Greylisting
Was ist Greylisting?
GreylistingAnti-Spam-Technik, die unbekannten Absender-Tripeln zunächst eine vorübergehende SMTP-Ablehnung zurückgibt und Nachrichten erst bei einer ordnungsgemäßen späteren Wiederzustellung annimmt.
Greylisting wurde 2003 von Evan Harris popularisiert und in RFC 6647 im Rahmen der SMTP-Anti-Spam-Mechanismen erwähnt. Es nutzt aus, dass regelkonforme MTAs nach einer 4xx-Antwort warten und erneut zustellen, viele Spam-Sender hingegen nicht. Der Empfänger merkt sich ein Tripel (Absender-IP, MAIL FROM, RCPT TO), antwortet beim ersten Sehen mit 451 4.7.1 und nimmt die Nachricht erst beim Retry nach einer konfigurierbaren Verzögerung an. Ist das Tripel etabliert, passieren weitere Nachrichten ohne Verzögerung. Moderne Implementierungen begrenzen den Scope durch Reputationsdaten, befreien bekannte Absender, integrieren DNSBLs und berücksichtigen Trade-offs, weil legitime Cloud-Plattformen kurzlebige IPs nutzen und Retry-Alignment erschweren.
● Beispiele
- 01
Ein Postfix-Policy-Server antwortet beim Erstkontakt mit 451 und nimmt die Nachricht nach fünf Minuten beim Retry an.
- 02
Ein MTA setzt die ausgehenden IP-Ranges von Google Workspace und Microsoft 365 auf eine Allowlist, damit kritische Mails nicht verzögert werden.
● Häufige Fragen
Was ist Greylisting?
Anti-Spam-Technik, die unbekannten Absender-Tripeln zunächst eine vorübergehende SMTP-Ablehnung zurückgibt und Nachrichten erst bei einer ordnungsgemäßen späteren Wiederzustellung annimmt. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Greylisting?
Anti-Spam-Technik, die unbekannten Absender-Tripeln zunächst eine vorübergehende SMTP-Ablehnung zurückgibt und Nachrichten erst bei einer ordnungsgemäßen späteren Wiederzustellung annimmt.
Wie funktioniert Greylisting?
Greylisting wurde 2003 von Evan Harris popularisiert und in RFC 6647 im Rahmen der SMTP-Anti-Spam-Mechanismen erwähnt. Es nutzt aus, dass regelkonforme MTAs nach einer 4xx-Antwort warten und erneut zustellen, viele Spam-Sender hingegen nicht. Der Empfänger merkt sich ein Tripel (Absender-IP, MAIL FROM, RCPT TO), antwortet beim ersten Sehen mit 451 4.7.1 und nimmt die Nachricht erst beim Retry nach einer konfigurierbaren Verzögerung an. Ist das Tripel etabliert, passieren weitere Nachrichten ohne Verzögerung. Moderne Implementierungen begrenzen den Scope durch Reputationsdaten, befreien bekannte Absender, integrieren DNSBLs und berücksichtigen Trade-offs, weil legitime Cloud-Plattformen kurzlebige IPs nutzen und Retry-Alignment erschweren.
Wie schützt man sich gegen Greylisting?
Schutzmaßnahmen gegen Greylisting kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Greylisting?
Übliche alternative Bezeichnungen: Graue Liste, Tempfail-Greylisting.
● Verwandte Begriffe
- network-security№ 336
DNS-Blocklist (DNSBL)
DNS-basiertes Verfahren nach RFC 5782, mit dem Mailsysteme eine Liste bekannter Spam- oder Malware-IPs bzw. -Domains abfragen und Blockier-, Bewertungs- oder Routing-Entscheidungen treffen können.
- network-security№ 984
Secure Email Gateway
Perimeter- oder Cloud-Dienst, der eingehende und ausgehende E-Mails auf Spam, Phishing, Malware, Datenabfluss und Policy-Verstöße prüft, bevor sie das Postfach erreichen.
- network-security№ 1076
SPF (Sender Policy Framework)
E-Mail-Authentifizierungsmechanismus nach RFC 7208, mit dem eine Domain im DNS festlegt, welche IPs oder Hosts berechtigt sind, mit ihrer Domain im Envelope-MAIL-FROM zu senden.
- network-security№ 330
DKIM
E-Mail-Authentifizierungsstandard nach RFC 6376, mit dem die Absenderdomain ausgehende Nachrichten kryptografisch signiert, sodass Empfänger Header- und Body-Integrität prüfen können.
- network-security№ 333
DMARC
E-Mail-Authentifizierungsstandard nach RFC 7489, mit dem Domain-Inhaber eine Richtlinie veröffentlichen, wie Empfänger Nachrichten behandeln sollen, die SPF/DKIM und Alignment verfehlen.
- attacks№ 375
E-Mail-Spoofing
Fälschen von E-Mail-Headern, sodass eine Nachricht von einem vertrauenswürdigen Absender zu stammen scheint – meist zur Vorbereitung von Phishing, Betrug oder Malware-Verteilung.