Greylisting
Qu'est-ce que Greylisting ?
GreylistingTechnique anti-spam qui répond par un rejet SMTP temporaire aux triplets d'expéditeur inconnus et n'accepte le message que sur une nouvelle tentative correctement effectuée plus tard.
Le greylisting, popularisé par Evan Harris en 2003 et évoqué dans le RFC 6647 au sein du cadre anti-spam SMTP, exploite le fait que les MTA conformes ré-enfilent et retentent l'envoi après une erreur 4xx, contrairement à de nombreux spammers. Le récepteur enregistre un triplet (IP émettrice, MAIL FROM, RCPT TO) ; à la première vue il répond 451 4.7.1, puis accepte le message lors d'une tentative ultérieure après un délai configurable. Une fois le triplet validé, les messages suivants passent sans délai. Les déploiements modernes restreignent la portée via la réputation, exemptent les expéditeurs connus, s'intègrent avec des DNSBL et acceptent des compromis car certaines plateformes cloud légitimes utilisent des IP éphémères qui compliquent l'alignement des relances.
● Exemples
- 01
Un policy server Postfix répond 451 au premier contact et accepte le message lors d'une relance cinq minutes plus tard.
- 02
Un MTA met en liste blanche les plages sortantes de Google Workspace et Microsoft 365 pour éviter de retarder le courrier critique.
● Questions fréquentes
Qu'est-ce que Greylisting ?
Technique anti-spam qui répond par un rejet SMTP temporaire aux triplets d'expéditeur inconnus et n'accepte le message que sur une nouvelle tentative correctement effectuée plus tard. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie Greylisting ?
Technique anti-spam qui répond par un rejet SMTP temporaire aux triplets d'expéditeur inconnus et n'accepte le message que sur une nouvelle tentative correctement effectuée plus tard.
Comment fonctionne Greylisting ?
Le greylisting, popularisé par Evan Harris en 2003 et évoqué dans le RFC 6647 au sein du cadre anti-spam SMTP, exploite le fait que les MTA conformes ré-enfilent et retentent l'envoi après une erreur 4xx, contrairement à de nombreux spammers. Le récepteur enregistre un triplet (IP émettrice, MAIL FROM, RCPT TO) ; à la première vue il répond 451 4.7.1, puis accepte le message lors d'une tentative ultérieure après un délai configurable. Une fois le triplet validé, les messages suivants passent sans délai. Les déploiements modernes restreignent la portée via la réputation, exemptent les expéditeurs connus, s'intègrent avec des DNSBL et acceptent des compromis car certaines plateformes cloud légitimes utilisent des IP éphémères qui compliquent l'alignement des relances.
Comment se défendre contre Greylisting ?
Les défenses contre Greylisting combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Greylisting ?
Noms alternatifs courants : Liste grise, Tempfail greylisting.
● Termes liés
- network-security№ 336
DNSBL (liste noire DNS)
Mécanisme reposant sur le DNS (RFC 5782) qui permet aux systèmes de messagerie d'interroger une liste d'IP ou de domaines connus pour le spam ou les malwares afin de bloquer, scorer ou router le courrier.
- network-security№ 984
Passerelle de messagerie sécurisée
Service périmétrique ou cloud filtrant le courrier entrant et sortant à la recherche de spam, phishing, malware, fuites de données et violations de politique avant arrivée dans les boîtes.
- network-security№ 1076
SPF (Sender Policy Framework)
Mécanisme d'authentification d'e-mail du RFC 7208 permettant à un domaine de publier dans le DNS quelles adresses IP ou quels hôtes sont autorisés à émettre du courrier avec son domaine dans le MAIL FROM d'enveloppe.
- network-security№ 330
DKIM
Standard d'authentification d'e-mail (RFC 6376) permettant à un domaine expéditeur d'apposer une signature cryptographique aux messages sortants, pour que les destinataires vérifient que l'en-tête et le corps n'ont pas été altérés.
- network-security№ 333
DMARC
Standard d'authentification d'e-mail défini par le RFC 7489 qui permet au propriétaire d'un domaine de publier une politique indiquant aux récepteurs que faire des messages échouant SPF/DKIM et l'alignement.
- attacks№ 375
Usurpation d'e-mail
Falsification des en-têtes d'un e-mail pour qu'il semble provenir d'un expéditeur de confiance, généralement à des fins de phishing, fraude ou diffusion de malware.