Tuesday, September 23, 2008

Greylisting

A pratica dos spams na internet chegou aos seus limites. Temos de um lado profissionais capacitados "vomitando" milhões de mensagens indesejadas; para os que não sabem, é muito complexo enviar uma grande quantidade de mensagens, exige muita experiência, técnica para burlar os filtros e RFCs; de outro, pessoas recebem estes emails e, definitivamente, compram produtos que lhe são oferecidos, desta forma, enviar spams é algo lucrativo.

Muitas são as maneiras de tentar impedir esta pratica, um delas é a Greylisting (http://en.wikipedia.org/wiki/Greylisting), a qual consiste em, basicamente, validar um email através das tentativas de envio, partindo do pressuposto: os "spammers" não tentam enviar uma mensagem mais de uma vez. Dá-se porque o lucro vem da quantidade de mensagens entregues, então este sujeito tenta entregar milhares de mensagens e não quer ficar perdendo preciosos milesegundos, não há (em uma porcentagem considerável dos casos) re-tentativa. Porem, servidores de e-mails convencionais, tentam entregar novamente em quatro horas.

Deste cenário vem as práticas de Greylisting, validar uma mensagem antes da sua entrada, e apartir dos dados colhidos (histórico), como re-tentativas, origem (ou até origens), destinatários e muitos outros, definir se este email, bem com a sua origem, é valida ou não e se poderá ser entregue das próximas vezes.

Devemos reconhecer, a idéia é muito boa e temos ótimas ferramentas para implementa-la, portando, é um recurso considerável. O errado está na forma como algumas empresas o fazem, nestas é aplicado Greylist pra todos, sem distinção. Agora, imagine-se do outro lado, você, um cliente ou um fornecedor, e seu email só será entregue com um delay de possivelmente quatro horas... Muito próximo do inaceitável.

Porem, você pode lembrar-me de que há a Whitelist!

Mas esta é para os endereços que você já conhece. E quanto aos endereços que você
nunca recebeu mensagens, são válidos e tem um propósito nobre?

Então Greylist é bom mas não deve ser usado?!

A resposta é sim, deve ser utilizado.

A utilização da Greylist não pode ser política padrão, senão, podemos julgar de forma errônea as novas mensagens, deve ser um filtro adicional para o nosso anti-spam, ou seja, é recomendável aplicar Greylist para os servidores de SMTP que nós não conhecemos, e, temos uma séria suspeita. Por exemplo:
  • Redes da Coréia, e alguns outros países asiáticos;
  • Redes no qual sabemos que são conhecidamente de "spammers", na sua maior parte, leia-se ADSL;
  • IPs que estão em blacklists públicas, e por motivos comerciais, não podemos simplesmente descartar;
  • IPs que já tiveram ocorrências esporádicas de spams, ou qualquer outro tipo de mensagem indesejada;
  • Entre muitas outras possibilidadades.
Atente que a Greylist é uma ferramenta muito útil e que deve estar correndo lado-a-lado às regras de negócios de sua empresa, ou seja, você deve ter em mente quais são os lugares de onde são esperadas novas mensagens e quais os lugares pouco confiáveis. Apartir destes pontos definir a sua estratégia.

5 comments:

Enxaqueca said...

Não sei se já fizeram, mas combinar grey listing com isso

http://www.maxmind.com/app/ip-location

deve gerar bons resultados. Greylisting como TODA ferramenta de filtro, deve ser usada com responsabilidade e conhecimento profundo de como funciona, quando funciona e quando não funciona.

Henrique said...

Amigo, delay de 4 horas é um absurdo! não precisa disso... 5 minutos já é o suficiente! e ninguém vai reclamar de esperar 5 minutinhos pelos e-mails. Sem contar que existe a criação de vínculos de confiança, isto é, quanto mais mensagens recebe de determinado domínio, menor é o delay.

Jeronimo Zucco said...

Use greylist seletivo:

http://jczucco.blogspot.com/2007/06/greylist-seletivo-consultando.html

Felippe said...

O Delay de 4 horas quem define é o servidor do remetente, pois como foi dito no post, o Graylisting consiste em uma ferramenta que espera o servidor do remetente re-enviar a mensagem para validá-la.

Se todos os servidores do mundo tentassem o re-envio após 5 minutos o Graylisting seria muito mais bem-vindo... por outro lado, se fosse este o padrão os spammers iriam arranjar uma forma de adequar seus sistemas.

Otávio Fernandes said...

Olá Henrique,

O delay, como nosso amigo disse no post abaixo, é e re-envio, em caso de falhas na entrega, este é o padrão que vem nos servidores de MTA. Caso ele fique com 5 minutos, vai ser um intervalo muito curto, e pode até ganhar pontuação para ser considerado spam, ou ainda, ter seu IP bloqueado. Acredito que 4 horas é um delay" saudável nestes casos.

um abraço,

Otávio Fernandes