild: So funktioniert Greylisting
(a) Der Mail User Agent (MUA) übergibt eine E-Mail an den Mailserver des Absenders (P).
(b) Der Mailserver des Absenders (P) reicht die E-Mail an den Mailserver des Empfängers (Q) weiter. Dieser überprüft die Umschlagdaten der E-Mail: IP-Adresse des sendenden Servers sowie E-Mail-Adressen des Absenders und Empfängers. Ist die Kombination dieser drei Daten dem Mailserver des Empfängers (Q) noch nicht untergekommen, lehnt der Server den Empfang der E-Mail mit Hinweis auf einen technischen Fehler zunächst ab. Der Mailserver des Empfängers (Q) vermerkt die Umschlagdaten in einer Tabelle; die E-Mail wird „greylisted“.
(c) Handelt es sich um eine legitim versandte E-Mail, versucht der Mailserver des Absenders (P) nach einer Wartezeit erneut, die E-Mail zu versenden. Da die Umschlagdaten dem Mailserver des Empfängers (Q) nun bereits bekannt sind, stellt dieser die E-Mail zu. Optional werden die Umschlagdaten in die Whitelist des Mailservers aufgenommen. In diesem Fall werden künftig eingehende E-Mail mit denselben Umschlagdaten ohne Verzögerung zugestellt.
(d) Handelt es sich um eine illegitim versandte E-Mail, kommt es normalerweise nicht zu einem weiteren Zustellversuch. In diesem Fall erfüllt das Greylisting seinen Zweck als Mittel zur Spambekämpfung; die illegitime E-Mail wird nie zugestellt.
Greylisting wird für gewöhnlich in Kombination mit anderen Spam-Bekämpfungstechnologien eingesetzt. Per Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication Reporting and Conformance (DMARC) wird der E-Mail-Verkehr gegenüber geläufigen Formen des Missbrauchs abgesichert.
Besonders gut funktioniert Greylisting im Verbund mit den verwandten Techniken Whitelisting und Blacklisting. Schauen wir uns beispielhaft den zeitlichen Verlauf der Zustellversuche auf dem empfangenden Mailserver an:
e1) Eine E-Mail von einem noch nicht auf der Greylist vermerkten Absender („Listed? Nein.“) geht ein. Der Mail Transfer Agent lehnt den Empfang der E-Mail mit Hinweis auf einen technischen Fehler ab. Die Umschlagdaten werden in die Greylist eingetragen.
e2) Zu einem späteren Zeitpunkt geht eine weitere E-Mail vom selben Absender zum selben Empfänger ein. Da die Umschlagdaten nun bereits in der Greylist enthalten sind, wird die E-Mail zugestellt. Ferner werden die Umschlagdaten in die Whitelist eingetragen.
e3) Seit der letzten Korrespondenz zwischen Anne und Lars hat sich die IP-Adresse von Annes SMTP-Server geändert: Vorher noch 192.0.2.3, lautet sie jetzt 192.0.2.34. Anne wird damit als unbekannter Absender behandelt und landet zunächst auf der Greylist.
e4) Später schreibt Anne wiederum an Lars. Dieses Mal kommt der SMTP-Server unter der ursprünglichen IP-Adresse 192.0.2.3 zum Einsatz. Da sich diese Umschlagdaten bereits auf der Whitelist befinden, wird Annes E-Mail sofort zugestellt.
e5) Es erfolgt ein Zustellversuch vom Server 192.0.2.66. Da dieser als bekannter, bösartiger Server auf der Blacklist vermerkt ist, wird die Zustellung der E-Mail verweigert. Allem Anschein nach wurde die Absenderadresse anne@example.com gespooft.
Eigene E-Mail-Adresse erstellen
Erstellen Sie Ihre eigene E-Mail Adresse inklusive persönlichem Berater!
AdressbuchKalenderVirenschutz| Vorteil | Nachteil |
|---|---|
| Keine Konfiguration durch den Nutzer erforderlich | Dem Nutzer ist ggf. nicht bewusst, dass Greylisting aktiv ist |
| Führt im Normalfall nicht zum Verlust von E-Mails | In Ausnahmefällen können legitime E-Mails verloren gehen |
| Zeitverzug bei der Annahme kann helfen, bösartige Sender auf Blacklist zu setzen | Zeitverzug kann dazu führen, dass Nutzer die Funktionstüchtigkeit des Mailservers in Frage stellen: „Manchmal kommen Mails nicht an.“ |
| Zeitverzug kann vor neuer, noch nicht identifizierter Malware schützen | Kann bei zeitlich begrenzten Mail-Inhalten wie Passwort-Reset-Links etc. zu langsam sein |
| Im Gegensatz zu den meisten Spam-Filtern ressourcenschonend im Einsatz | |
| Sehr effektive Technik, daher große Entlastung der Mailserver weltweit |
Wenngleich die Vorteile des Greylisting attraktiv sind, birgt die Technik auch einige Probleme:
Dubiose Nachrichten, mit denen Trickbetrüger an sensible Daten gelangen möchten, sind für viele Internetnutzer ein alltägliches Ärgernis. Doch sogenanntes Phishing ist nicht nur lästig, betrügerische Mails richten auch jedes Jahr einen Schaden in Millionenhöhe an. Wir verraten, wie Sie Phishing-Mails zuverlässig erkennen und im Mail-Postfach unschädlich machen.
Das Captcha war über Jahre hinweg ein notwendiges Übel, um interaktive Web-Anwendungen wie Online-Formulare gegen Spam abzusichern. Der vollautomatische öffentliche Turing-Test zur Unterscheidung von Computern und Menschen entlarvt automatische Abfragen durch Spam-Roboter und minimiert so den Administrationsaufwand interaktiver Websites. Wir stellen Ihnen die geläufigsten Captcha-Typen vor, gehen...
Internetnutzer sind ständig Ziel von Cyberattacken. Die meisten Angriffe lassen sich leicht abwehren, doch eine neue Variante hat sich als besonders gefährlich erwiesen: Bei Spear-Phishing ist keine Spur von unsinnigen Inhalten oder schlechter Orthografie. Die betrügerischen Nachrichten sind genau auf das Opfer zugeschnitten und wirken erschreckend echt. Wie funktioniert das?
