Greylisting
¿Qué es Greylisting?
GreylistingTécnica antispam que devuelve un rechazo SMTP temporal a las triadas de remitente desconocidas y solo acepta el mensaje cuando llega un reintento posterior correctamente realizado.
El greylisting, popularizado por Evan Harris en 2003 y citado en el RFC 6647 dentro del marco antispam de SMTP, aprovecha que los MTAs legítimos reencolan y reintentan tras un error 4xx, mientras que muchos remitentes de spam no lo hacen. El receptor registra una tríada (IP, MAIL FROM, RCPT TO); en el primer intento responde 451 4.7.1 y acepta el mensaje cuando llega un reintento tras un retardo configurable. Una vez confiada la tríada, los siguientes mensajes pasan sin demora. Los despliegues actuales acotan el alcance con feedback de reputación, exoneran remitentes conocidos, se integran con DNSBLs y valoran los compromisos, ya que plataformas legítimas pueden usar IPs efímeras que dificultan la alineación de reintentos.
● Ejemplos
- 01
Un servidor de políticas de Postfix devuelve 451 en el primer intento y acepta el mensaje al reintento cinco minutos después.
- 02
Un MTA que añade a la lista blanca los rangos salientes de Google Workspace y Microsoft 365 para evitar demoras críticas.
● Preguntas frecuentes
¿Qué es Greylisting?
Técnica antispam que devuelve un rechazo SMTP temporal a las triadas de remitente desconocidas y solo acepta el mensaje cuando llega un reintento posterior correctamente realizado. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa Greylisting?
Técnica antispam que devuelve un rechazo SMTP temporal a las triadas de remitente desconocidas y solo acepta el mensaje cuando llega un reintento posterior correctamente realizado.
¿Cómo funciona Greylisting?
El greylisting, popularizado por Evan Harris en 2003 y citado en el RFC 6647 dentro del marco antispam de SMTP, aprovecha que los MTAs legítimos reencolan y reintentan tras un error 4xx, mientras que muchos remitentes de spam no lo hacen. El receptor registra una tríada (IP, MAIL FROM, RCPT TO); en el primer intento responde 451 4.7.1 y acepta el mensaje cuando llega un reintento tras un retardo configurable. Una vez confiada la tríada, los siguientes mensajes pasan sin demora. Los despliegues actuales acotan el alcance con feedback de reputación, exoneran remitentes conocidos, se integran con DNSBLs y valoran los compromisos, ya que plataformas legítimas pueden usar IPs efímeras que dificultan la alineación de reintentos.
¿Cómo defenderse de Greylisting?
Las defensas contra Greylisting combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Greylisting?
Nombres alternativos comunes: Lista gris, Greylisting por tempfail.
● Términos relacionados
- network-security№ 336
DNSBL (lista negra DNS)
Mecanismo basado en DNS (RFC 5782) que permite a los sistemas de correo consultar una lista de IPs o dominios conocidos por spam o malware y aplicar bloqueo, puntuación o enrutamiento.
- network-security№ 984
Pasarela de correo seguro
Servicio perimetral o en la nube que filtra el correo entrante y saliente buscando spam, phishing, malware, fugas de datos e infracciones de política antes de llegar a los buzones.
- network-security№ 1076
SPF (Sender Policy Framework)
Mecanismo de autenticación de correo del RFC 7208 que permite a un dominio publicar en DNS qué direcciones IP u hosts están autorizados a enviar correo con su dominio en el MAIL FROM del sobre.
- network-security№ 330
DKIM
Estándar de autenticación de correo (RFC 6376) por el que el dominio remitente añade una firma criptográfica a los mensajes para que los receptores verifiquen que cabeceras y cuerpo no se alteraron.
- network-security№ 333
DMARC
Estándar de autenticación de correo definido en el RFC 7489 que permite al propietario del dominio publicar una política indicando a los receptores qué hacer con los mensajes que fallen SPF/DKIM y alineamiento.
- attacks№ 375
Suplantación de correo electrónico
Falsificación de las cabeceras de un correo para que parezca enviado por un remitente de confianza, habitualmente para phishing, fraude o malware.